Страницы

Модель защищенного доступа от Микрософта



Почитал про то, как устроен доступ привилегированных пользователей у Микрософт ( http://aka.ms/cyberpaw ). Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа. Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.

Засланный казачок


AV stands for "another vulnerability"

Конечно, все об этом знают (а кто не знает - тот догадывается), но ваш антивирус работает не на вас. Это софт, который был разработан для того, чтобы уничтожать файлы из вашей корпоративной сети и делать это так быстро, что ваше участие в этом процессе исключается.

Поэтому мне абсолютно понятно за что Госдеп не взлюбил Касперыча, не понятно только почему одного его (точнее и это понятно, но кроме как русофобией объяснить это нечем).

Любопытный фишинг



Хороший фишер делает домашние задания. Идёт на ЛинкедИн, покупает премиумакк и собирает ящики сотрудников организации, фильтрует сотрудников ИБ, отмечает HR.

А вы до сих пор блокируете?

Интересную модель определения зрелости ИБ услышал на SANS курсах.
Возьмите листик и ручку. Сделайте два столбца: Превентивные меры, Детективные меры. И запишите в них все имеющиеся у вас контроли / инструменты ИБ.
Если превентивных контролей у вас >80%  - поздравляю, ваш уровень 0.


Сходил на SEC511 Continuous Monitoring


SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником. В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию. Преподаватели наполовину местные, наполовину залётные, штатовские (их слушать, пока что, по-интересней, чем местных).

Вот и решил я сходить на недельные SANS курсы этим летом в 4х звездочный отель в центре Амстердама, который вел @BryanOnSecurity

Чего боится малварь...



Чего боится малварь?
Того, что её распотрошат на кусочки, вытащат статичный код, строки, таймстэмпы и имена переменных, нарежут всё это на сигнатуры и скормят антивирусам. Хорошая малварь живет буквально часы, потому что по каждому линку, который вы отправляете в соцсетях, или вставляете в письма, по каждому посещенному вами вебсайту или скаченному / выложенному в сеть файлу обязательно пройдется бот, который запустит файл в песочнице и проанализирует его поведение: пытается ли файл всё шифровать, ставит ли себя в автозагрузку, устанавливает ли новые сервисы и обращается ли к подозрительным IP. И если файл покажется боту подозрительным - хэш, C2C URL и IP будут добавлены в черный список и разлетятся по сигнатурным базам разных вендоров через биржи обмена IoC (Indicatorы of Compromise)  в течении нескольких минут, а сэмпл полетит на стол к аналитику для детального анализа.
Человек выпихнут из первой линии АВ ответа уже давно, именно это и позволяет АВ компаниям громко заявлять о тысячах тысяч проанализированных сэмплов и добавленных сигнатур в день. Все делают песочницы, MDDs (Malware Detonation Devices).

Эффективность песочницы напрямую зависит от того, как точно она может копировать тупого пользователя (который кликает по каждой ссылке и запускает все скачанные файлы на непропатченной XP), а жизнь малвари, соответственно, зависит от того, сможет ли она отличить мимикрирующий AI от теплокровного идиота.

EICAR аналог для IDS

EICAR - это строка, которая позволяет проверить работоспособность антивируса. Очень удобно - бросил файл, смотришь АВ лог, чинишь поломанные агенты.
К моему удивлению, EICAR аналог для IDS отсуствует, что, конечно, большой просчет вендоров.

Но исправить его можно с помощью паттерн пинга.

Администрация Сочи собирает ПДн банковских работников


Прислали краснодарские друзья. Если б не проверенный источник, подумал бы, что фишинг: обезличенные адресаты, содержимое не связано с темой, ящики на Яндекс и Мылору... жуть.
 

Мой ответ гражданке Гандалоевой: