среда, 22 декабря 2021 г.

Открылся музей криптографии в Москве

Совершенно уникальный музей открылся в Москве. У меня получилось его посетить 21 декабря 2021 года. Адрес сайта https://cryptography-museum.ru/ Адрес фактический Ботаническая ул. 25, с. 4. На такси лучше ввести адрес Академика Комарова 1Г

Чувствуется, что все сделано с любовью. Дизайнеры очень постарались. Фантазия неимоверная: много реально работающих стендов. Есть даже стенды, где работает распознавание речи. И авторы смогли продемонстрировать посетителям и азы криптографии и историю этой науки и даже найти множество реальных устройств, которые использовались и в России и в мире.


Музей занимает целое трехэтажное здание и демонстрации есть даже в подвале. Я провел полных полтора часа и реально даже устал, уверен что не все удалось даже посмотреть. Так что рекомендую заказать экскурсовода, чтобы не просто читать все подряд, а сфокусироваться на основных историях из мира криптографии. 

Множество стендов объясняющих азы криптографии подойдет школьникам. Я помню как в 6 классе мы увлекались шифром простой замены и писали друг другу записки на основе готовых таблиц замены и, думаю, что школьникам зайдет информация об их разновидностях.


Оформление просто чудесное. 

Есть возможность интерактива, где можно слушать запись, смотреть видео, нажимать самому на различные кнопки и отвечать на вопросы. 

Комната, где показаны основные алгоритмы шифрования. В ней по-моему просто сделать фотографию уже приобщиться к миру криптографии. Ну, собственно, это я и сделал.

Есть и юмор, вот, например, книжки где можно вспомнить свой пароль )


Непонятное для меня рабочее место. Без экскурсовода не разобрался. 


На входе задаемся простыми вопросами и затем ищем ответ!


Множество оборудования было рассекречено и показано на публике впервые.


И также есть комнаты, где показана информаци об основных столпах науки об информации: Шеннон, Котельников и другие.


Приведены реальные примеры шифрблокнотов, секретных кодов из реальной практики.


Пример реальной комнанты для связи с США.


Приведены основные постулаты криптографии


И конечно самые частые персоны этой науки Алиса и Боб получили свою стену и там важно остановиться и обдумать информацию.

Настоящая шифровальная машина Энигма 

Описание различных подходов к шифрованию




Демонстрация как работает шифровальная машина механическая - движущаяся!


















И даже схема алгоритмов фейсбука наличествует на стене




Остальное смотрите в музее! Советую!

суббота, 11 декабря 2021 г.

Чем отличается XDR от SIEM+Sysmon

На прошедшей недавно конференции SOC Forum активно обсуждались новинки на рынке: SOAR, XDR, MDR. Я выбирал что принести нового: Autonomous Digital Experience Monitoring  или External Attack Surface Management и выбрал EASM. Об этом напишу позже.


Я вдруг осознал на лекциях, что многие заказчики воспринимают новые технологии, лишь как переименование старых. Например, сейчас попробуйте сами ответить на вопрос: чем XDR отличается от SIEM?

И на конференции как раз прозвучал такой вопрос: а если я поставлю Sysmon и буду отправлять логи sysmon и NGFW в SIEM,  то получу ли я такой же функционал как в XDR?
Если отвечать коротко, то основное различие простое: XDR блокирует атаки, а SIEM+Sysmon детектирует. И это самое важное. Также давайте рассмотрим подробнее и другие аспекты.

Для начала приведу часть вопросов, которые задаю заказчикам и они мне про функционалу XDR )

Функционал

У вас есть шифрование дисков?
У вас защищаются флешки?
Сколько у вас консолей управления защитой рабочих станций?
Можете определить имеющиеся уязвимости на Windows, MacOS, Linux?
Можете делать форенсику удаленно?
Поддерживаете ipv6?
Блокируете эксплойты для Linux?
Отправляете файлы в песочницу?
Можете ли вы собрать в единую цепочку события от хостов и сетевых устройств?
Получаете события от сторонних источников?
Инциденты связаны с базой TI?

Containment

Как вы изолируете Windows, MacOS, Linux?
Куда вы шлете команды на блокировку на NGFW или на хосты?
Можете ли вы найти в своей сети устройство, на котором нет агента? Как?
Можете ли вы хранить данные больше 6 месяцев? Среднее время обнаружения инцидента 300 дней. Это 10 месяцев.
Можно редактировать IoA? BIOC?
UEBA есть на основе событий NGFW?
Инвентаризация есть: пользователей, групп, дисков, сервисов, драйверов, автозапуска, демонов, точек монтирования?
Инциденты можно забрать по API?
Умеете запускать скрипт на питоне на всех операционках?

До появления XDR, на все эти вопросы можно было ответить имея в наличии несколько разных систем: SOAR, TIP, SIEM, EPP, сканер безопасности, правильно настроенные системы защиты операционных систем. В общем это все решить можно в комплексе. Если у вас только SIEM+Sysmon - вряд ли вы решите перечисленные выше задачи.

С появлением XDR у вас появился единый интерфейс, в котором вы можете ответить на все эти вопросы и быстро расследовать инциденты, заблокировать распространение угроз. И тут уже нужно констатировать, что XDR продукты сильно сложнее: в них интегрированы агенты, которые защищают хосты, в них работают все ранее известные техники защиты и добавлены поведенческие техники. Причем, если в SIEM поведенческие техники и индикаторы поведения вы отрабатываете отдельно от хоста, то в XDR они работают на каждом хосте, даже когда он отключен от системы управления. И именно на этом основаны техники своевременного предотвращения распространения шифровальщиков, руткитов и другого вредоносного кода.

Пример behaviour indicator of compromise правил внутри Cortex XDR


Итак, какие проблемы вашей службы безопасности призваны решить решения XDR?

1. Слишком много событий => вы упускаете из виду атаки или вы не успеваете их расследовать.

2. Слишком много утилит безопасности => аналитику не хватает экспертизы пользоваться всеми сразу, чтобы понять что же явилось причиной возникшей проблемы.

Зачем переходят на XDR:

Автоматически создавать и расследовать инцидент: для этого требуется собирать не только события безопасности, но и обычные события: создание процессов, файлов, соединения через NGFW. В SIEM тоже можно начать отправлять вообще все события на хостах и в сети. Но готов ли ваш SIEM и его движок корреляции? Сколько событий в секунду он может коррелировать? (не принимать, а коррелировать).

Ускорить время расследования инцидента. Различные производители показывают фантастические результаты: почти мгновенно аналитик SOС получает готовый расследованный инцидент в виде картинки следующих друг за другом событий: root cause analysis.

Сгруппировать поток событий в один инцидент автоматически и показать только самые важные автоматически. Надо отдать должное SIEM - это в них тоже заложено. Но сравнить как это сделано в SIEM и как это сделано в XDR - очень советую.




Схема объединения событий с хоста и из сети в событие XDR.