понедельник, 18 февраля 2019 г.

Что вы делаете с идущими в Интернет неизвестными SSL соединениями?

Запустил свежий Microsoft Active Directory сервер и посмотрел на файрволе какие он делает соединения. Сначала напугался неизвестному мне приложению ms-spynet - но потом понял что это аналог KSN от Microsoft. 
В итоге, после анализа, больше всего мне кажется опасным в табличке ниже, что идет какой-то непонятный набор SSL соединений в Интернет. По идее каждое SSL соединение должно быть легитимным - то есть администратор должен понимать зачем оно и явно это разрешать, а все остальные запрещать. Но, если задуматься, то как обычно поступает администратор межсетевого экрана, когда он видит изнутри наружу SSL? Он разрешает все SSL наружу, чтобы не разбираться с каждым соединением - ведь их тысячи. И тут вопрос уже к безопасникам. А вдруг это троян какой-то? В принципе на защиту приходит URL фильтрация которая хотя бы по SNI может посмотреть или база Threat Intelligence, которая уже знает списки управляющих центров бот-сетей. А если это что-то неизветсное внутри сети, то как быть? В редких сетях включают расшифрование SSL/TLS и смотрят что внутри SSL/TLS на предмет утечек и другого вредоносного контента, ведь SSL соединение - это двунаправленный поток данных - не только что-то утекает, так еще и что-то притекает, те же вирусы и другое ВПО.
А как вы поступаете с SSL трафиком идущим от компьютеров сотрудников и других устройств в Интернет? Просто пропускаете не думая или пытаетесь разобраться что это и зачем?
И это ведь еще не все. А, допустим, глядя в таблицу, что вы делаете с SOAP? ;-) Там ведь даже файлы по нему ходят.



пятница, 8 февраля 2019 г.

Ангара - это круто!

Ангара - это ведь отличные профессионалы в области ИБ! Поздравляю с Новым годом! 4 года! Очень круто! Ура!

четверг, 7 февраля 2019 г.

Статистика по файлам в облачной песочнице Wildfire

Хорошо, мы увидели сколько приложений переносит файлы. А какие это файлы и какие из них вредоносные?

Следующая статистика собрана уже по типам файлов. Видно, что большинство файлов, которые идут на проверку - это PDF, однако большинство типов файлов, которые содержат вредоносный код - это EXE. Совершенно не значит, что нужно защищаться только от EXE, ведь вам может хватить одного вредоносного файла для MacOS, чтобы потерять все данные.


вторник, 5 февраля 2019 г.

В каких приложениях нужно ждать неизвестный вредоносный код?

Сегодня просматривал глобальную статистику облачной песочницы Wildfire и стало интересно по каким приложениям ходит неизвестный вредоносный код (zero-day) и как часто. На картинке приведена статистика по приложениям и частоте атак через это приложение. Во втором столбце указано сколько дней в году в этом приложении выдели zero-day. В третьем столбце - число сессий этого приложения или по сути число семплов в год. Статистика взята за весь 2018 год с января по декабрь.
Интересно, что есть приложения по которым ВПО ходит каждый день, но редко - например SOAP. Есть где каждый день и в больших объемах. Я на своем опыте вижу, что самые частые приложения для проверки в песочницах - SMTP и web-browsing. Остальные приложения как правило игнорируются. Скорее всего атаки и проходят как раз там, где их не ждут. 

Облачная песочница Wildfire доступна из любого уголка Интернет, в нее можно отправить файлы на проверку с любого межсетевого экрана или любого хоста или даже проверить через веб интерфейс вручную. 
Интересно, что база сигнатур Wildfire обновляется всеми участниками каждую минуту, соответственно все, кто подписался на сервис обновлений zero-day могут забирать свежие сигнатуры каждую минуту и блокировать свеженайденные другими участниками сообщества zero-day своевременно.

Как вендоры обучают своим продуктам

Существует несколько способов изучить продукт какого-то производителя

1. Пойти на официальные курсы. Обычно это стоит дорого, поэтому как правило входит в цену проекта по ИБ, который сделан на продуктах этого самого производителя.

2. Заказать пилот. Пилоты в России делаются бесплатно, поэтому во время пилота производитель привозит свое устройство, настраивает и проводит тесты. Длительность пилотов для сложных продуктов обычно такова, что на это время можно защитить свою сеть совершенно бесплатно, сделать аудит посещенных страниц всех сотрудников компании и, конечно, заодно изучить сам продукт, а также познакомиться с системным инженером вендора, его семьей и другими его друзьями. Самый частый вариант, кстати.

3. Прочитать документацию, послушать видеоролики на youtube. Рассматриваю как высший пилотаж. Иногда встречаю таких людей. Всячески уважаю, потому что это реально непросто.

4. Получить в виде лабораторой работы, которая стоит из готовых виртуальных машин, с генераторами трафика, генераторами вируса, виртуалками-жертвами и так далее, и конечно же с системами защиты, которые показывают как они видят атаки и как они их блокируют. Это самый быстрый вариант глубоко понять как работает "эта штука". Плюс можно руками покликать в дополнительные менюшки, оценить интерфейс без ожидания пилота. Обычно производители используют ресурсы CloudShare. 

Palo Alto Networks Test Drive

Все это есть и у Palo Alto Networks. Для примера приведу как выглядят лабораторные работы. Это набор виртуальных машин с руководством: что нужно делать, чтобы провести атаки, генератором криптолокера, или через Metasploit или через tcpreplay и затем пошаговой инструкцией что надо настроить на NGFW, TRAPS, UEBA или SAAS, чтобы эти атаки заблокировать. 

Описание в принципе есть тут, это совершенно разноплановые работы. Партнеры Palo Alto Networks часто проводят очные лабораторные в разных городах СНГ. Такая лабораторная называется тест-драйв  и ее можно пройти и самому - нужно заказать ее у системного инженера вендора и просто прокликать по шагам на портале CloudShare. Описание тут.

суббота, 2 февраля 2019 г.

Вебинары по безопасности

Готовые к просмотру записи вебинаров

Запись выступления на конференции Positive Hack Days 2017
Тайминг выступления расписан тут


Опыт внедрения Application Whitelisting на предприятии



Курсы


пятница, 1 февраля 2019 г.

В чем польза хранения версий конфигурации NGFW

Межсетевой экран должен журналировать кто что на нем изменил и может хранить версии своих конфигураций.
Зачем могут потребоваться версии?
- Чтобы потом понять кто виноват и что с ним делать;
- Чтобы показать человеку разницу в настройках;
- Чтобы вернуться к нужной версии.
В Palo Alto Networks NGFW есть встроенная утилита для сравнения конфигураций в разделе Device->Config Audit, где можно выбрать нужные версии (при каждом commit версия текущая cadidate сохраняется), или текущие running и candidate конфиги. И утилита показывает зеленым - что было добавлено, желтым - что было изменено и красным - что было удалено. Кнопка Context позволяет показать нужное количество строк в конфиге, которые находятся до и после измененных строк.
В данном примере были исправлены настройки сервера LDAP и встроенного USER-ID агента. Также видно, что было передвинуто одно правило с места на место.
Сама конфигурация NGFW - это XML файл, который можно экспортировать и посмотреть в любом редакторе.