Страницы

А вы до сих пор блокируете?

Интересную модель определения зрелости ИБ услышал на SANS курсах.
Возьмите листик и ручку. Сделайте два столбца: Превентивные меры, Детективные меры. И запишите в них все имеющиеся у вас контроли / инструменты ИБ.
Если превентивных контролей у вас >80%  - поздравляю, ваш уровень 0.


Сходил на SEC511 Continuous Monitoring


SANS - самый уважаемый институт повышения квалификации в мире ИБ с соответствующими понтами и ценником. В Америке он уже давно съел весь рынок, поэтому в последнее время вектор развития направлен на Европу и Азию. Преподаватели наполовину местные, наполовину залётные, штатовские (их слушать, пока что, по-интересней, чем местных).

Вот и решил я сходить на недельные SANS курсы этим летом в 4х звездочный отель в центре Амстердама, который вел @BryanOnSecurity

Чего боится малварь...



Чего боится малварь?
Того, что её распотрошат на кусочки, вытащат статичный код, строки, таймстэмпы и имена переменных, нарежут всё это на сигнатуры и скормят антивирусам. Хорошая малварь живет буквально часы, потому что по каждому линку, который вы отправляете в соцсетях, или вставляете в письма, по каждому посещенному вами вебсайту или скаченному / выложенному в сеть файлу обязательно пройдется бот, который запустит файл в песочнице и проанализирует его поведение: пытается ли файл всё шифровать, ставит ли себя в автозагрузку, устанавливает ли новые сервисы и обращается ли к подозрительным IP. И если файл покажется боту подозрительным - хэш, C2C URL и IP будут добавлены в черный список и разлетятся по сигнатурным базам разных вендоров через биржи обмена IoC (Indicatorы of Compromise)  в течении нескольких минут, а сэмпл полетит на стол к аналитику для детального анализа.
Человек выпихнут из первой линии АВ ответа уже давно, именно это и позволяет АВ компаниям громко заявлять о тысячах тысяч проанализированных сэмплов и добавленных сигнатур в день. Все делают песочницы, MDDs (Malware Detonation Devices).

Эффективность песочницы напрямую зависит от того, как точно она может копировать тупого пользователя (который кликает по каждой ссылке и запускает все скачанные файлы на непропатченной XP), а жизнь малвари, соответственно, зависит от того, сможет ли она отличить мимикрирующий AI от теплокровного идиота.

EICAR аналог для IDS

EICAR - это строка, которая позволяет проверить работоспособность антивируса. Очень удобно - бросил файл, смотришь АВ лог, чинишь поломанные агенты.
К моему удивлению, EICAR аналог для IDS отсуствует, что, конечно, большой просчет вендоров.

Но исправить его можно с помощью паттерн пинга.