Страницы

Слив сотрудников Сбербанка

420 тысяч записей вида "SAMAccountName","DisplayName","CanonicalName" утекли у Сбербанка через powershell запрос Get-ADUser. Утекли первоначально отсюда, а сейчас базу можно взять тут.

Я вам скажу Сбербанк ещё легко отделался.

Правдивый обзор Cisco Umbrella


Cisco купила OpenDNS пару лет назад и выпустила новый продукт - фильтрующий DNS сервер (точнее облако) Cisco Umbrella.

Решил запилить свой обзор, с дырами и скелетами в шкафу, ибо достало уже :)

Тюнинг сигнатур Cisco IDS (aka Sourcefire / FireSIGHT / FirePOWER )

У меня особое отношение к Сиско идскам. Я их нелюблю. Они полны багов (тупых, хронических и "катастрофических"), вебинтерфейс ужасно тормознутый (даже на топовой модели с 40 ядрами и нулевой загрузкой) и порог входа чрезвычайно высок - нужно суметь найти среди десятков страниц настроек маленькую кнопочку, дабы всё, наконец, заработало.

Особая боль - это отсутствие RMB опции "Copy" и невозможность быстрого экспорта событий в csv.
 
"Cisco, за что??" 

Однако Gartner киску любит, а джунипер еще большее дерьмо.

Модель защищенного доступа от Микрософта



Почитал про то, как устроен доступ привилегированных пользователей у Микрософт ( http://aka.ms/cyberpaw ). Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа. Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.

Засланный казачок


AV stands for "another vulnerability"

Конечно, все об этом знают (а кто не знает - тот догадывается), но ваш антивирус работает не на вас. Это софт, который был разработан для того, чтобы уничтожать файлы из вашей корпоративной сети и делать это так быстро, что ваше участие в этом процессе исключается.

Поэтому мне абсолютно понятно за что Госдеп не взлюбил Касперыча, не понятно только почему одного его (точнее и это понятно, но кроме как русофобией объяснить это нечем).

Любопытный фишинг



Хороший фишер делает домашние задания. Идёт на ЛинкедИн, покупает премиумакк и собирает ящики сотрудников организации, фильтрует сотрудников ИБ, отмечает HR.

А вы до сих пор блокируете?

Интересную модель определения зрелости ИБ услышал на SANS курсах.
Возьмите листик и ручку. Сделайте два столбца: Превентивные меры, Детективные меры. И запишите в них все имеющиеся у вас контроли / инструменты ИБ.
Если превентивных контролей у вас >80%  - поздравляю, ваш уровень 0.


Сходил на SEC511 Continuous Monitoring


SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником. В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию. Преподаватели наполовину местные, наполовину залётные, штатовские (их слушать, пока что, по-интересней, чем местных).

Вот и решил я сходить на недельные SANS курсы этим летом в 4х звездочный отель в центре Амстердама, который вел @BryanOnSecurity

Чего боится малварь...



Чего боится малварь?
Того, что её распотрошат на кусочки, вытащат статичный код, строки, таймстэмпы и имена переменных, нарежут всё это на сигнатуры и скормят антивирусам. Хорошая малварь живет буквально часы, потому что по каждому линку, который вы отправляете в соцсетях, или вставляете в письма, по каждому посещенному вами вебсайту или скаченному / выложенному в сеть файлу обязательно пройдется бот, который запустит файл в песочнице и проанализирует его поведение: пытается ли файл всё шифровать, ставит ли себя в автозагрузку, устанавливает ли новые сервисы и обращается ли к подозрительным IP. И если файл покажется боту подозрительным - хэш, C2C URL и IP будут добавлены в черный список и разлетятся по сигнатурным базам разных вендоров через биржи обмена IoC (Indicatorы of Compromise)  в течении нескольких минут, а сэмпл полетит на стол к аналитику для детального анализа.
Человек выпихнут из первой линии АВ ответа уже давно, именно это и позволяет АВ компаниям громко заявлять о тысячах тысяч проанализированных сэмплов и добавленных сигнатур в день. Все делают песочницы, MDDs (Malware Detonation Devices).

Эффективность песочницы напрямую зависит от того, как точно она может копировать тупого пользователя (который кликает по каждой ссылке и запускает все скачанные файлы на непропатченной XP), а жизнь малвари, соответственно, зависит от того, сможет ли она отличить мимикрирующий AI от теплокровного идиота.