Неожиданный поворот на Standoff: PT NGFW вызывает ажиотаж среди экспертов!

На прошедшей недавно конференции Standoff в Кибердоме активно работало несколько комнат, где наши лидеры практики, архитекторы, пресейлы, аналитики SOC активно показывали продукты Positive Technologies.

Что изучить новичку в информационной безопасности для получения вакансии

Лекция для студентов и тех, кто только что закончил институт.

Сколько времени нужно, чтобы изучить какую-то технологию? Я занимаюсь информационной безопасностью уже 26 лет и пролистал специально для студентов текущие вакансии и рассказал насколько сложно будет изучить ту или иную технологию, которую требует работодатель. Посмотрите, если вы ищете работу

Документ SANS по top20 профессиям безопасности ищите в моем канале https://t.me/safebdv 00:00:00 Начало выступления 00:00:46 SANS Top 20 Cybersecurity Professions 00:01:21 Вакансии на hh.ru и почему студенты могут им соответствовать 00:02:07 Вакансия стажера в КРОК 00:03:40 Вакансия, где требуется анализ кода 00:04:17 Рекомендую изучать Kubernetes 00:06:37 Курсы PT START в edu.ptsecurity.com у Positive Technologies 00:08:08 Вакансия, где надо знать SAST/DAST/IAST/RASP 00:12:56 Вакансия, где нужно знать уязвимости OWASP Top10 и реверс-инжиниринг 00:17:21 Вакансия, где нужно заниматься документами и законами 00:20:05 А сколько просить денег за свою работу? 00:20:52 Вакансия, где надо знать SaaS, IaaS, PaaS, FaaS, SecaaS 00:23:37 Что такое семиуровневая модель OSI ISO 00:30:20 Вакансия где надо знать SIEM и SOC 00:35:50 Вакансия SecDevOps и зачем вам Ansible и AWS 00:39:20 IPSEC стоит изучить всем 00:40:40 PKI стоит знать всем 00:42:58 Identity Management важная часть знаний 00:46:08 Вакансия в Read Team и про экзамен OSCP 00:47:12 Что такое Kill Chain, MITRE ATT&CK и TTP 00:49:08 Почему популярен DFIR 00:49:39 Что такое OSINT 00:51:04 Можно пойти в отдел маркетинга рассказывать про безопасность 00:51:38 Вакансия на 500000 рублей или почему стоит стать reverse инженером и что изучать 00:53:23 Можно стать пресейлом и там нужно уметь выступать 00:53:30 Прошу написать в комментариях что еще нужно рассказать

Напишите, пожалуйста, в комментариях к видео понравилось ли это и что еще обсудить.

Психология пользователей мешает проводить Security Awareness. Интервью с экспертом.

Осознание сотрудниками важности информационной безопасности - одна из целей команды безопасности. Однако это непростая задача, ведь большинство не просто не понимает, так и активно противодействует своему обучению. Как внедрить security awareness и какие KPI могут быть у команды обучения сотрудников азам кибербезопасности? Обо всем этом рассказала Ольга Лимонова в своем интервью.

В этом интервью Ольга Лимонова делится своей историей как она пришла в профессию, какие задачи стоят перед security awareness и что нужно компании делать для начала повышения понимания сотрудников в информационной безопасности Заходите за другими новостями в канал телеграмм Топ Кибербезопасности https://t.me/safebdv

00:00:00 Заставка 00:02:37 Что такое security awareness 00:03:39 Насколько сложно общаться с людьми про информационную безопасность 00:06:09 Как Ольга стала специалистом по security awareness 00:10:00 Чем занимается специалист по security awareness 00:12:39 Надо ли курсы делать самому 00:13:36 Курсы про безопасные пароли 00:15:25 Какие топ 3 темы для фишинговых писем 00:17:24 Пример фишингового письма от ozon 00:18:06 Основной механизм работы фишинга - отключение мышления эмоциями 00:18:47 Что нужно, чтобы стать хорошим security awareness специалистом 00:23:49 Сколько зарабатывают security awareness специалисты 00:26:40 Как оценивать эффективность security awareness 00:29:05 Как оценивать с чего начать обучение сотрудников 00:31:35 Насколько сложно обучать топ-менеджеров 00:33:41 Насколько нравится работа 00:35:17 Как адаптировать материалы для разных сотрудников 00:39:40 Как строить процесс security awareness и мотивировать сотрудников 00:42:30 Что делать с "необучемыми" сотрудниками 00:44:11 Почему внедрение security awareness приводит к конфликтам 00:46:00 Общая проблема, что тема эротики активно используется хакерами, но замалчивается внутри компании 00:53:23 Опыт собеседований на роль эксперта по security awareness 00:56:00 Как понять ты идешь на хорошую работу или плохую 00:58:00 Сколько человек нужно в команду security awareness 01:00:02 Чем отличаются платформы для security awareness 01:03:00 Сколько стоит платформа security awareness 01:04:06 Обучение security champions по теме application security 01:06:15 Как понять, что ты полезен компании 01:09:19 Как лучше перевести awareness: как осведомленность, как понимание или как осознанность 01:10:55 Неделя цифровой гигиены - хорошая практика за рубежом 01:14:05 Сначала становишься хорошим ИТшником и только затем хорошим безопасником. 01:17:09 Разница между российскими компаниями и зарубежными - персональные данные 01:18:59 Почему важно улучшать понимание и повышать осознанность людей 01:23:30 Россия лидирует по зрелости security awareness 01:26:00 Повышение осведомленности для КИИ и согласно ФЗ 250 01:27:15 Почему аутсорсинг security awareness не сможет поменять культуру 01:29:39 Как часть нужно повторять одну и ту же информацию сотрудникам 01:33:00 А как повышать осведомленность у клиентов банков 01:36:00 Какие способы повышения осведомленности есть у государства 01:37:20 Компании переживают за эффективность специалиста по security awareness 01:39:10 Обычные люди не понимают как работают схемы обмана 01:40:44 В каком подразделении должно находиться подразделение security awareness 01:42:59 Безопасник - как телохранитель 01:45:16 Security Awareness - это про психологию 01:47:53 Осознание, что нужен awareness специалист - это новый этап зрелости компании

Как безопасно работать в Wi-Fi в кафе или отеле? Краткий экскурс

Иногда задают вопрос про то, насколько безопасно работать с ноутбука или смартфона через публичный Wi-Fi. Чтобы раскрыть тему есть достаточно много статей. При этом я вижу, что есть желающие послушать то же самое в дороге как радио. Включайте ваши приемники, здесь видеоролик про безопасность Wi-Fi в публичных местах и также дома.

16 способов повысить безопасность API

 16 способов повысить безопасность API

1. Аутентификация 🕵️‍♀️ - проверяем, что это именно тот пользователь получил доступ к API.

2. Авторизация 🚦 - даем доступы после аутентификации.

3. Уменьшаем число данных 🖍 - не надо хранить все чувствительные данные в одной базе.

4. Шифруем 🔒 - пусть только те, кто знает ключ могут понять данные.

5. Осторожно выводим ошибочные сообщения ❌ - Когда выводим сообщение об ошибках, не выводим слишком много важной информации.

6. Проверяем входные данные & подчищаем ошибки 🧹 - Входные данные разрешаем только нужного нам вида.

7. Intrusion Detection Systems 👀 - В сетевом трафике проверяем подозрительную активность.

8. IP Whitelisting 📝 - Разрешить подключаться к API только с доверенных адресов.

9. Журналирование и мониторинг 🖥 - Храним детальные журналы API и даже смотрим в них постоянно.

10. Rate Limiting ⏱ - Ограничиваем число запросов от пользователей для предотвращения перегрузки.

11. Проверяйте подключаемые модули 📦 - Убедитесь что сторонний код без уязвимостей.

12. Security Headers 📋 - Проверяйте атаки на сайт, например, XSS.

13. Временные токены ⏳ - Выдача токенов только на время предотовращает несанкционированный доступ.

14. Стандарты безопасности и фреймворки 📘 - Позволяйте себе следовать стратегии по защите API.

15. Web Application Firewall 🔥 - защищает ваш сайт от атак по HTTP.

16. API версии 🔄 - отделяйте различные версии API и прозрачно работайте с ними.

Пирамида Дилтса или как решить проблему на другом уровне, чем она возникла

«Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень» - сказал однажды Альберт Эйнштейн.

А что же это за уровни такие?

А уровни логические. Ключ в том, что мы мыслим на разных уровнях абстракции, причем нижележащие уровни зависят от вышележащих. Поэтому если нам не нравится какой-то логический уровень в себе или в другом человеке, то стоит посмотреть выше - а что там? Очень хорошо эти уровни собрал в пирамиду психолог Роберт Дилтс.

Миссия - Для чего вам это все?
Идентичность - Кто я такой?
Убеждения - Во что я верю?
Способности - Как я принимаю решения?
Поведение - Что я делаю?
Окружение - Что я умею?

Встреча по Security Awareness с Ольгой Лимоновой. Вопросы от Денис Батранкова и слушателей

 

Мы уже давали советы руководителям ИБ о том как бороться с фишингом с Юрием Другач. А 11 августа в 11 утра мы поговорим про security awareness с Ольгой Лимоновой

Подключайтесь!

Во многих компаниях организуют обучение по информационной безопасности. При этом сотрудники часто задаются вопросом: «Зачем нам это нужно? Ведь нас должна защищать служба ИБ?..» Как работать с этим возражением? Как рассказывать сотрудникам про security awareness (про осведомленность в области ИБ)? И как повышать уровень осведомленности?

На вебинаре эксперты обсудят:

1. Что такое Awareness, кому и зачем он нужен?
2. Как ты стала Awareness специалистом?
3. Что делает Awareness специалист? 
4. Что нужно, чтобы стать Awareness специалистом?
5. Что нужно, чтобы быть хорошим и востребованным Awareness специалистом?
6. Какое самое лучшее или эффективное мероприятие/процесс помнишь, что сильнее всего повлияло на результаты аварнесса?
7. Сколько Awareness специалисты зарабатывают?
8. Эффективен ли Awareness и как это понять?
9. Какие главне метрики использовали и почему?
10. Как Awareness реализовывается в компаниях сейчас? Как организовать Awareness правильно?
11. Что лучше: организовать Awareness самим или заказать как услугу у подрядчиков? 
12. Что важнее и полезнее в Awareness - курсы обучения или имитированные фишинговые атаки?
13. Про что чаще всего вы просвещаете людей? Какие сейчас наиболее актуальны темы? Примеры?
14. Что делать, если люди не обучаются и вновь и вновь делают те же ошибки?
15. Какие бывают трудности во время реализации Awareness? Бывают ли конфликты с сотрудниками?
16. Нужно ли наказывать сотрудников за нарушение правил безопасности в компании?
17. Какие у вас были самые интересные или необычные истории из работы в Awareness?
18. Есть ли разница реализации Awareness в российских и зарубежных компаниях?
19. Сколько Awareness специалистов нужно, чтобы защитить компанию?
20. Что важнее: защищать сотрудников или защищать клиентов?
21. Awareness для обычных людей существует? Как просвещать и защищать обычных физических лиц, не являющихся вашими клиентами?
22. Должно ли Государство участвовать в просвещении населения в части Awareness?
24. Какие главные вопросы/проблемы возникают в ИБ со стороны людей? 
25. Как ставят цели перед аварнессом руководители ИБ и бизнеса?
26. Какая главная проблема во всех этих процессах, по твоему опыту?

Книга Фридмана "Делегирование: результат руками сотрудников. Технология регулярного менеджмента".

 Когда я начал искать книгу про делегирование, то обнаружил их 200 разных вариаций. 

В итоге посоветовали именно книгу Фридмана "Делегирование: результат руками сотрудников. Технология регулярного менеджмента". 

Хочу поделиться выдержками из книги Фридмана.

Очень много источников призывают делегировать, и применение этого управленческого инструмента кажется абсолютно понятным – так же, как и кажется понятным удар по мячу в футболе. Казалось бы что тут сложного? Но почему-то не всем удается забить мяч в ворота также как и не всем удается удачно передать задание сотруднику. У каждого сотрудника в голове: «почему я должен выполнять то, что вы мне делегировали, а я пообещал вам сделать?»

Есть два вида обязанностей руководителя

1. Функциональные обязанности. По своему содержанию они полностью повторяют функционал подчиненной руководителю структурной единицы. Функциональные обязанности директора по логистике: обеспечить выполнение функционала департамента логистики.
2. Управленческие обязанности – то, что руководитель обязан делать, управляя сотрудниками, для обеспечения выполнения ими нужных – в рамках функционала – действий. Делегирование – одна из компетенций для выполнения управленческих обязанностей.

Фридман выделил четыре уровня делегирования 

Какие выгоды и результаты получили покупатели PT Network Attack Discovery

Как работает PT NAD

 
Записано со слов пользователей:

1. Позволил выявить внутренних злоумышленников (PT NAD видит 117 техник и тактик хакеров из базы MITRE ATT&CK)
2. Позволил повысить экспертизу своих сотрудников, за счет постоянного контакта с экспертами мирового уровня
3. Увидели пароли в открытом виде летающие по сети (это часто неверная настройка LDAP и HTTP)
4. Увидели туннели (обычно их много, например, ICMP или DNS)
5. Обнаружили утилиты удаленного управления
6. Заработал asset control
7. Снизили риски ИБ
8. Снизили потери
9. Узнали что мы взломаны
10. Актуализировали угрозы (у PT NAD 7000 собственных правил выявления угроз)
11. Узнали слабые точки в безопасности инфраструктуры
12. Контролируем смежные подразделения
13. Храним историю сетевых соединений
14. Можем расследовать, а было ли это событие раньше
15. Получили стабильный продукт и инструмент контроля здоровья ИТ системы
16. Снизили ущерб и область распространения успешных кибератак
17. Визуализировали, что творится в вашей сети в реальном времени
18. Обнаружили и обнаруживаем проблемы с устройствами внутри сети
19. Начали контролировать открывает ли кто-то наружу какие-то дырки
20. Выявили бэкдоры, оставленные уволенными ИТшниками.
21. Легко установили, работает из коробки
22. Получили важный источник данных в расследовании цепочек действий злоумышленника
23. У нас есть теперь "черный ящик": храним копию трафика, если взломали то можно увидеть как. Это позволяет соответствовать 196 приказу ФСБ. Сейчас НКЦКИ проверяет насколько хорошо выполняется этот приказ.
24. Получили сертифицированный ФСТЭК продукт класса СОВ (IDS). Замечу, что PT NAD единственные у кого 7000 собственных сигнатур(правил)
25. Отследили горизонтальное перемещение
26. Позволил выявить майнеры. 
27. Позволил контролировать логины и пароли передающиеся в открытом виде в трафике
28. Позволил реализовать threat hunting и поиск различных IoC в трафике для аналитиков SOC 
29. Позволили выявлять целевые атаки и вредоносный код в трафике, включая программы-вымогатели и майнеры
30. Позволил начать контролировать действия администраторов в сети
31. Позволил мониторить производительность сети и кто внутри сети ее нагружает
32. Позволил удобно разбирать инциденты и для ИТ и для ИБ служб, поскольку стандартные утилиты wireshark и встроенные в роутеры не умеют также
33. Позволил после взлома выявить какие машины заражены вредоносным ПО и выявить различные признаки компрометации
34. Позволил контролировать трафик наравне с продуктом СОПКА и реагировать на запросы ФСБ заблокировать вредоносную активность, потому что СОПКА доступа к интерфейсу не дает.
35. Позволил подменить экспертизу NGFW от ушедшего иностранного производителя
36. DPI движок позволил собрать ИТ метрики.
37. Позволил узнать кто из сотрудников переехал в другую страну, потому что NAD подсветил из какой страны они подключаются по VPN)

Выступления по теме Security Operation Center на PHDays 2023

Алексей Лукацкий собрал все выступления по теме SOC в список. Рекомендую посмотреть все эти видеоролики, даже если нет времени )

Киберразведка — это просто, и чем она отличается от «пробива», OSINT и HUMINT
Измеряем работу SOC
Современная история развития cyberthreat intelligence и практика применения
Как понять, что твоя инфраструктура взломана?
Incident response на удаленке: как вызовы COVID-19 превратились в новые практики
«Фиолетовый» подход к повышению эффективности SOC
Воркшоп. Использование проекта ERM&CK для написания сценариев реагирования 
Фреймворк ERM&CK: раскладываем реагирование на инциденты по полочкам
SiemMonkey: сокращаем мартышкин труд
VSCode XP: корреляции без боли и страданий
Почему мы не умеем дружить домами?
Как научить данные «говорить» понятным бизнесу языком
Особенности внедрения и эксплуатации IRP/SOAR на промышленных предприятиях
Автоматизация ИБ всем по силам — сейчас расскажем
Борьба с выгоранием в SOC (шикарнейшее выступление по ситуации в SOC)
Ваш сервис нам не нужен (обсуждали внешние и внутренние SOC)
Экспертная открытость или зачем делиться знаниями с сообществом
Реагирование на инциденты и их расследование: победит ли автоматизированный анализ ручной
Готов ли SOC защищать корпоративные облака
Яблоко раздора: охота на угрозы в macOS

Фильтрация по MAC-адресам в межсетевых экранах

MAC-адрес виден только внутри одного broadcast домена

Иногда встречаю требования фильтровать MAC-адреса на обычном межсетевом экране или даже на NGFW. MAC-адрес приписан каждой сетевой карте производителем, пользователь может его изменить. Он используется для адресации в локальных сетях (LAN), а если быть точным внутри одного широковещательного домена или VLAN. Про широковещательные домены и VLAN хорошо рассказывает автор блога "Сети для самых маленьких". Для примера этот адрес важен для работы ARP протокола или старых забытых IPX/SPX. Таблицы MAC-адресов хранят у себя коммутаторы, чтобы знать на какой порт передавать фреймы (кадры) Ethernet. Каждое устройство в сети отправляет кадры Ethernet коммутатору и он уже передает кадры нужному адресату по его MAC-адресу, как это показано на картинке ниже:

IP-адреса видны глобально во всей сети интернет

IP-адреса используются для адресации в глобальных сетях (WAN). Соответственно на этом уровне работает статическая и динамическая маршрутизация. Таблицы маршрутизации на основе IP адресов хранят у себя маршрутизаторы. На каждом маршрутизаторе происходит переход из одного широковещательного домена в другой, поэтому какой именно MAC-адрес у сетевой карты на этом уровне абстракции уже невозможно проверить, потому что информация о MAC-адресах из соседнего широковещательного домена стирается маршрутизатором в заголовке фрейма (кадра) и недоступна в другом широковещательном домене. Подробно как это происходит описано в статье https://habr.com/ru/articles/707598/ 

Если вы хотите фильтровать по MAC-адресам, то значит вам нужно каким-то образом установить вашу систему фильтрации внутрь каждого широковещательного домена. Поскольку различных VLAN и физических сетей обычно сотни в компании, то это выльется в сотни фильтрующих устройств. 

Приведу аналогию

Примером глобальной фильтрации и маршрутизации является обычная почта: вы адресом указываете страну, город, улицу, дом и по этому критерию направляете письма. Примером локальной адресации и широковещательного домена уже является сама пересылка письма внутри квартиры. Возможно вы это письмо отнесете в кабинет, зал, спальню, кухню или туалет.  Было бы странно, просить почту контролировать куда происходит доставка писем: в туалет или кабинет. Хотя, для кого-то это является важным. ) Но почта это проверить не может... Но почему-то некоторые думают, что должна ) Поэтому требование фильтрации по MAC-адресам - как минимум странно, ведь для этого почтовое отделение надо установить внутри каждой квартиры...

Вывод

Если кто-то хочет фильтрацию по MAC-адресам - то лучше  почитать "сети для самых маленьких" и "что меняется во фреймах Ethernet при передаче информации от роутера к роутеру" чтобы разобраться почему это не работает в реальных сетях.

Куда пойти эксперту по сетевой безопасности на Positive Hack Days 19 и 20 мая 2023 года

Куда пойти эксперту по сетевой безопасности на Positive Hack Days 19 и 20 мая 2023 года

Решения по защите сетей можно разделить на хостовые, сетевые и облачные. К хостовым сегодня относят EDR, XDR, DLP, к сетевым VPN, FW, NGFW, UTM, IDS, IPS, NTA, NDR, TDR; к облачным решениям относят SASE, EASM и CASB. 

19 мая 2023

Впервые компания Positive Technologies расскажет и покажет интерфейс своего продукта PT NGFW в работе и под реальной сетевой нагрузкой с включенным режимом SSL Decrypt.

20 мая 2023

И конечно же на PHDays Standoff  идет интересный конкурс IDS Bypass, присоединяйтесь в телеграмм-канал или прямо в зале Standoff, который расположился прямо у реки.

Уязвимые сервисы подобраны так, чтобы участники сосредоточили свои усилия именно на обходе IDS.

Это соревнование для тех, кто хочет проверить свои навыки в области беспроводных сетей.

Вся программа тут

Онлайн трансляция тут