Pull to refresh

Comments 34

Красиво. Кейсы. Только вот у вас сейчас турнир по ИБ идет, сайт на неделе дефейснули ) Что же мы теперь будем делать? image
Такие сайты всегда атакуют. Вот в прошлом году мы свой защищали. Направленные атаки были, одна довольно грамотная, но ото всех мы закрылись. В этом году мы партнеры проекта.
Отмазка защитана
Спасибо за статью, недавно столкнулись с подобным на работе, ваша статья очень актуальна для меня сейчас.
От себя хочу добавить небольшой список OpenSource ПО для защиты сети:

1. NIPS/NIDS: Snort, Suricata, Sagan
2. HIDS/HIPS: OSSEC
3. Sandbox: Cuckoo Sandbox, я недавно написал по ней статью
4. WAF: ModSecurity, NAXSI
5. DDOS: Apache — mod_evasive, Nginx — Testcookie
6. SIEM: OSSIM, Prelude
7. AV: ClamAV
8. AntiSpam: ASSP
9. Encryption: TrueCrypt (указал ссылку на git версию 7.1a лишь потому, что по неподтверждённым данным версия 7.2 может иметь закладку), GnuPG
10. Honeypot: Modern Honey Network, Honeyd

Список не исчерпывающий и включает в себя только ПО из моего личного опыта использования, настройки и администрирования.
По этому ПО в лс могу немного помочь советом по настройке, развёртыванию, администрированию и возможным «подводным камням».

Если кто-то может что-либо от себя сюда добавить — пишите, буду признателен за обмен опытом.
Для базового уровня среднего и малого бизнеса — вполне достойный набор.
Но некоторые из ваших решений совсем не подходят для крупных компаний. И от серьёзных атак не все закроют. Другое дело, что в малом бизнесе таких атак просто нет.
Вы абсолютно правы, по моему личному опыту — проприетарное ПО показывает себя с намного лучшей стороны и по качеству выполняемой функции и по стабильности(не всегда). Но начальный ценник практически везде — шестизначный.
Ну а в защиту Open Source хочу отметить OSSIM, это просто очень крутой стабильный комбайн из различных Open Source программ, если грамотно её настроить, то она вполне покроет огромный спектр рисков ИБ, это действительно достойный продукт и несмотря на наличие коммерческой версии Open Souce развивается так-же динамично без урезания внедряемого доп. функционала.

Ну и ещё хочу добавить:
11. DLP: MyDLP по которой, кстати, есть интересная обзорная статья на хабре.
12. Контроль посещаемых ресурсов: Squid Proxy
Раз пошла такая пьянка — Вы не подскажете где найти документацию к API OSSIM?
А то там столько, мягко говоря, экзотического кода, что руки опускаются.
Основная цель — ..., исходники кода, ....

Неужели дешевле организовать подобную многоступенчатую атаку, чем нанять хороших разработчиков для написания аналогичного кода? Единственная причина, которую я вижу, для кражи чужих исходников – это взлом этого самого софта. А взлом, насколько я понимаю, может быть осуществлён путём реверс-инжиниринга, декомпиляции и т.д. Так что всё равно не очень понятно, кому и зачем нужны чьи-либо исходники…
Более того, иной раз дешевле самому написать, чем использовать исходники кода
На моей практике подобные атаки осуществляет не группа людей, а один человек, нанятый кем-либо, это заметно по некоторому поведенческому «почерку», и на качестве самой атаки это, отнють, не сказывается. Работу такого специалиста оплатить дешевле, чем разработать готовый продукт самостоятельно или штатом нанятых программистов.
Ну и есть ещё такая тенденция, как APT атаки, вот тут на хабре эта тема поднималась, а сам термин был внедрён после этой вот ситуации, это конечно не исходники кода, но специфика действий хакеров аналогичная в большинстве случаев.
Исходники кода не только копируют. Но и внедряют в них закладки, причем весьма умно. Зловред может выслать исходники с вашей локальной копии проекта, а умные люди напишут закладку, которую вы сами же и закоммитите.
Это вопрос раздолбайства – всегда надо смотерть дифф коммита. А с раздолбаями в любом случае что-нибудь смогут сделать. Или они сами накосячат.
мммм, а вы правда смотрите дифф всех закоммиченых файлов? Нет, вы это серьезно?
На нынешнем месте работы – в обязательном порядке, да. Раньше – время от времени. Ну а хотя бы список изменённых файлов всегда видно было.
Ну список файлов — это понятно, но залазить в КАДЫЙ! Наверное, все очень зависит от сферы, но лично у меня бывают сотни изменений в одном коммите. И это не из-за того, что мне лень было коммитить, или еще чего, просто для реализации фичи иногда требуется довольно много изменений, а коммит нерабочего кода — нехорошо.
Коммитить можно частями с заблокированными нерабочими функциями, например. Или просто в отдельную ветку, в которой разработка конкретно этой фичи идёт.
Отдельная ветка под каждую фичу это само собой разумеющийся факт для меня, но это не значит, что можно коммитить нерабочий код.
А почему нет? Это же не «мастер», который должен быть всегда «зелёным».

Впрочем, спорить не буду, наверно я изначально слишком категорично написал.
Просто на текущем месте работы очень быстро привык просматривать дифф перед коммитом – оказалось полезно и периодически спасает от закоммичивания какого-нибудь глупого console.log()
Если выдать сотрудникам Хромбуки и, соответственно, перевести в онлайн офисный пакет — позволит ли это защититься от атак через вложения в письмах?
Смещается акцент защиты. При этом если за защиту своих ПК и серверов мы хоть как-то можем быть спокойны, если действительно применяем меры для защиты, то в случае с Хромбуками остается только доверять Google.
Можно, но зачем вложения в письмах когда есть связка Phishing Frenzy + BeEF?

p.s. Упс, не совсем туда ответил.
Надо же, и анатомия вторжения хороша, и вендоров перечислили великое множество, а об автоматических способах предотвращения кражи (или хотя бы выявления утечек) данных (Data Theft / Leakage Prevention) ни слова. Одни досы, ботнеты, да эксплойты. А про обратный поток информации (выход из сети) почему-то думают в последнюю очередь.

Вредоносный код снаружи внутрь посадят в любом случае, несмотря ни на какие модные NGFW и песочницы, можно только повысить входной порог со школьного до профессионального (от государственного уже не спастись).

Бороться приходится скорее с коллегами из отдела эксплуатации, которые всю парадигму безопасности описывают словами «веб-фильтр с антивирусом». Когда надо переслать данные из точки А в точку Б, безопасность мешает, и лучше продлить поддержку на Microsoft TMG до 2050 года…
Если на вас возложена функция по обеспечению информационной безопасности, это, в частности, значит, что обучением и просвещением заниматься тоже вам. Конечно, ситуация поменяется не за день и даже не за неделю. Но под лежачий камень, как известно, вода не течет. Когда ИТ и бизнес-подразделения не понимают что такое ИБ, задают вопросы типа: «зачем она нам нужна», отпускают реплики типа «она ведь мешает», «это ведь всего лишь антивирус и межсетевой экран и не более того», а ИБ-шники чистые «технари» и говорят на своем, никому не понятном языке, возникает логичный вопрос – а что делают представители ИБ подразделения, чтобы изменить данную ситуацию коренным образом? Предпринимают ли они хотя бы попытки пообщаться с бизнесом/руководством и ИТ на тему информационной безопасности? Пытаются ли говорить на их языке, чисел, рисков, выгоды? Моя практика показывает, что если компания новая на рынке, такое продолжается до первого серьёзного удара.
в сфере ИБ люди с таким мышлением составляют ничтожное меньшинство, как показывает практика)
в основном, бытует мнение, что безопасность появляется с приходом технических решений, а мнение бизнеса вообще не учитывается.

в итоге ИБ превращается в черный ящик, который живет своей жизнью, тратит деньги на подпитку себя работой, которая не нужна бизнесу.
тут же рассматриваются направленные атаки, а не утечки.
а утечки данных (внутренние угрозы) можно рассматривать только если а) сотрудника подсадили специально б) сотрудника «убедили» слить данные
причем это тоже может быть частью направленной атаки, но это очень специфический сценарий
проснувшийся RAT (Remote Access Trojan) часто использует HTTP в качестве транспорта, и на этом базируются несколько техник его выявления, использующих технологии DLP (Data-in-Motion), но (строго говоря) не являющиеся средствами предотвращения утечек; эти вещи (в теории) надо увязывать и с коррелятором событий типа SIEM

системы всевозможного мониторинга, например, файлового доступа (File Activity Monitoring, FAM), изначально не распознают содержимое того, к чему мониторят доступ, им нужен оператор-наводчик — система, которая скажет: вот за этой группой файлов надо «смотреть» пристально; всевозможные файловые помойки, куда бизнес беззаботно скидывает много интересного, требуют аудита, чистки и уничтожения (как мусорные корзины в офисе); это задачи DLP Data-at-Rest.

технологии DLP не серебряная пуля, но это полноправный член экосистемы информационной безопасности

к тому же, направленные атаки и нелояльные сотрудники друг другу совершенно не противоречат, а скорее, наоборот:)
ага, еще есть много членов экосистемы, но речь не об экосистеме))
UFO just landed and posted this here
Статьи про kill-chain добрались и до рунета, наконец.
наборы утилит, которые бегают по сети и пытаются атаковать всё, что плохо лежит
Хотел бы я посмотреть на утилиту, способную атаковать то, что лежит =)
UFO just landed and posted this here
а что такое «технический трафик», icmp что-ли?
да замешать можно во что угодно,
просто хотелось бы, что бы автор побольше тех деталей привел, семплов, историй из жизни,
а не маркетинговое полотно со списком прог и техническим трафиком

все-таки ресурс обязывает…
Only those users with full accounts are able to leave comments. Log in, please.