Присоединяйтесь к конференции Palo Alto Networks Digital Day 28 апреля в 11 утра. Мероприятие традиционно пройдет в онлайн-формате.
вторник, 27 апреля 2021 г.
Конференция: как обойти межсетевой экран и как автоматизировать первую линию SOC
суббота, 24 апреля 2021 г.
Блокирует ли ваша периметровая защита exe файлы?
Сейчас актуальна тема защиты от криптолокеров. Когда злонамеренный скрипт попадает в сеть, то ему нужно докачать остальную часть вредоносного кода. Обычно это исполняемый файл, например EXE. Злоумышленники используют различные методики сокрытия этого, например, в данной статье, вредоносный скрипт скачивает exe файл, который переименован в TXT. Но на самом деле внутри исполняемый модуль. А что в этот момент делала ваша сетевая защита?
Ваш периметровый NGFW защиты должен
- Журналировать все скачиваемые файлы по всем приложениям и по любым портам.
- Определять тип файла не по названию, а по реальному контенту.
- Блокировать исполняемые файлы (например, это EXE в Windows) для всех сотрудников и всех устройств, включая IoT, IIoT.
- Для определенных сотрудников разрешать скачивание, но задав предварительно вопрос.
Эволюция защиты от криптолокеров
Также приглашаю вас на конференцию 28 апреля, где мы обсудим как обходят межсетевые экраны.
Вся программа:
o 11:00 – 11:10 - Открытие конференции
o 11:10 – 11:30 - Как обходят межсетевые экраны
o 11:30 – 11:50 - Что появилось нового в сетевой защите
o 12:00 – 12:20 - Как автоматизировать первую линию SOC
o 12:20 – 12:35 - Опытный взгляд от SOC эксперта
o 12:35 – 13:05 - Кто должен отвечать за безопасность DevOps?
o 13:05 – 13:30 - От NGFW к NG SD-WAN. Почему Network SLA плохо работает и что с этим делать?
o 13:25 - 14:00 - QUIZ с призами
вторник, 20 апреля 2021 г.
Что делать если злоумышленник обошел все средства защиты?
Чтобы защититься нужно понимать кто, как, почему атакует.
- фишинг в виде специально созданных писем с вредоносными вложениями или ссылками на них;
- атака сначала личной почты, которая менее защищена, но которую тоже проверяют на работе;
- заражение через партнеров, которые хуже защищены: сначала заражают их сеть, а потом уже заходят в вашу;
- использование уязвимостей, которые есть в процессорах и приложениях: браузерах, почтовых программах, VPN шлюзах и также в устройствах IoT;
- социальная инженерия в виде добавления своего номера счета в середине переписки между людьми или просьба дать доступ или даже сказать пароль;
- социальная инженерия в виде "помощи" на форуме, когда человеку присылают вредоносный код вместе с какой-то нужной утилитой;
- атака на цепочку поставок в виде закладок BIOS/UEFI или в аппаратную часть или в библиотеку самого производителя;
- URL ссылки в виде QR кодов или просто написанные на открытках и визитках или других "подарках";
- взлом домашней сети и домашнего компьютера.
Пример: производитель программных продуктов для управления сетью SolarWinds поставлял закладки своим заказчикам, сам не зная этого (Источник: https://safebdv.blogspot.com/2020/12/solarigate.html)
Пример: хакер впаял жучок на плату Cisco ASA (Источник: https://habr.com/ru/news/t/471398/)
Есть два подхода к оценке взломана ли компания
И второй подход под названием Red Team - вы собираете утилиты и техники, которые используют группировки и задача людей проверить возможны ли эти тактики в вашей организации и как вы от них защищаетесь. Полную видеопрезентацию по TTP и Red Team и ATT&CK MITRE можно посмотреть ниже:
Важным аспектом является борьба с инсайдерами. На самом деле любой хакер, попавший в сеть - инсайдер. Ведь он работает от имени какого-то сотрудника.
Что нужно защищать
- личную почту сотрудника и как она защищена: прочитайте ему курс по защите личной почты;
- компанию партнера и как они защищены: выставите им требования по защите;
- сложность проникновения к важным ресурсам: удлините злоумышленнику kill chain чтобы Time to Detect и Time to Response было как можно быстрыми;
- ошибки конфигурации: проверяйте, что собственные сотрудники не ошиблись в настройке защиты самих себя и средств защиты компании.
Пример: В Microsoft Exchange Server обнаружена уязвимость, позволяющая получить к серверу полный доступ. Если у вас стоит XDR, то обычный анализ того, что почтовый сервер exchange запускает новый процесс - этим продуктом ловится мгновенно.
Что делать если у вас атака уже произошла: что-то невидимое где-то внутри что-то делает. Первый шаг?
- Incident Handler's Handbook https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
- Computer Security Incident Handling Guide https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
Какие выбирать продукты для защиты от APT
Пример: Эдвард Сноуден на портале Wikileaks опубликовал документы ЦРУ по техникам обхода защиты, это огромная база данных под названием Vault 7. И число продуктов по безопасности, которые они умеют обходить впечатляет.
Источник: https://wikileaks.org/ciav7p1/cms/index.html
среда, 14 апреля 2021 г.
Вебинар: как заниматься безопасностью и не конфликтовать с уголовным кодексом
понедельник, 5 апреля 2021 г.
А что делать, если вы знаете кто вас атакует?
И какой подход в этом случае применять, когда вы знаете что вас атакуют и даже знаете кто? Такая конференция совершенно необходима и мы ее организовали.Подключайтесь 7 апреля в 11 утра на онлайн выступление экспертов по целенаправленным атакам. Я его модерирую. Регистрация тут.