А что делать, если вы знаете кто вас атакует?

Существуют компании, которые постоянно под атакой. То есть они та самая лакомая цель. И они про это в курсе и здесь роль безопасника именно в реальной защите, а не в перекладывании бумажек. Причем, бывает, что вы даже знаете кто вас атакует: конкуренты или соседние государства. Эти люди даже пишут в своем блоге об успешной атаке на вас. А когда это те самые избранные государства, о которых нельзя говорить и которым все можно, то вспомните как подозрительно промолчали все по поводу того, кто же взломал Лабораторию Касперского при помощи Duqu2.
И какой подход в этом случае применять, когда вы знаете что вас атакуют и даже знаете кто? Такая конференция совершенно необходима и мы ее организовали.

Подключайтесь 7 апреля в 11 утра на онлайн выступление экспертов по целенаправленным атакам. Я его модерирую. Регистрация тут.

Очередной хитрый взлом правительств и даже компании FireEye через цепочку поставок получил название Solorigate

Атака на цепочку поставок уничтожает всю выстроенную архитектуру безопасности в компании. И от нее почти невозможно защититься. Я уже упоминал выступление Александра Матросова в прошлом году на конференции Offzone, где было хорошо расписано как схема взлома работает и предлагал способы защиты политиками Zero Trust. То есть вы вроде покупаете проверенный ноутбук или сервер или софт для компании, но где-то по пути от производителя до вашего офиса есть точка, где вам встраивают закладку. И проверять поставщиков на каждом шагу почти невозможно. И неважно из какой страны ваши ИТ продукты, даже российские поставщики уязвимы.

И сегодня многие новостные каналы будут обсуждать взлом правительственных организаций, компании по безопасности FireEye и других компаний мирового уровня. Это произошло посредством встраивания троянской программы в обновления софта Orion компании SolarWinds.  К чести компании FireEye она по сути единственная, кто смог вообще обнаружить эту закладку. Они оповестили весь мир и мы теперь с этим разбираемся. Компания Микрософт уже нарисовала картинку как это работает:

По информации самой компании SolarWinds у нее более 300000+ заказчиков и кто из них получил такую троянскую программу нам еще предстоит узнать. В рекламе на сайте SolarWinds в списке заказчиков упоминается Ciscо и Apple.

На самом деле многие компании ломают через партнеров и даже собственные удаленные офисы и конечно через удаленный доступ собственных сотрудников: вы им доверяете по умолчанию и не предполагаете, что ваш старый поставщик или ваш собственный сотрудник будет вас атаковать. Считаю, что 2021 год станет годом пересмотра доверия своим старым поставщикам, перехода к схеме доверия "доверяй, но проверяй" или Zero Trust. Вот так меняется мир.

По такой же схеме в 2017 году был взломан софт популярной бухгалтерской программы M.E.Doc, и затем все пользователи этой программы были скомпроментированы и управлялись уже хакером через управляющие сервера M.E.Doc, что было почти невозможно обнаружить. 

Посмотрите этот короткий ролик про то как правильно делать удаленный доступ к своей сети и почему важно НЕ выставлять свои приложения напрямую в Интернет.

Далее я предлагаю обсудить как контролировать поведение сети продуктами класса NTA и UEBA, поскольку без них, похоже, уже не обойтись в современном мире угроз.