Pull to refresh
65
0

Информационная безопасность

Send message
Я бы даже сказал не групповых политик windows, а групповых политик аналогичных подходу kaspersky security center. Посмотрите как там сделано, большая гибкость настройки политик безопасности и назначения их на различные группы хостов. Настраиваемые политики мониторинга Всех компонентов защиты и отчёты по событиям безопасности. Одних только событий мониторинга можно настроить на свой вкус несколько сотен, от блокировки запрещенного скрипта, до логирования действий администратора. Все в одном месте. Возможно не стоит изобретать велосипед. Сделайте также, многие скажут спасибо.
Контроль целостности и замкнутая программная среда это безусловно сильная и нужная вещь. Но как насчёт удобного Централизованного управления большой инфраструктурой состоящей из нескольких тысяч ПК с включением этих функций?
Зоопарк ПО, да часть программ будет из ваших подписанных репов, но часть задач придётся автоматизировать скриптами и самописным ПО, а кое-где и wine с древним софтом применить.

В связи с этим вопросы.
1. ЗПС хочется сохранить на больших объемах техники, чтобы никакой левый bash скрипт не запустился из /home или /tmp пользователя. Нужно удобно Централизованно добавлять разрешения для серверов и ПК на запуск программ и скриптов. Не только из ваших репов, но и своих наработок. Применять гибкие политики или профили разрешений. (Эти сидят в асутп — поджать сильнее, эти админы — дать разрешение для софта администрирования, эти в интернете — разрешить только браузеры) Это есть?

2. Нужна Централизованная отчётность о попытках запуска посторонних программ, скриптов с целью своевремменого реагирования на инцидент. Это есть?

Если есть, где почитать.

Спасибо за подробное описание. Спорный продукт, очередной комбайн.
Anomali ThreatStream - полезная вещь, однако самое главное это не движок, без правильных фидов это пустышка. Я так понимаю большая часть фидов идёт в комплекте, но американское происхождение намекает, на ориентированность в западное направление. Какой мне смысл от ioc атак на Вашингтон или Мехико, только базы раздувать, меня интересуют Российские apt. И по сути это значит интеграцию в Госсопку. Про это ничего не сказано. Совместимость? Возможность?
Anomali Match больше похоже на параллельную siem сущность. Корреляции и детекты можно делать и там. Непонятная надстройка. Из плюсов только, поиск по жирной базе? А оно надо? Глубины сием для оперативного реагирования должно и так хватать. Хакеры сразу бросают скомпроментированные ресурсы и заводят сотни новых. Смысл держать толстую 10летнюю базу древних атак?

Последний пример не до конца понятен. Почему новая команда не принимала работы по ранее согласованному в рамках договора ТЗ? Там были настолько размытые формулировки, что можно было вертеть исполнителем (Вами) как угодно расширяя и расширяя функционал "за те же деньги"?

Спасибо за статью. Вы правы, за много лет развития удаленного онлайн банкинга, вменяемой защиты так и не было реализовано. Все сводится к банальному "введите смс". При том что сим-карту можно не только перевыпустить, но и навскидку , коды можно перехватить через SS7 или подключить другой номер телефона обманув оператора банка.

Дайте людям опцию многофакторности, подтверждение платежей по 2м и более факторам --паралельно--.

Самое примитивное, подтверждение платежа не только по коду смс, но и по коду на отдельную секретную электронную почту. В формочки надо-то добавить дополнительное поле. Или по коду смс + коду почты + код otp на базе андроида.

Если какой-то код не ввел, платеж не должен проходить.

Изменение настроек защиты тоже только через мультифактор.

И не надо говорить про клиенториентированность и удобство, сделайте эти защитные опции --подключаемыми--. Кому лень разбираться, будут смсками по старинке, кому не лень настроят себе нужное сочетание защиты.

Ну а вообще в сбере много долгоиграющих косяков.


  1. Возможность востановить доступ в сбол по просроченной или заблоченной карте.
  2. Косяки с синхронизацией настроек между сбол и мобильной версией. Например лимиты на операции.
  3. Логически дырявая идентификация пользователя по повсеместно навязываемой биометрии.
  4. Во время "технических" работ все профиля настройки могут сами сбросится на час и более, потом вернутся. Вы об этом узнаете случайно.

Название сервера интересное.
"Цероклис — божество злаков и урожая.
В материалах XVII века говорится о жертвоприношениях этому богу животных — черного быка, курицы, поросёнка, а также об обычае оставлять в лесу у дуба два куриных яйца и при еде бросать на землю первый кусок и проливать немного питья. С культом Цероклиса связывают обычай выпечки большого хлеба в форме змея с открытой пастью и поднятым хвостом, а также хлеба в форме свиньи или собаки."

Это все замечательно. Но есть минус. У сисмона нет самозащиты процесса, как например у большинства популярных av. Поэтому прибить сисмон и прекратить сбор событий задача простая.

Шутки «петросянство», в рассылке всем действительно неуместны. Скорее цепляют примеры применимые в личной жизни.
«Хакеры ломают нашу корпорацию, отдельные сотрудники обращались за помощью с подозрением на атаки личных пк, применяйте защитные меры для корпоративных ресурсов, не забывайте про защиту личного пространства
Список рекомендаций:
»

По описанию, snort на максималках, с улучшенной эвристикой.
Скажите в нашу эпоху шифрования всего, в этот инструмент можно загружать сертификаты для инспекции трафика, как это делается например на ngfw.

Некое подобие ИИ давно было в классических антивирусах, с их эвристическими анализаторами.
Теперь анализатором пытаются накрывать не отдельный программный процесс или машину, а сети целиком. Конечно это порождает много ложных срабатываний, среда крайне динамичная.
Хватит ли человеческих ресурсов обрабатывать живыми мозгами все эти ложняки или soc предпочтет откатиться к классическим сигнатурным методам, и снизить нагрузку на аналитиков. Истина как обычно где-то посередине.

Непонятно недовольство программиста по поводу вопроса о времени на решение задачи. Какой метод он считает правильным в распределении времени на задачи?
Риски утечки приватного ключа есть. С другой стороны, если взять классический https inspect, то mitm внешний злоумышленник сможет провести, уже преодолев защищаемый периметр. Тут как говорится Тушите свет.

По части американских «партнёров», если их саппорт с руками сидит на периметровой защите, то тут и помимо банальной кражи сертификатов, можно много чего накрутить. Это уже вопрос доверия к вендору.
Банковская сфера как раз подпадает под 187ФЗ, так-что надо учитывать всю нормативку при создании МУ.
Кто будет пользователем этого документа? Если для собственных нужд то это одно, если для внешнего аудита, то нужны как минимум ссылки на БДУ ФСТЭК, модель нарушителя и другие сопутствующие нормативке по КИИ.
Может быть. Однако неубиваемая порнуха в 3 часа ночи, с полностью выкрученной на максимум громкостью, явно была продуктом чей-то больной фантазии. Ну и наложились найденные подозрительные фотки и другие звуки, которые раньше проходили по разряду «послышалось».
На вирустотале в отчетах видно, что часть приложений имели доступ к камере.

1.Какая средняя стоимость решения.


  1. Сейчас модно атаковать средства защиты. Тут у нас постоянно торчат порты куда-то. Что у данного средства реализованно по части самозащиты?

"средство обеспечения ИБ в сети, которое основано сборе телеметрических данных с различных устройств" — вы сейчас siem и описали упомянутый в начале статьи .

Интеграция в AD, глубокий парсинг трафика как собственными фильтрами, так и сторонними, ips, натирование и создание туннелей, гибкие правила доступа в инет, как для группы, так для отдельных учеток ad, кластеризации, полное логгирование всех изменений конфигурации админами.
Tmg умел ещё Тогда, что многие сегодняшние utm только освоили.
Странно что Майкрософт закрыла в своё время успешный продукт tmg (isa server) заявив что будет сосредоточено только на ОС. А средства защиты это удел других производителей.
И тут внезапно бросилась хостовый антивирус развивать, придавливая попутно других разрабов.

Information

Rating
Does not participate
Location
Россия
Registered
Activity