All streams
Search
Write a publication
Pull to refresh
4
0

Пользователь

Send message
А VPN в России, как известно, запретили.

Насколько я понимаю данный закон о запрете анонимайзеров и VPN, то в данном случае не совсем понятно его применение.
В частности, решение Panda GD позволяет предприятиям и организациям устанавливать VPN-соединения между своей локальной сетью и удаленным/мобильным сотрудником данного предприятия (или другого предприятия, например, поставщик, продавец, партнер и т.д., кому решили предоставить доступ к локальным ресурсам). Поэтому получается, что такой roadwarrior выглядит так, словно он находится в этой локальной корпоративной сети. Далее он ходит в Интернет уже как из локальной сети предприятия с его внешним IP. А тут уже провайдер предприятия должен блокировать доступ к запрещенным сайтам.

Т.е. с помощью нашего VPN не обеспечивается доступ к запрещенным сайтам.
Насколько я понимаю, с учетом п.17 (с перечнем изменений ст.15) в №276-ФЗ «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ использование VPN-сервисов не запрещено предприятиями и организациями для установления VPN-соединений с ограниченным и заранее предопределенным кругом пользователей (удаленные и мобильные сотрудники) в технологических целях обеспечения деятельности этого предприятия или организации (обеспечение безопасного соединения удаленных/мобильных сотрудников к внутрикорпоративным ресурсам).
Вы таки не поверите, но есть желающие фильтровать по типам вредоносных программ

Скорее всего я не поверю. Если речь идет про реальное предприятие (а не про всякие стресс-тесты и другие вычурные ситуации экспериментов ради экспериментов), то его задача — защита от всех возможных угроз ИБ. И если вместе с шифровальщиками также будут устранены другие угрозы, то в этом точно ничего плохого нет. Не вижу практической задачи на предприятии, когда необходимо фильтровать только шифровальщики, а все остальное — не фильтровать. Если у Вас есть реальный пример — расскажите, пожалуйста.

поэтому осторожнее с заголовками

Что касается заголовков, то тут тоже не вижу неточности. Представленные в статье меры позволяют защититься от шифровальщиков? Да. В заголовке так и сказано. Причем в начале статьи даже оговаривается о том, что меры на конечных устройствах более эффективны, но и на периметре есть ряд мер, которые желательно применять для снижения общего уровня риска заражения.
Правильно ли я понимаю, что описанные выше действия не позволяют в соответствии с заголовком статьи отфильтровать именно шифровальщиков, а служат фильтрации всех без исключения вредоносных программ?

Конечно, в результате этих действий отфильтруются не только сами шифровальщики, но также туда могут попасть и трояны и какие-то другие зловреды. Но вопрос не в том, что надо отфильтровать только шифровальщиков (т.е. все остальные угрозы пропускать, а только фильтровать шифровальщиков), а в том, чтобы в целом лучше фильтровать шифровальщиков (пусть и вместе с другими угрозами), а также усложнить им взаимодействие со своими серверами управления. Я не думаю, что есть практический смысл фильтровать только шифровальщиков, а остальные угрозы пропускать.
Не до конца понятно что конкретно там на картинке изображено, но следуя вашей логике там в строке Update можно увидеть что некие CrowdStrike «составили профиль» этого трояна ещё в апреле, так что в чём тут ваше достижение тоже не очень понятно.

Данные update показывают дату обновления движка, который в тот момент использовался на ВТ.
Мы говорим о том, что продукт с движком от 26 июня (за день до атаки) обнаруживал эту угрозу.

Что касается CrowdStrike, то в данном случае они тоже обнаруживали эту угрозу на момент проверки на ВТ со старым движком.

А достижение в том, что на фоне большинства известных антивирусных компаний наши технологии не позволили нашим клиентам пострадать от этой угрозы.
Снять деньги напрямую можно, когда ты управляешь диспенсером. Установив скиммер, ты можешь только украсть данные карты клиента банка. А потом нужно подготовить дубликат такой карты и пойти в банкомат.

Да, скиммер копирует данные карты.
А уже потом полученные данные можно использовать для снятия средств с карты.
Если скиммер имеет камеру, то можно записывать еще и PIN-код, который пользователь вводит в банкомате.
Так что имея «копию» карты и все данные, можно ее использовать для снятия средств с карты или оплачивая ею где-либо.
Конечно, система чип+pin не безупречна, но это намного лучше, чем старые системы.
Но, например в США, очень много кард-ридеров, которые читают только магнитную полосу.
Клиент отказался от сисадминов в удаленных офисах.
Они занимались не только антивирусами, естественно, но и всеми вопросами системного администрирования (установка, настройка и пр.).
Что касается 1С и телефонии, то они тоже на местах, насколько нам известно, оказывали поддержку 1 уровня, хотя телефония и 1С были в облаке, а потому провайдеры также предоставляли свою поддержку.
Panda Systems Management — это комплексное RMM-решение, которое имеет огромные возможности для мониторинга работы всех объектов сети, применения автоматических сценариев (это позволяет максимально автоматизировать все ИТ-процессы), удаленного управления устройствами и многое-многое другое. По сути это система, которая позволяет максимально автоматизировать все задачи, которые выполняет сисадмин.

У нас нет подробностей относительно того, что в деталях было в обязанностях этих сисадминов. Мы только лишь констатируем факт, который получили от клиента.
Он смог значительно сократить свои расходы.

Единственное, в чем клиент немного ошибся в расчете, и я сейчас с Вашей помощью обратил на это внимание.
Периодически (1-2 раза в месяц) сисадмин выезжает в филиалы для осуществления некоторых работ на местах.
Но расходы там не критичные, потому что наверняка у него машины в филиалы ходят регулярно и по другим вопросам (это командировочные расходы).

Кстати, по поводу зп в 25 тысяч — даже по меркам его региона это не самая высокая зп для сисадминов.
наблюдая постоянные сокращения бюджетов у всех почти компаний…

По поводу сокращения бюджетов и экономии.

Реальный пример от нашего клиента.
Приобрел на год 165 лицензий (1 основной офис и 3 офиса в области и соседнем регионе):
• Panda Adaptive Defense 360
• Panda Systems Management
Стоимость решений безопасности и решений по управлению ИТ-инфраструктурой составила: 346 500 рублей

В результате этого:

1. Клиент отказался от сисадминов в удаленных офисах:
3 сотрудника х 25 000р (зп) = 75 000 руб/мес +49% (налоги и взносы в бюджет) = 111 750 руб/мес. Итого: 1 341 000 руб/год (только по заработной плате)

2. Ресурсы серверов, которые ранее были выделены под антивирусное ПО, сейчас используются под другие цели. Более того, удалось серверы из удаленных офисов убрать в центральный офис (внутреннее облако), что также дешевле в плане обслуживания.

3. Обслуживание инфраструктуры антивирусного ПО в год обходилось порядка 20 000 рублей

4. Экономия на рабочих местах для сокращенных сотрудников

5. Ранее расходы на антивирус составляли 132 000 рублей в год.

6. Не требуется ресурсов на приобретение новых серверов для обслуживания антивируса.

В итоге грубая экономия в год для клиента составила: 1 493 000 — 346 500р= 1 146 500р в год.

За последний год инцидентов с шифровальщиками у данного клиента не было. А в течение года до перехода на Panda Adaptive Defense 360 было несколько инцидентов с шифровальщиками, ущерб составил порядка 120 000 рублей на восстановление данных.

Именно это заставило искать другое решение. Заодно клиент еще и решил автоматизировать работу ИТ-службы, чтобы можно было сэкономить на рабочих местах и штатных единицах и повысить качество внутреннего ИТ-сервиса.


В том-то и дело, что задача облака и всех технологий вокруг этого сделать так, чтобы от новой неизвестной угрозы пострадало не более 5-10 предприятий, а не тысячи за первую минуту. В этом направлении тоже ведется работа. И тут достигнуты вполне приличные результаты. За последнее время мы уже неоднократно видели подобное поведение нашей системы. Не совсем понял Вашу мысль по поводу того, что облако будет сопротивляться изменить вердикт на негативный. Это как?
Неизвестный ни для какого средства защиты троян атакует всех рассылкой через какой Мираи и никакой обмен не успеет помочь.

1. Оперативный обмен информацией в глобальном смысле значительно сокращает количество инцидентов. Да, возможно, это и не дает 100% результат, но все же есть разница, если все же пострадает 1-5 предприятий, а не 500-10000. В первом случае чисто математически получается, что вероятность заражения каждого отдельного предприятия снижается многократно.

Штука нужная, но кто будет обслуживать это у домашников, ИП и СМБ? Только если всех в единое облако
Все это классно, но на текущий момент — для богатых, у которых и так деньги на защиту есть

2. Я бы не сказал, что те же EDR-системы, как Panda Adaptive Defense, слишком дорогие. На российском рынке они стоят в разы дешевле, чем на Западе (в евро). Те же ИП и малые предприятия спокойно могут себе позволить такие решения. И у нас в России ощутимая часть пользователей этого продукта — это малые предприятия (до 100 пользователей). Так что тут выбор остается за ними: тратить чуть больше денег или потом заплатить в разы больше за расшифровку (или не платить за расшифровку, или еще какие варианты).
Запись вебинара доступна по ссылке

https://www.youtube.com/watch?v=wVMxyWf5_Ag
В связи с тем, что на вчерашний вебинар было огромное количество желающих и технически не смогли всех принять, то проводим еще один второй вебинар, сегодня, 19 мая, в 14:00 мск.

Ссылка на регистрацию:

Запись вебинара будет размещена позднее.
Вот эта тишина и настораживает.

Поэтому мы и пишем в своих статьях, что на самом деле еще очень много остается вопросов без ответов.
А потому опубликованный анализ пока предварительный.

Анализ всей ситуации продолжается и уже появляются новые интересные факты и угрозы, использующие эту же уязвимость, но несколько иначе. Так что видимо все еще впереди. Думаю, что мы в ближайшее время об этом напишем.
По целому ряду причин информация о том, какие средства защиты стояли, не разглашается.
Вариантов немного (возможно в сочетаниях): либо средства защиты не были обновлены, либо не был пропатчен Windows, либо текущие средства защиты не смогли предотвратить заражение.
18 мая в 14:00 (мск) состоится специальный вебинар, посвященный экспертному анализу шифровальщика WannaCry: что это такое, этапы заражения, средства восстановления. Анатомия этапов выполнения атаки и ее распространение.

Ведущий: Луис Корронс (Технический директор PandaLabs)
Вебинар будет проводиться на английском языке.

Подробности и регистрация на вебинар https://habrahabr.ru/company/panda/blog/328956/
Варианты шифровальщика, которые использовались в данной атаке, были обнаружены и заблокированы нашими системами утром 12 мая, когда они начали циркулировать в Интернете.
Этап 4 Заражение.

Да, в оригинале стоит Exploitation.
По идее это «Эксплуатация».
В данном контексте это использование эксплойта.
Можно было оставить «Эксплуатация», но данный термин, возможно, будет с первого взгляда не совсем понятен всем читателям.
Проверив ряд публикаций в России по данной тематике, увидели, что для данного этапа используется и слово «Заражение» (видимо, по таким же причинам).
Поэтому решили использовать «Заражение», а в тексте уже расшифровать.

При чем там SQLi?

SQL-injection — это техника, в которой злоумышленник использует уязвимость в коде приложения для отправки SQL-выражений в БД.

Такая техника может использоваться на различных этапах:

— она может использоваться на этапе разведки, изучая слабые места на публичных веб-сайтах для получения информации, которая позволяет точно определить, какой тип системы отвечает. Иногда хакеры используют метод, известный как «time-based blind SQL injection», которая позволяет остановить БД на определенный период времени и исполнить внедренные запросы. Это позволяет, например, провести достаточно простой тест на определение присутствия уязвимости

— она может использоваться на этапе доставки, внедряя SQL-команды в движок БД. Используя синтаксис и возможности языка SQL, злоумышленник может повлиять на запрос, переданный базе данных, для того, чтобы получить контроль над базой данных или запущенным приложением.

— она может использоваться на стадии заражения (эксплуатации) с помощью «error-based SQL injection», когда хакер заставляет базу данных выполнить операцию, которая приведет к ошибке, а затем проверяет сообщение об ошибке, чтобы получить дополнительную информацию, которая может быть использована для создания рабочего эксплойта с корректным синтаксисом, предназначенного для извлечения чувствительной информации.
Благодарим Вас за внимательное прочтение и то, что обратили внимание на ряд моментов, которые на Ваш взгляд, являются неточностями.

* «пейзаж» угроз
«ландшафт угроз», говорят у нас…

Да, Вы правы. Кстати, этот термин «ландшафт угроз» мы также использовали в статье.
Почему здесь оказался «пейзаж»… Наверное пропустили.

* конечная точка На русском нет дословного перевода, говоря о EndPoint — «конечное устройство .[пользователя]», может было бы более читабельно, а так «рабочая станция»…

На самом деле, тут можно подискутировать :)

Дело в том, что «конечная точка» — это термин, который уже устоялся в русском языке.
Причем это достаточно стандартный термин, который используется в математике, медицине, ИТ и многих других сферах.

Если же говорить про ИТ, то на наш взгляд конечная точка — это не только рабочая станция, но и сервер (а этот термин часто идет отдельно от термина «рабочая станция»), различные мобильные устройства и пр. Т.е. это скорее «конечное устройство» (как Вы правильно заметили сперва), чем просто «рабочая станция» (т.е. шире).
Т.к. «конечная точка» уже достаточно часто встречается в нашем языке, мы используем такой термин.

* боковые перемещения внутри сети Я догадался, про что это, но звучит грязно.

А какой Ваш вариант фразы «lateral movement»?

* подозревать атаку а? А есть английский текст оригинала?

В оригинале это звучит как «suspecting the attack»
наверное, корректнее было бы сказать «предполагать атаку» или «ожидать атаку»

* 99% образцов угроз «живут» не более 58 секунд!
Это перевод, ВНИМАНИЕ: 99% of malware hashes are
seen for only 58 seconds or less

В данном случае говорится о том, что 58 секунд — это время между первым обнаружением хэша и последним обнаружением этого хэша.

Получается, что достаточно часто осуществляется переупаковка и хэши меняются
возможно, угроза как таковая — одна, но ее образцов (вариаций) много.
поэтому и получается, что каждый такой образец «живет» 58 секунд

Уточните, пожалуйста, что на Ваш взгляд тут некорректно?
А подскажите, кто автор трехуровневой схемы (внешняя, внутренняя, манипуляции цели)?

Автор термина Extended Cyber-Kill Chain, насколько мне известно, Sean T. Mallon.
У нас в конце статьи есть ссылка на его работу по этому вопросу.
Если расширенная защита на этих машинах, где стоит данная программа, работает в режиме Lock, то система первоначально запретит запускать данное приложение всем пользователям этих машин. Но, Вы сможете добавить данное приложение в исключение, чтобы система не блокировала. При этом система в течение суток проверит данное приложение, и если оно будет невредоносным, то с его запуском и впредь не будет проблем.
Другими словами, расширенная защита предназначена для защиты от неизвестных угроз, атак и уязвимостей.
Если с приложением все в порядке, то после проверки у системы к нему «вопросов» не будет :)

Или я не совсем правильно понял Ваш вопрос?
все подтягиваются, чтобы реализовать в своих средствах базовые механизмы SRP.

Грубо говоря, механизмы SRP — это лишь маленькая часть того, что интегрировано в современные системы.
К сожалению, одно SRP далеко не всегда удобно и практично.
Плюс это не является панацеей для борьбы с уязвимостями в легальных программах, которые можно и нужно запускать, а также с атаками, в которых вообще не используются вредоносные программы.

Безусловно, какие-то элементы SRP тут используются.
Все же развивается по спирали: создали 15 лет назад, потом усовершенствовали все это, интегрировали в другие решения и технологии и т.д.

Information

Rating
Does not participate
Location
Россия
Registered
Activity