вторник, 22 декабря 2020 г.

Методы обнаружения взломанного SolarWinds

Вообще взлом SolarWinds в 2020 году ничем не отличается, похоже, от взлома M.E.Doc в 2017 году. Если компанию M.E.Doc взломали просто украв логин и пароль сотрудника, то SolarWinds можно было взломать простым подбором, ведь пароль для доступа был solarwinds123. И это доступ уже продавали в 2017 году.

Причем, взлом, M.E.Doc был более профессионален, поскольку для управления бот-сетью использовались те же сервера M.E.Doc и пакеты с командами хакера ничем не отличались от потока пакетов с обновлениями M.E.Doc. Понятно, что если бы был NTA, то можно было бы.. но это уже другая история..

Здесь же для взлома FireEye попробовали скачать CobaltStrike, что в общем их и обнаружило (по словам FireEye, я уверен, что всей правды мы никогда не узнаем). К чести компании FireEye - она вообще смогла обнаружить такую сложную атаку. У других компаний такие трояны живут годами.

Ну и собственно теперь мы можем использовать готовые индикаторы, чтобы тоже обнаружить у себя SolarBurst.

В итоге, что есть сейчас у Palo Alto Networks для блокировки этой угрозы:

- В IPS уже есть сигнатуры 

- В модуле анализа DNS есть индикаторы (IoC) центров управления.

- В хостовой защите класса XDR уже есть поведенческие индикаторы активности инфекции (BIOC).

- В продуктах класса SOAR уже есть playbook для работы с SolarBurst. Например, Cortex XSOAR Free Edition можно сегодня поставить бесплатно.


- И также есть сервисы, когда профессионалы исследуют вашу сеть на предмет нахождения SolarStorm и вычищают его.

Таким образом Palo Alto Networks предлагает целый комплекс мероприятий по защите компании от взлома SolarWinds

понедельник, 14 декабря 2020 г.

Сигнатура от FireEye для обнаружения Solorigate и SunBurst

Внимательно читать! Про недавнюю атаку на компании через софт SolarWinds Orion я уже писал, что новую атаку сложно обнаружить, потому что она использует легитимные сервера SolarWinds, которые были тоже взломаны. И FireEye на сегодня единственная компания, которая обнаружила эту атаку на саму себя. 


Их служба безопасности выпустила сигнатуру, которую нужно загрузить в свое средство защиты: IPS или NGFW. Сигнатура в формате SNORT: https://github.com/fireeye/sunburst_countermeasures/blob/main/rules/SUNBURST/snort/Backdoor.SUNBURST_2.rules

Например, можно загрузить в Palo Alto Networks NGFW через Panorama SNORT и Suricata Plugin.

FireEye выложила на GitHub также список тех продуктов, которые они атаковали своими утилитами и он под угрозой. В основном надо быть осторожным тем, у кого Pulse и Fortigate SSL VPN, Microsoft RDP, Exchange и Outlook и также Citrix ADC и Gateway, Zoho ServiceDesk. 

Проблема с патчами очень актуальна - обычно ИТ администраторы не обновляют свои VPN шлюзы, что уж тут говорить про остальной софт.

Вот полный список уязвимостей, которые будут атаковать утилитами FireEye:

IndexCVEDescriptionCVSS
1CVE-2019-11510Pre-auth arbitrary file reading from Pulse Secure SSL VPNs10.0
2CVE-2020-1472Microsoft Active Directory escalation of privileges10.0
3CVE-2018-13379Pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN9.8
4CVE-2018-15961RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell)9.8
5CVE-2019-0604RCE for Microsoft Sharepoint9.8
6CVE-2019-0708RCE of Windows Remote Desktop Services (RDS)9.8
7CVE-2019-11580Atlassian Crowd Remote Code Execution9.8
8CVE-2019-19781RCE of Citrix Application Delivery Controller and Citrix Gateway9.8
9CVE-2020-10189RCE for ZoHo ManageEngine Desktop Central9.8
10CVE-2014-1812Windows Local Privilege Escalation9.0
11CVE-2019-3398Confluence Authenticated Remote Code Execution8.8
12CVE-2020-0688Remote Command Execution in Microsoft Exchange8.8
13CVE-2016-0167local privilege escalation on older versions of Microsoft Windows7.8
14CVE-2017-11774RCE in Microsoft Outlook via crafted document execution (phishing)7.8
15CVE-2018-8581Microsoft Exchange Server escalation of privileges7.4
16CVE-2019-8394Arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus6.5

Очередной хитрый взлом правительств и даже компании FireEye через цепочку поставок получил название Solorigate

Атака на цепочку поставок уничтожает всю выстроенную архитектуру безопасности в компании. И от нее почти невозможно защититься. Я уже упоминал выступление Александра Матросова в прошлом году на конференции Offzone, где было хорошо расписано как схема взлома работает и предлагал способы защиты политиками Zero Trust. То есть вы вроде покупаете проверенный ноутбук или сервер или софт для компании, но где-то по пути от производителя до вашего офиса есть точка, где вам встраивают закладку. И проверять поставщиков на каждом шагу почти невозможно. И неважно из какой страны ваши ИТ продукты, даже российские поставщики уязвимы.


И сегодня многие новостные каналы будут обсуждать взлом правительственных организаций, компании по безопасности FireEye и других компаний мирового уровня. Это произошло посредством встраивания троянской программы в обновления софта Orion компании SolarWinds.  К чести компании FireEye она по сути единственная, кто смог вообще обнаружить эту закладку. Они оповестили весь мир и мы теперь с этим разбираемся. Компания Микрософт уже нарисовала картинку как это работает:

По информации самой компании SolarWinds у нее более 300000+ заказчиков и кто из них получил такую троянскую программу нам еще предстоит узнать. В рекламе на сайте SolarWinds в списке заказчиков упоминается Ciscо и Apple.


На самом деле многие компании ломают через партнеров и даже собственные удаленные офисы и конечно через удаленный доступ собственных сотрудников: вы им доверяете по умолчанию и не предполагаете, что ваш старый поставщик или ваш собственный сотрудник будет вас атаковать. Считаю, что 2021 год станет годом пересмотра доверия своим старым поставщикам, перехода к схеме доверия "доверяй, но проверяй" или Zero Trust. Вот так меняется мир.

По такой же схеме в 2017 году был взломан софт популярной бухгалтерской программы M.E.Doc, и затем все пользователи этой программы были скомпроментированы и управлялись уже хакером через управляющие сервера M.E.Doc, что было почти невозможно обнаружить. 

Посмотрите этот короткий ролик про то как правильно делать удаленный доступ к своей сети и почему важно НЕ выставлять свои приложения напрямую в Интернет.

Далее я предлагаю обсудить как контролировать поведение сети продуктами класса NTA и UEBA, поскольку без них, похоже, уже не обойтись в современном мире угроз.

суббота, 12 декабря 2020 г.

Какое будущее кибербезопасности? Выступление экспертов Palo Alto Networks

Palo Alto Networks провели конференцию и ее запись уже есть на Youtube.

02:30 Хайдер Паша: Будущее кибербезопасности 24:54 Денис Батранков: про технологии Machine Learning в NGFW: защита IoT, блокировка вредоносного кода, C&C и туннелей в DNS, фишинговых URL, оптимизатор политик 54:45 Михаил Лившиц и проекты BeCloud на базе Palo Alto Networks 1:11:08 Илья Осадчий: Будущие технологии SOC: SIRP/SOA/SOAR/TIP/XSOAR 1:38:45 Павел Живов: Миссия выполнима: защита Palo Alto Networks класса SD-WAN и SASE 2:09:09 Никита Гречаник: Защита проверки на соответствие контейнеризации и бессерверных технологий в ЦОД и облаках решением Prisma 2:28:36 Денис Батранков: Переосмысливаем архитектуру VPN доступа: как подключить сотрудника из дома используя GlobalProtect и HIP

вторник, 8 декабря 2020 г.

Как купить NGFW и получить его через 48 часов

Существует поверье, что доставка устройств занимает 6-8 недель. И это верно. Однако иногда проект не может ждать. Поэтому в дело вступают виртуальные устройства. Виртуальный NGFW - это по сути софт. Это образ виртуальной машины, который можно скачать как файл запустить почти под любым гипервизором. Поставка софта - это по сути лицензия. После размещения заказа у производителя лицензия выписывается почти сразу. Соответственно, если проект срочный, например, вам нужен срочно новый VPN шлюз перед Новым годом или нужно прикрыть сетевой защитой новый объект, то вы можете взять любой сервер, поднять на нем VMware ESXi и запустить полноценный NGFW, в котором есть 20 функций безопасности и вы можете их включить и защитить свою сеть одним из 4 способов как на картинке. Плюс, есть у производителей готовые наборы конфигураций под VPN шлюз, под защиту периметра или ЦОД, и готовый конфиг можно сразу скачать и накатить. Установка NGFW в итоге займет еще час. Это удобно и вы можете защитить сеть любого масштаба.

Более подробно можно почитать в статье "Реальная защита виртуальных сетей"



пятница, 13 ноября 2020 г.

Gartner в очередной раз признал решение Palo Alto Networks лучшим в категории межсетевых экранов

Больше 10 лет компания Palo Alto Networks исследует проблемы безопасности и разрабатывает инновационные решения, включая межсетевые экраны нового поколения. Важно, что лидерство заключается не только, в том, что тебя выбирает рынок, еще и в стратегическом видении как защищать от угроз в будущем. И это не пустые слова: именно Palo Alto Networks придумала NGFW и весь рынок пошел в этом направлении.

9 ноября 2020 Gartner девятый раз подряд подтвердил лидерство Palo Alto Networks как разработчика и поставщика решений по защите корпоративных сетей межсетевыми экранами нового поколения. Всему нашему офису приятно, что наша компания отмечена выше всех и по функционалу и по видению и по отзывам заказчиков в Магическом Квадрате.

Мы развиваем защиту во всех направлениях: облака, удаленная работа из дома, защита устройств IoT, сетей 4G/5G и ICS/SCADA, балансировка каналов удаленных офисов встроенным SD-WAN. Наша цель: визуализация того кто и что делает в сети и защита каждого приложения от угроз. Мы называем это безопасное разрешение приложений. Это может быть определение туннелей в DNS, защита от утечек встроенным сетевым DLP, анализ контента в расшифрованном SSL/TLS трафике, интеграция с собственным и сторонними поставщиками индикаторов компрометации и TIP. 

Нашим достижением является интеграция Machine Learning в межсетевой экран. В последней 10 версии нашей платформы безопасности более 70 новых функций, которые позволяют блокировать новые угрозы в DNS, HTTP, SMB анализируя файлы встроенным ML, обнаруживать типы IoT устройств, защищать от фишинга и контролировать утечки DLP и так далее.

За последние два месяца Palo Alto Networks также была названа лидером в трех других аналитических исследованиях: The Forrester Wave: Enterprise Firewalls Q3’20, and The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020. И мы лидер в 2020 Gartner WAN Edge Infrastructure Magic Quadrant.

Вы можете ознакомиться с результатами Garter Magic Quadrant for Network Firewalls.


пятница, 30 октября 2020 г.

Как исправить ошибки детских VPN в корпоративной сети

Детcкий VPN

В шахматах есть понятие "детский мат", когда неопытный игрок проигрывает партию за 3 своих хода.

В корпоративных сетях ситуация сложилась такая же - очень много инсталляций VPN шлюзов сделано так, что любой хакер проникает внутрь сети за один шаг. 

Основные три ошибки детского VPN:

  1. Логин и пароль единственное, что нужно знать для проникновения в сеть.
  2. Рабочая станция дома никак не защищается и любой хакер попавший на компьютер мгновенно узнает логин и пароль на VPN и следующим шагом попадает в сеть компании с полными правами данного сотрудника.
  3. Сетевое подключение внутри сети никак не защищается и любой сотрудник компании может делать все что угодно: забирать файлы, оставлять файлы, копировать информацию компании или уничтожать.

Такой VPN называется тоже детским. Обычно это значит, что автор этой дыры в безопасности просто прочитал документацию к каком-то шлюзу, например, это часто OpenVPN и собственно реализовал этот дырявый VPN для своей компании. Да, решение ставится методом next-next-finish, но дает доступ не только сотрудникам, он и всем-всем-всем.

Взрослый VPN: MFA, HIP, NGFW

Соответственно, исправление ситуации достигается изменением и повышением безопасности всех трех ошибочных пунктов.

1. MFA. Двухфакторная аутентификация 

Кража и подбор логина и пароля является частой атакой и применяется постоянно. Чтобы минимизировать эту угрозу нужно использовать второй фактор. В современных VPN существует компонент, который позволяет добавить проверку сообщения на телефоне, и это рекомендуется делать. Лидером игроками здесь является компания Okta, но я приведу весь квадрат Gartner где показаны другие проекты позволяющие реализовать второй фактор. Есть еще одна частая ошибка - сертификат считают вторым фактором. Однако он хранится на компьютере жертвы и его нельзя считать за второй фактор. Второй фактор должен быть обязательно на стороннем устройстве.


2. HIP и XDR. Comliance проверки.

Рабочая станция дома - это точка наивысшей опасности. То что мы дали сегодня людям возможность подключаться не с рабочих машин, а с домашних компьютеров - в общем уже большая дыра в безопасности. А то что мы еще и не контролируем ничего там - это просто epic fail. Но главное не бояться! Все поправимо

Существуют реально два механизма, которые могут нам помочь дома

  • проверка состояния хоста клииентом VPN
  • проверка состояния хоста специализированной защитой EDR/XDR

Host Information Profile позволяет шлюзу VPN убедиться, что вы подключаетесь с рабочей станции, на которой выполнены минимальные проверки безопасности. Для вас этот фукнционал может быть неожиданностью, однако это стандартные функции корпоративного VPN, который предоставляют такие лидеры рынка VPN как Palo Alto Networks.

EDR/XDR позволяет постоянно контролировать что происходит на рабочей станции, блокировать угрозы и расследовать инциденты, если требуется.

Если вы будете проверять обоими методиками, то вы создадите серьезные проблемы злоумышленнику. Начните!

3. NGFW

Сам VPN клиент архитектурно может приземлять ваши IPSEC туннели в сеть и сразу давать доступы к нужным ресурсам: серверам, рабочим станциям. Однако это неверно с точки зрения безопасности - архитекторы приземляют VPN сегодня в NGFW. NGFW это многофункциональное устройство и оно не просто дает вам доступ в сеть как VPN шлюз, но и контролирует домашнего пользователя: что он делает, каким приложением, какие файлы забирает, нет ли там вирусов или не производит ли он сканирование сети. Если вы не используете NGFW для контроля действий сотрудников, которые подключены по VPN, то любой человек делает в сети что ему заблагорассудится, а если это хакер, то он вам всемерно благодарен. 


По идее все эти три пункта сделать несложно, но нужно постоянно контролировать изменения, ведь у вас меняются люди, меняется архитектура подключений.

И еще тонкость

И в заключение важно заметить, что удаленный доступ выявил одну проблему: никто никогда не планировал в компаниях доступы сотрудников. Часто все доступно всем. В случае с удаленным доступом из дома это создало катастрофический объем возможностей для злоупотреблений. В случае, когда люди работали из офиса, то это было незаметно, а вот сейчас, когда человек из дома имеет ко всему, причем ненужному ему по работе - это то, что нужно минимизировать. Обсудите этот проект в своей компании и займитесь минимизацией привилегий. И это срочно!

С 1 января 2021 банки должны перевести межсетевые экраны в режим анализа приложений по ГОСТ ЦБ 57580

 


В стандарте Центрального Банка ГОСТ 57580 существует несколько пунктов, где упоминается межсетевое экранирование на прикладном уровне, например, в разделе 7.3. ЦБ говорит, что с 1 января 2021 года эти требования УЖЕ должны быть выполнены для банков России. Но проблема в том, что у многих банков стоят устаревшие межсетевые экраны, в которых включение анализа трафика на уровне приложений просто невозможно - у них не хватает производительности. Продвинутые банки делали весь этот год проекты по замене межсетевых экранов на более производительные. Хитрые банки сделали проще - они просто выключили все функции анализа и с выключенной функциональностью межсетевые экраны тянут нужные скорости. Но с 1 января эти банки так сделать не смогут - нужно будет показывать свои настройки во время аудита и возникнет вопрос как быть - ведь сеть просто упадет при включении любой дополнительной функции: анализ приложений и файлов в них - это очень нагрузочная операция для процессора любого устройства.

воскресенье, 11 октября 2020 г.

Минимизация рисков использования DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH)



Защита от DoH и DoT


Организации вкладывают много времени, денег и усилий в обеспечение безопасности своих сетей. Одной из областей, которой часто не уделяется должного внимания, является DNS. Контролируете ли вы свой DNS трафик?

Серьезность проблемы в том, что по данным Palo Alto Networks Unit 42 Threat Research, примерно 85% вредоносных программ используют DNS для установления канала управления и контроля, позволяя злоумышленникам легко внедрять вредоносные программы в вашу сеть, а также похищать данные. С момента своего создания трафик DNS в основном был незашифрованным и его легко можно было анализировать защитными механизмами NGFW.
 
Появились новые протоколы для DNS, направленные на повышение конфиденциальности DNS соединений. Они активно поддерживаются ведущими поставщиками браузеров и другими поставщиками программного обеспечения. Скоро в корпоративных сетях начнется рост зашифрованного DNS-трафика. Зашифрованный трафик DNS, который не анализируется средствами должным образом и разрешен, представляет угрозу безопасности для компании. Например, такой угрозой являются криптолокеры, которые используют DNS для обмена ключами шифрования. Атакующие сейчас требуют выкуп в несколько миллионов долларов за восстановление доступа к вашим данным. В компании Garmin, например, заплатили 10 миллионов долларов.
 
Презентация Verisign по тому как Ransomware использует DNS.

При правильной настройке NGFW могут запрещать или защищать использование DNS-over-TLS (DoT) и могут использоваться для запрета использования DNS-over-HTTPS (DoH), что позволяет анализировать весь трафик DNS в вашей сети.

Что такое зашифрованный DNS?


Система доменных имен (DNS) преобразует удобочитаемые доменные имена (например, адрес www.paloaltonetworks.com ) в IP-адреса (например, в 34.107.151.202). Когда пользователь вводит доменное имя в веб-браузере, браузер отправляет DNS-запрос на DNS-сервер, запрашивая IP-адрес, связанный с этим доменным именем. В ответ DNS-сервер возвращает IP-адрес, который будет использовать этот браузер.
 
Запросы и ответы DNS пересылаются по сети в виде обычного текста в незашифрованном виде, что делает его уязвимым для шпионажа или перехвата и перенаправления в нежелательные пункты назначения. Шифрование DNS затрудняет отслеживание DNS-запросов или их изменение во время передачи. В частности, зашифрованные протоколы DNS защищают от атаки Man-in-the-Middle, выполняя при этом те же функции, что и традиционный протокол DNS (система доменных имен) с открытым текстом. 
 
За последние несколько лет были внедрены два протокола шифрования DNS:
1. DNS-over-HTTPS (DoH)
2. DNS-over-TLS (DoT)

Эти протоколы имеют одну общую черту: намеренно прячут DNS-запросы от любого перехвата и от безопасников организации в том числе. Протоколы в основном используют протокол TLS (Transport Layer Security) для установления зашифрованного соединения между клиентом, выполняющим запросы, и сервером, разрешающим запросы DNS, через порт, который обычно не используется для трафика DNS.
 
Конфиденциальность запросов DNS является большим плюсом этих протоколов. Однако, они создают проблемы безопасникам, которые должны следить за сетевым трафиком и обнаруживать и блокировать вредоносные соединения. Поскольку протоколы различаются по своей реализации, методы анализа будут отличаться у DoH и DoT.

DNS over HTTPS (DoH)



DNS внутри HTTPS

Этот протокол использует хорошо известный порт 443 для HTTPS, для которого в RFC специально указано, что задача состоит в том, чтобы «смешать трафик DoH с другим трафиком HTTPS в одном и том же соединении», «затруднить анализ трафика DNS» и, таким образом, обойти меры корпоративного контроля ( RFC 8484 DoH, раздел 8.1 ). Протокол DoH использует шифрование TLS и синтаксис запросов, предоставляемый общими стандартами HTTPS и HTTP/2, добавляя запросы и ответы DNS поверх стандартных запросов HTTP.

Риски, связанные с DoH


Если вы не задались целью отличить обычный HTTPS-трафик от запросов DoH, то приложения внутри вашей организации могут обходить локальные настройки DNS, перенаправляя запросы на сторонние сервера отвечающие на запросы DoH, что обходит любой мониторинг, то есть уничтожает возможность контроля за DNS трафиком. В идеале вы должны контролировать DoH используя функции расшифрования HTTPS.
 
И Google, и Mozilla реализовали возможности DoH в последней версии своих браузеров, и обе компании работают над использованием DoH по умолчанию для всех запросов DNS. Microsoft также разрабатывает планы по интеграции DoH в свои операционные системы. Минусом является то, что не только уважаемые компании-разработчики программного обеспечения, но и злоумышленники начали использовать DoH как средство обхода традиционных мер корпоративного межсетевого экрана. ( Например, просмотрите следующие статьи: PsiXBot теперь использует Google DoH, PsiXBot продолжает развиваться с обновленной инфраструктурой DNS и анализ бэкдора Godlua.) В любом случае, как хороший, так и вредоносный трафик DoH останется незамеченным, оставив организацию слепой к злонамеренному использованию DoH в качестве канала для управления вредоносным ПО (C2) и кражи конфиденциальных данных.
 

Обеспечение видимости и контроля трафика DoH


В качестве наилучшего решения для контроля DoH мы рекомендуем настроить в NGFW расшифровку трафика HTTPS и блокировку трафика DoH (название приложения: dns-over-https). 

Во-первых, убедитесь, что NGFW настроен для расшифровки HTTPS, согласно руководству по лучшим методам расшифровки.
 
Во-вторых, создайте правило для трафика приложения «dns-over-https», как показано ниже:


В качестве промежуточной альтернативы, если ваша организация не полностью реализовала расшифрование HTTPS, NGFW все еще можно настроить для применения действия «запретить» к идентификатору приложения «dns-over-https», но эффект будет ограничен блокировкой определенных хорошо известных серверов DoH по их доменному имени, так как без расшифрования HTTPS трафик DoH не может быть полностью проверен (см.  Applipedia от Palo Alto Networks  и выполните поиск по фразе «dns-over-https») .
 

DNS over TLS (DoT)



DNS внутри TLS

В то время как протокол DoH стремится смешиваться с другим трафиком на том же порту, DoT вместо этого по умолчанию использует порт, зарезервированный для этой единственной цели, даже специально запрещая использование того же порта для традиционного незашифрованного трафика DNS (RFC 7858 , Раздел 3.1).
 
Протокол DoT использует протокол TLS для обеспечения шифрования, инкапсулирующего стандартные запросы протокола DNS, с трафиком, использующим хорошо известный порт 853 (RFC 7858, раздел 6).  Протокол DoT был разработан, чтобы упростить организациям блокировать трафик по порту, либо соглашаться на его использование, но включить расшифровку на этом порту.


Риски, связанные с DoT


Google реализовал DoT в своем клиенте Android 9 Pie и более поздних версиях, при этом по умолчанию включена настройка автоматического использования DoT, если он доступен. Если вы оценили риски и готовы к использованию DoT на уровне организации, то нужно, чтобы сетевые администраторы явно разрешали исходящий трафик на порт 853 через свой периметр для этого нового протокола.
 

Обеспечение видимости и контроля трафика DoT


В качестве наилучшей методики контроля за DoT мы рекомендуем любое из вышеперечисленного, исходя из требований вашей организации:

Настройте NGFW для расшифровки всего трафика для порта назначения 853. Благодаря расшифрованию трафика, DoT будет отображаться как приложение DNS, к которому вы можете применить любое действие, например, включить подписку Palo Alto Networks DNS Security для контроля DGA доменов или уже имеющийся DNS Sinkholing и anti-spyware.

В качестве альтернативы можно полностью заблокировать движком App-ID трафик 'dns-over-tls' через порт 853. Обычно он заблокирован по умолчанию, никаких действий не требуется (если вы специально не разрешили приложение 'dns-over-tls' или трафик через порт 853).


понедельник, 7 сентября 2020 г.

Как выглядит "Рубильник для Интернет"

Раньше я думал, что это шутка: рубильник для выключения Интернет, стоп-кран в самолете и так далее, но чем дольше я живу, тем все больше мир поражает меня...

Был шуточный репортаж, где делали Internet Kill Switch в шутку:

Однако, сегодня прочитал в блоге у Алексея Комарова что нет! Наши стартапы могут все: на полном серьезе это сделано и нас и продается по цене 10000 рублей )
Смотрим и внимаем )
У меня даже нет слов... кулачковый переключатель! рвет все 8 физических линий! защищен от окисления! делали нагрузочное тестирование! техподдержка интересно продается? ) 
И цена!


И даже есть процесс применения! Система автоматизации SOAR отдыхает )

АСУТП защищен )


И, кстати, это не единственный такой реальный агрегат. Есть еще в том же стиле "размыкатель Ethernet", но он сделан для противодействия угрозе снятия информации с кабеля через анализ электромагнитных излучений, что кратко именуется ПЭМИН.


И это еще не все! Мир пошел дальше и есть даже физические переключатели между двух разных сетей Ethernet:


Все это сейчас активно обсуждается на Яплакал и Pikabu


суббота, 29 августа 2020 г.

Аудиокурс по NGFW в дороге

Современная безопасность ушла далеко вперед, если раньше мы слушали курс по IPS в течении недели, то теперь IPS - это десятая часть функционала устройства под названием NGFW. Есть ли у нас десять недель, чтобы освоить NGFW? Обычно нет. Но и их мало, реально нужно год - два, чтобы освоить эти устройства.

Есть три компонента у всех NGFW: приложения, пользователи и защита. У Palo Alto Networks это App-ID, User-ID и Content-ID. Если один раз разобраться что эти функции все делают, то складывается понимание всех NGFW и тогда ты уже понимаешь на новом уровне что можешь сделать со своим трафиком. Есть набор видеороликов обучающих на сайте https://panacademia.ru/webinars/ 

Лучше всего посмотреть вот эти три, где все знания сконцентрированы.

App-ID 

User-ID 

Content-ID 

пятница, 28 августа 2020 г.

Рекомендации по защите от фишинга


Недавно прошла конференция Коммерсант, где мы обсуждали проблемы фишинга, запись тут

 https://www.kommersant.ru/conference/video

Что сейчас происходит?

  • Люди случайно попадают на копии сайтов: интернет-магазинов, банков и др. через поиск или через контекстную рекламу. Вы ищете магазин, допустим Леруа Мерлен, но не знаете как правильно пишется их сайт по-французски, делаете ошибки и опечатки и находите какой-то сайт, и потом выясняете, что это просто компания, которая доставляет вам товары из этого магазина, но не сам магазин. Или еще хуже - это поддельный сайт, где оплатить товар можно, но получить его и деньги - никогда. Сайт, на который вы зашли может быть прокси-сайтом, то есть он показывает вам экран известного интернет магазина и одновременно данные которые вы туда вводите: ваш логин/пароль и номер карты. Часто это работает на том, что вы не смотрите на иконку рядом с названием сайта, а там должен быть "замочек", и не смотрите на само название сайта: используются похожие начертания, но сайт реально не тот. Вот такой замочек, например, у моего блога:
    Если вы попали на копию, то даже профессионалам порой бывает сложно отличить настоящий сайт от поддельного. Стали применять интересную технологию: сайт работает по HTTP, а не по HTTPS - и если вы невнимательны и не проверяете наличие замочка в URL, то отдаете сайту все свои знания про свои пароли и кредитки.
  • Сюда также отношу фейковые приложения в телефоне. Нужно смотреть рейтинг и сколько людей уже поставило это приложение. Если приложение под названием Belka поставило всего 100 человек, то стоит задуматься то ли это приложение, которое вы хотели поставить. 

Зачем это?

  • Украсть ваши деньги.
  • Украсть ваш пароль и требовать выкуп.

Как защищаться домашним пользователям?

  1. Встроенная защита от фишинга в браузеры уже есть у всех поставщиков: Chrome, Firefox, Edge, Safari. Проверьте что соответствующая галочка включена в разделе Безопасность.
  2. Вы должны ожидать, что защита будет блокировать сразу вредоносный URL - встроенные средства защиты от фишинга в браузер пользуются базой таких сайтов.
  3. Google Chrome молодец - он проверяет также ваши логины/пароли по базе украденных паролей. Они собирают все публично выложенные пароли и когда вы вводите свой пароль - смотрят, нет ли его в базе украденных. Если ваш пароль украли - смените его!
  4. Новые сайты  - это угроза похуже. Их еще нет в базах. И что делать? Начать с того, что сайт работает по HTTPS и он с правильным сертификатом. Тот самый "замочек" перед названием сайта. Однако существуют бесплатные сертификаты, например, Let's encrypt и хакеры обычно ими пользуются. 
  5. Вас могут защищать дополнительные плагины к браузеру - они проверяют репутацию сайта и показывают ее вам. Например, если используется Let's encrypt, то это должно настораживать и это сразу снижает репутацию сайта. Например, есть расширение Netcraft.
  6. Пользоваться двухфакторной аутентификацией! Если instagram, facebook и другие сайты уже сделали это - включите! Если какой-то сайт не сделал - требуйте. Поскольку это также защищает от фишинга.
  7. Еще нужно проверять по категориям и блокировать неизвестные еще, но это может только NGFW которые есть только в корпоративных сетях. Однако сейчас распространены сервисы класса SASE или SWG - защита из облакака. Вы можете пользовать ними - там есть в том числе URL фильтрация по категориям. Но они также требуют настройки. 
  8. Вы можете у вас дома пользоваться внешним защищенным DNS, например, Яндекс DNS. У него есть информация по вредоносным адресам DNS и он подменяет ответы к таким сайтам на страницу заглушку, чтобы оберечь вас от заражения или кражи данных.
  9. И еще совет: заносите свои сайты, где вы тратите деньги в закладки, чтобы не искать их и не кликать на ссылки в контекстной рекламе.

Как защищаться компаниям?

  1. Все то же самое что и домашние пользователи, например, использовать встроенную защиту от фишинга в браузере. Попросите свою техподдержку это включить. Также проверку ваших паролей по базе украденных и дополнительные плагины и возможно также менеджер паролей.
  2. Поскольку у безопасника компании есть еще одна задача: защищать не просто своих сотрудников, а еще и клиентов своей компании, например, которые пользуются приложениями компании, то нужно еще проверять приложения в Google Play и Apple Store, чтобы там не появлялись фейки.
  3. Если вы пишете приложение для компании, то лучше использовать взаимную аутентификацию: не только клиент проверяет что сервер тот самый, но и сервер проверяет, что приложение то самое.
  4. Использовать двухфакторную аутентификацию - здесь много уже готовых средств в корпоративной сети, но также ваши NGFW могут добавлять второй фактор поверх любого приложения.
  5. Есть программы, которые находят копии сайта вашей компании. Их надо запускать периодически и оповещать свою службу ИБ о находках.
  6. Есть также утилиты, которые могут проверять создание похожих доменов. Это нужно делать постоянно.
  7. Грамотное решение защиты своих клиентов: Аватар. Например, так сделано на портале gosuslugi.ru. Когда хакер делает поддельный сайт, то он не может скопировать ваш аватар, и поэтому когда вы заходите на подделку, то вы свой аватар там не найдете и это уже является сигналом, что что-то идет не так.
  8. В компании нужно использовать NGFW, в котором встроены механизмы блокировки фишинга по URL категориям. В Palo Alto Networks NGFW недавно встроили Machine Learning, который позволяет определять новые фишинговые сайты и даже zero-day файлы на лету.
  9. Также в NGFW есть проверка ввода паролей и логинов домена - то есть, когда вы пытаетесь ввесть логин и пароль от своего домена на стороннем сайте (поддельном), то NGFW это предотвратит или оповестит.
  10. Что вообще может проверять компания: какие типы файлов хочет скачать человек, какие URL хочет посетить, какие DNS адреса запрашивает. Все это защищается.
  11. Также VPN клиенты позволяют подключить домашний компьютер сотрудника к корпоративному NGFW в котором есть все методики защиты. Или сейчас весь мир переходит к облачному сервису защиты, Gartner называет этот сервис SASE. Но это отдельный разговор.
  12. Также рекомендуется запустить программу рассылки тестовых фишинговый писем, например, компания Антифишинг предлагает это.

Тест

В завершение проверьте свои навыки защиты от фишинга 


пятница, 21 августа 2020 г.

Как правильно писать заявку на покупку NGFW

Когда вы хотите купить NGFW, то нужно что-то написать в офис производителя, чтобы он подобрал вам модель. 

Что нужно прислать в заявке:

1. Планируемый максимальный защищаемый объем трафика в секунду. (Если NGFW будет защищать периметр или ЦОД, то посмотрите вашу максимальную скорость трафика на периметре или в ЦОД во всех направлениях: входящий + исходящий на всех интерфейсах.) Например: хотим NGFW для защиты трафика на скоростях в пике до 10 Гбит/с.

2. Число хостов в сети, которые генерируют трафик. (На самом деле инженеру для оценки нужно число новых соединений в секунду. Опыт показывает, что каждый хост создает в среднем 0,1 новых соединения в секунду. Но лучше взять с запасом по соединению на каждый хост в секунду. То есть для 10000 хостов число новых соединений в секунду будет 10000.) Пример запроса: у нас 10000 хостов в сети (посчитайте все сервера, компьютеры, роутеры, принтеры и другой IoT)

3. Если есть публичные ресурсы к которым ходит весь Интернет, то сколько новых соединений в секунду в пике бывает на эти ресурсы (если получится это оценить). Слово новых - ключевое. Не путайте число новых соединений с числом одновременных соединений. Обычно это можно посмотреть на графике системы мониторинга, которая обычно у всех есть. Завышать не нужно, потому что сам сервер может не выдержать число новых соединений в секунду, которые вы запросили. Обычно еще стоит WAF или DDOS, который как раз режет число новых соединений, и на самом деле NGFW тоже содержит функции сдерживания числа новых соединений в секунду. (Если у вас есть F5 или A10 или еще какие-то балансировщики - это тоже надо упомянуть. Но это отдельный разговор.) Пример: Число новых соединений в секунду в пике на наши веб сервера: 1000 HTTP(S) соединений в секунду. 

4. Нужна ли подписка Threat Prevention, которая включит обновления антивируса, IPS, anti-spyware, TI, DNS Sinkholing. У некоторых производителей подписка anti-spyware называется anti-bot. 

5. Нужна ли подписка URL Filtering. Обычно в ЦОД она не требуется. 

6. Нужна ли подписка Wildfire - песочница облачная и также встроенная (у Palo Alto Networks внутри NGFW есть Machine Learning, который обнаруживает zero day на лету)

7. Нужна ли подписка Global Protect (функционал HIP для удаленных сотрудников, позволяющий пускать только защищенные компьютеры в сеть компании )

8. Нужна ли подписка DNS Security для определения DGA доменов. 

9. Нужна ли подписка Autofocus для расследования инцидентов и подключения к TIP.

10. Нужна ли подписка IoT для контроля устройств IoT в вашей сети. Замечу, что контроль ICS/ SCADA уже входит в стандартную поставку.

10. Будет это кластер из 2 устройств или standalone.

11. На сколько лет посчитать подписки и поддержку. Обычно заплатить за 3 года сразу дешевле чем три раза покупать по одному. Пример: Нужны все подписки на 5 лет.

PS: На самом деле инженер производителя в первую очередь оценивает тип вашей компании: финансовая, медиа, телеком, производство, государство и др, потому что это разный трафик и это разная нагрузка на устройство. Например, финансовый трафик содержит более короткие транзакции и поэтому NGFW больше напрягается. Причем модель иногда нужно давать в 2 раза мощнее, чем заказчику с таким же трафиком (по сумме байт в секунду), но с более длинными транзакциями. То есть на трафик 10 Гбит/с для коротких транзакций будет одна модель, на трафик 10 Гбит/с для длинных транзакций - другая. Проблема, что никто не знает своего трафика и длины транзакций уж тем более. Поэтому перед покупкой NGFW его нужно тестировать именно на своем трафике и со всеми включенными функциями. Обычно это можно сделать через SPAN порт вашего свитча, что не прерывает работы компании на время теста.

Основой для выбора будет параметр Threat Prevention Throughput и New Sessions per second. Параметр максимальное число одновременных сессий (Max Session) обычно не влияет, потому что он у всех NGFW поддерживается с большим запасом, даже если измерен с буферами для хранения L7 сессий. Чтобы где-то хостами генерировалось одновременно больше 1 миллиона сессий одновременных - я не видел даже у заказчиков у которых 200000 пользователей.

вторник, 18 августа 2020 г.

Как сетевой защите отличить корпоративный аккаунт от личного в Office365?

Как различить куда заходит сотрудник в облаке: в корпоративный аккаунт или в свой личный? С точки зрения межсетевого экрана это один и тот же сайт, например, login.microsoft.com. Но отличие в том, что логин происходит на разные аккаунты. Облачные провайдеры SaaS придумали как ограничить доступ - межсетевой экран должен лишь сказать облаку какие домены разрешены для логина, а какие нет. Допустим вы хотите, чтобы заходили только на ваш домен business.com. И вы должны это сказать облаку. Это делается при помощи специального заголовка HTTP, который называется Restrict-Access-To-Tenants, что описано в документации у Microsoft. Но кто будет добавлять такой заголовок в трафик из вашей сети? Ваш межсетевой экран. В Palo Alto Networks NGFW эта функция называется HTTP Header Insertion. Эта функция работает для различных типов облаков, включая Office365. Подробно описание тут.

Если ваш сотрудник попытается зайти на несанкционированный домен, то сам портал Microsoft выдаст сообщение, что это запрещено.

После того как вы взяли под контроль доступ к порталу возникнет вопрос: великолепно, но к корпоративному аккаунту есть доступ из Интернет, минуя корпоративный firewall. И тут есть хороший вариант: использовать продукт Prisma SaaS, который в облаке контролирует что делает сотрудник и включает DLP, антивирус, песочницу и контроль писем и файлов. Подробнее в видеоролике


суббота, 15 августа 2020 г.

SOAR - берегите свое время, используйте автоматизацию

Система оркестрации, автоматизации и реагирования (СОАР) все чаще упоминается на встречах и одновременно многие спрашивают что именно другие автоматизировали. Мы собрали самые частые задачки в одну презентацию и показали. На самом деле плейбуков несколько тысяч и вы должны автомтизировать те задачи, которые "устали" делать сами вручную. Это может быть даже не совсем ИБ задача, а немного ИТ, или про финансы, или про операционные контроли.

А вообще SOAR уже не тот ) Надо использовать XSOAR! 

Подробнее на сайте продукта XSOAR https://www.paloaltonetworks.com/cortex/soar

среда, 5 августа 2020 г.

Machine Learning для написания правил NGFW

Задача написания правил на межсетевом экране непростая, потому что правил много. Я встречал межсетевые экраны, где было 80 тысяч правил. Чтобы не ошибиться в добавлении новых правил применяются различные методы, но самое сложное - это исправлять текущие правила, поскольку ты должен изучить какие соединения были разрешены и не знаешь можно ли часть из них запретить, если тебе кажутся они нелегитимными. 

Я уже рассказывал про встроенный оптимизатор политик в NGFW, который позволяет узнать сколько разных приложений ходит по одному правилу и либо сузить этот список, либо создать несколько новых правил для "лишних" приложений. Это реально упрощает задачу по "снижению площади атаки" сервера, а точнее по снижению числа возможных методик обхода межсетевого экрана. 

Обычно в колонке Application администраторы пишут ANY, то есть они не хотят думать какие конкретно приложения нужны данному источнику. Ну и для справедливости надо сказать, что и в колонке Service также часто вижу ANY - либо никто не знал какой порт нужно открыть, либо открыли временно и забыли.

Существует утилита Expedition, которая позволяет сделать автоматический анализ журналов и правил и также автоматически проставить в колонку Application нужные приложения, которые там и так ходят и которые вы, наверняка, хотели сами вписать туда, но руки не дошли сделать это несколько тысяч раз. 

В интерфейсе это выглядит вот так. 
Видно, что в тех правилах, где стояло any и шли приложения L7, Expedition предлагает добавить эти приложения явно в правило. То же самое и если, уже были приложения, допустим ssl, и утилита видит в журнале, что там не все возможные варианты ssl, а конкретные совершенно сервисы, использующие ssl, то она разрешает именно эти. Или наоборот, вы разрешили больше приложений,  ходят не все - она предлагает удалить ненужные.

Автоматизация позволяет для всех ваших тысяч текущих правил межсетевого экрана просканировать журналы трафика, сопоставить с тем, какие правила какие приложения разрешили и автоматически создать новые, более точные правила.

В общем утилита чудесная. Она бесплатная и скачивается прямо с портала 


среда, 29 июля 2020 г.

Обзор рынка NGFW 2020 года и методик выбора


NGFW в тренде

NGFW - это просто или сложно?

NGFW в тренде. Когда Palo Alto Networks придумала и реализовала новую методику SP3 безопасного разрешения приложений в 2007 году, то это задало новый "золотой стандарт" построения межсетевых экранов и политик безопасности и упростило защиту сетей. Чтобы к нему подступиться нужно создать свою лабораторию, которая занимается созданием и поставкой сигнатур приложений, атак и вредоносного ПО, TI, проверками файлов в песочнице и прочей динамической начинкой устройств. Затем нужно нанять программистов, которые будут своевременно реализовывать новые технологии, не забывая про параллельно развивающиеся ИТ технологии: контейнеризацию, микросегментацию, SD-WAN, HTTP/2 и др. Всю сложную работу взяли на себя разработчики и исследователи и автоматизировали ее. И это все это упростило жизнь заказчикам.

Через NGFW удобно сделать удаленку!

Тихое пространство рынка NGFW стало самым обсуждаемым сегментом нашей индустрии в последние месяцы, просто потому, что тут есть VPN и подключать сотрудников по VPN, да еще защищать сотрудников через удобный интерфейс - хотел каждый здравомыслящий ИТ специалист во время коронавируса.

А как выбрать NGFW?

Однако, каждый новый производитель, придя на этот рынок, принес свое видение NGFW. Если посмотреть на рекламу, то оказывается есть NGFW без правил по приложениям, или без правил по пользователям. Оказывается скорость NGFW можно измерить, выключив все функции NGFW; скорость HTTPS можно измерить без проверки сертификатов SSL и категории URL. И самое эпическое - оказывается скорость NGFW можно измерить на UDP трафике 1518 байт, куда вы там вирусы запихиваете? )

Все говорят, что они такие же как Palo Alto, только дешевле ;-)

В общем рынок постепенно наполняется чудесами и заказчикам становится все сложнее прорваться сквозь прессинг маркетинга, где им предлагают самые дешевые, самые быстрые и самые качественные устройства все-в-одном. Производителей UTM, которые говорят, что они NGFW уже более 10. Слышу такую фразу: "Мы такие же как Palo Alto, только дешевле". А как проверить это завяление?

Настоящие критерии выбора NGFW

Чтобы "помочь понять продукт лучше" у некоторых производителей datasheet выглядит как набор 20 различных параметров производительности одного и того же устройства в разных режимах и с разными функциями в одном документе. Если сначала все было понятно и была одна скорость (и должна быть сейчас), где измерялась производительность в режиме все включено (помечается как Threat Prevention), то теперь в datasheet черт ногу сломит. Но и даже к этому значению теперь есть вопросы - в каком режиме работы, с какими сигнатурами и на каком трафике было измерено? А какое значение будет на реальном трафике и с нужным реально режимом работы?

Посмотрим на лучшие ресурсы сегодня, где помогают разобраться в NGFW:


Проект Anti-Malware провел сравнение различных производителей по функционалу:

Хороший набор вопросов к производителям устройств все-в-одном от компании TS Solutions. Их идея: "все производители что-то недоговаривают" ;-) https://habr.com/ru/company/tssolution/blog/324368/

Длинная научная статья про критерии подбора NGFW на WikiSec. Используется тест компании IXIA и NSS Labs.

Статья по правильным вопросам производителям на SecurityLab

Видеозапись выступлений производителей по выбору высокопроизводительного NGFW с участием тестовой лаборатории bi.zone и Anti-Malware, Check Point, Palo Alto Networks, UserGate и Код Безопасности

Видеозапись лекции по критериям выбора NGFW по моему 6 летнему опыту работы с ними

Подкаст Netwell "Вежливый безопасник", где мы обсудили результаты тестов NSS Labs NGFW и разбирались почему они отличаются от официальных datasheet. Там есть даже призы за конкурс по "datasheet" )

Поскольку во всех этих статьях и вебинарах описаны  присутствующие на нашем рынке производители, то я приглашаю делиться своими впечатлениями о различных производителях в комментах и в телеграмм-канале https://t.me/ngfw_russia