Pull to refresh
8
Karma
0
Rating

Пользователь

  • Followers 24
  • Following

Модель угроз: как и зачем мы поделили хакеров на категории

Ростелеком-Солар corporate blog Information Security *

Долгое время мы делили киберпреступников на две группы: любителей и профессионалов. Первые бомбили доступным ВПО и баловались мелким хулиганством. Вторые разрабатывали собственные утилиты, целясь в крупный бизнес и госвласть. Подход понятный и простой. Проблема только в том, что сами хакеры уже вышли за пределы этого шаблона. А раз врага надо знать в лицо, то и мы в JSOC решили подойти к делению хакеров и определению их инструментов, методик и целей с другой стороны. В итоге у нас получилось 5 уровней злоумышленников. Каких именно, читайте под катом.

Кто стучится в сеть ко мне?
Total votes 13: ↑11 and ↓2 +9
Views 4.4K
Comments 6

Не только лишь удаленка: как атаковали киберпреступники в 2020 году

Ростелеком-Солар corporate blog Information Security *

Ситуация с ИБ в 2020-м напоминала картины Босха и последователей: множество деталей, все горит и не очень понятно, что происходит. Пока компании решали, как перевести всех на удаленку и не парализовать при этом работу, киберпреступники использовали каждый торчащий наружу RDP, каждого застрявшего дома и потерявшего бдительность работника, каждую незамеченную веб-уязвимость. А главное – хакеры взяли в полноценный оборот метод supply chain, с помощью которого успели совершить самую громкую атаку года. В итоге для злоумышленников год оказался очень даже насыщенным. В 2020 году Solar JSOC зафиксировал 1,9 млн кибератак (на 73% больше, чем в 2019-м), а доля критических инцидентов выросла на 20%. Подробнее о том, как и зачем совершали атаки на компании в 2020 году – в нашем посте.

ВПО, supply chain, утечки и не только
Total votes 18: ↑18 and ↓0 +18
Views 3.3K
Comments 0

Эффективность Security Operations Center: на какие параметры смотреть?

Ростелеком-Солар corporate blog Information Security *
Когда мы говорим о KPI и эффективности, возникает вопрос: а что вообще должен отслеживать SOC в своей повседневной деятельности? С одной стороны, тут все понятно: во-первых, соблюдение SLA, а во-вторых, возникающие события с подозрениями на инциденты. Но ведь статистику событий можно смотреть под разными углами. А еще проблемы с источниками, а еще аномалии, а еще нагрузка на SIEM и т.д. – параметров масса. Какие из них достойны дашборда аналитика – об этом поговорим ниже.


Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 2.8K
Comments 0

Исследование атак со стороны профессиональных кибергруппировок: смотрим статистику техник и тактик

Ростелеком-Солар corporate blog Information Security *Research and forecasts in IT
«Это был тяжелый год» — не только в свете коронавируса, локдауна, экологических бедствий и прочего, но и в части информационной безопасности. С переходом на удаленку многие компании выставили наружу ходы в инфраструктуру, что открыло новые возможности для мамкиных хакеров. Параллельно и профессиональные группировки, использующие гораздо более сложные инструменты, стали атаковать чаще. Мы подвели итоги за неполный год и свели в единую статистику те техники и тактики, с которыми мы чаще всего сталкивались в процессе мониторинга инфраструктур заказчиков.


Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 4.3K
Comments 3

В погоне за «неправильными» инцидентами, или Как мы строим Threat Hunting

Ростелеком-Солар corporate blog Information Security *
Инциденты с SLA-таймингами должны детектироваться с минимальным числом False Positive, а также иметь четкий workflow обработки. При таком устройстве SOC гарантирует, что инцидент будет обработан за определённое время – для дальнейшего своевременного реагирования… Такой подход многие годы был справедлив для любого SOC (и нашего в том числе). Но в какой-то момент пришло осознание, что мы частично теряем полноту картины происходящего. Причина – в тех самых объективных ограничениях, накладываемых на сценарии. Ведь во множестве малорелевантных сработок (которые не могут быть обработаны на линиях мониторинга разумными ресурсами и в рамках SLA) порой таится самая соль происходящего инцидента.


Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 2.4K
Comments 0

Проблемы роста SOC: как учесть +100500 хотелок заказчиков и не сойти с ума

Ростелеком-Солар corporate blog Information Security *
Когда-то деревья были большими, а Solar JSOC – маленьким. Всех его сотрудников можно было пересчитать по пальцам двух рук и ног, поэтому вопроса о единых правилах игры не стояло. При небольшом тогда числе заказчиков мы и так прекрасно учитывали их разнообразные хотелки по выявлению инцидентов и оповещению (в этой компании к инфраструктуре могут удаленно подключаться подрядчики, а в той – по ночам работает админ Вася и это легитимно; здесь ждут мгновенных сообщений о любых подозрениях на инцидент, а там готовы повременить – главное максимум аналитики и т.д. и т.п.). Но со временем клиентов заметно прибавилось, ожидания от SOC у всех были разными (а обещания сейлов о кастомизации сервиса – щедрыми). И все это наряду с ростом числа собственных специалистов с их различающимся пониманием «прекрасного». Чтобы упорядочить возникшую энтропию, можно было, конечно, продолжать плодить инструкции по каждому поводу, а всех инженеров первой линии и аналитиков отправить на курсы развития сверхпамяти, но это чревато…Поэтому мы придумали более действенную схему работы.

Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 2.5K
Comments 0

О неравномерности нагрузки на линии SOC – как мы упорядочиваем хаос

Ростелеком-Солар corporate blog Information Security *

Кадр из мультфильма For the Birds (Pixar)

Деятельность аналитиков центров мониторинга и реагирования на кибератаки (Security Operations Center) чем-то похожа на деятельность любой службы поддержки. Те же линии с инженерами различной экспертизы, тикеты, приоритеты, SLA и тайминги. Но то, с чем приходится сталкиваться менеджменту SOC, не приснится и в ночных кошмарах службе поддержки продукта/сервиса: экстремально короткие SLA, абсолютно непредсказуемая скважность входящего потока, отсутствие понятия «массовая проблема», возможности пообещать решение в следующем релизе и много других фишек, делающих жизнь менеджера SOC ну ооочень интересной. Про отсутствие возможности прогонять инцидент последовательно через линии мы уже писали, настало время поговорить о других особенностях организации процесса. Итак, скважность, короткий SLA и распределение критичностей.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 2.2K
Comments 0

GitHub: библиотека для сбора SSL-сертификатов

Ростелеком-Солар corporate blog Information Security *Go *GitHub
Представляем еще одну библиотеку, написанную на Go – GoTransparencyReport предназначенную для автоматизации сбора и обработки SSL-сертификатов по API сайта transparencyreport.google.com (ранее мы уже размещали библиотеку для поиска данных о корпоративных email по домену). Суть GoTransparencyReport довольно проста: ввел домен — получил аккуратненькую JSON-табличку с сертификатами и остальными полями. Без нее пришлось бы вводить домен на сайте Google, ставить галочку на выборе субдоменов, просматривать кучу сведений, колонок и дополнительных данных, а потом неизвестно как перетаскивать их на свой источник — мы же упростили этот процесс. Ссылка на GitHub прилагается.

Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Views 3.5K
Comments 2

Постройтесь в линию: как мы набивали шишки на создании процессов выявления и реагирования на кибератаки

Ростелеком-Солар corporate blog Information Security *
На старте сервиса по мониторингу и реагированию на киберинциденты у нас было довольно странное деление на две линии аналитики: не только и не столько по уровню экспертизы, сколько по направленности решаемых задач. Была первая линия, которая занималась мониторингом и расследованием инцидентов ИБ. И все остальные – “просто аналитики”, в чьи обязанности входило углубленное расследование инцидентов за рамками типового процесса и SLA, создание правил детектирования новых угроз, а также плотная работа с заказчиком (анализ общего уровня защищенности, проработка максимально эффективного пула сценариев для покрытия модели угроз, подключение новых источников, проработка необходимого уровня аудита, написание парсеров/коннекторов и т.д.).



Мы сознательно не строили многоуровневую линейную модель эскалации расследования инцидентов по линиям 1->2->3-> и т.д. Наверное, просто потому, что не смогли придумать, как уложить подобную парадигму расследования в экстремально короткий SLA на решение инцидентов (0,5–2 часа), причем 30 минут на разбор инцидента далеко не редкость, такие кейсы составляют значимую долю в общем потоке.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 2.3K
Comments 2

Как мы внедрили вторую SIEM в центре мониторинга и реагирования на кибератаки

Ростелеком-Солар corporate blog Information Security *
Одна голова хорошо, а две – некрасиво… Так мы думали, пока жили в чудное время, когда в нашем центре мониторинга и реагирования на кибератаки была одна-единственная SIEM-платформа. Не секрет, что это была HP ArcSight, оказавшаяся единственным финишером длительного марафона через тернии требований, хотелок и амбициозных планов построения сердца SOC.

И вроде бы ничто не предвещало беды, но в какой-то момент появились и стали все более настойчивыми мысли о необходимости работы с альтернативной платформой. И основным локомотивом тут выступило активное развитие центров ГосСОПКА. Для того чтобы стать одним из подобных центров, нам необходимо было использовать ПО, которое обеспечено «гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц» (Приказ ФСБ от 06.05.2019 № 196, п.3.4). Как мы страдали все это пережили и что в итоге получилось, рассказываем ниже.


Кадр из мультсериала «Котопёс»
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 3.3K
Comments 0

Реагирование на киберинциденты: 5 правил разработки плейбуков

Ростелеком-Солар corporate blog Information Security *
Вопрос разработки и приготовления плейбуков по реагированию на инциденты сейчас очень активно обсуждается и порождает разное количество подходов, поиск баланса в которых крайне важен. Должен ли плейбук быть очень простым («выдернуть шнур, выдавить стекло») или должен давать возможность оператору подумать и принять решение на основании собственной экспертизы (хотя, как говорили в одной игре моего детства, «что тут думать – дергать надо»). За наплывом модных аббревиатур и системных рекомендаций достаточно сложно найти соль и серебряную пулю. Мы за 8 лет работы нашего центра мониторинга и реагирования на кибератаки успели наломать немало дров приобрести некоторый опыт в этом вопросе, поэтому постараемся поделиться с вами граблями и подводными камнями, которые встречались нам на этом пути, в 5 практических советах по вопросу.

Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 4.6K
Comments 1

KPI для Security Operations Center: как мы пришли к своей системе метрик

Ростелеком-Солар corporate blog Information Security *
Не буду тут писать длинные заумные тексты о том, «как правильно построить систему KPI для SOC». А просто расскажу, как мы боролись и искали нашли свою методику и как теперь измеряем, «насколько все плохо/хорошо/безопасно/(нужное подчеркнуть)».


Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 4.2K
Comments 0

Азбука SOC OT. Почему классический SOC не защитит АСУ ТП

Ростелеком-Солар corporate blog Information Security *SCADA *
Ни для кого не секрет, что основной опыт и экспертиза в тематике SOC в России (да в принципе и в мире) сосредоточена преимущественно на вопросах контроля и обеспечения безопасности корпоративных сетей. Это видно из релизов, докладов на конференциях, круглых столов и так далее. Но по мере развития угроз (не будем вспоминать набивший оскомину Stuxnet, но, тем не менее, не пройдем мимо Black/Gray Energy, Industroyer и Triton) и нормативных требований закона «О безопасности критической информационной инфраструктуры РФ) все чаще поднимается вопрос о необходимости охватить вниманием SOC и святая святых всех индустриальных компаний – сегменты АСУ ТП. Мы делали первый аккуратный подход к этому снаряду примерно полтора года назад (1, 2). С тех пор опыта и исследований стало чуть больше, и мы почувствовали в себе силы запустить полноценный цикл материалов, посвященных вопросам SOC OT. Начнем с того, чем отличаются технологии и процессы давно привычного нам корпоративного SOC от SOC индустриального (до кадровых вопросов дело дойдет своим чередом). Если тематика вам небезразлична — прошу под кат.


Читать дальше →
Total votes 16: ↑13 and ↓3 +10
Views 3.4K
Comments 3

ИБо нефиг: лучшие ИБ-разоблачения 2020-го по версии JSOC

Ростелеком-Солар corporate blog Information Security *
Подходит к концу первое полугодие, и мы решили вспомнить самые интересные кейсы из жизни JSOC, с которыми столкнулись в этом году. Встреча со «старым знакомым» киберпреступником в новом заказчике, вредоносный скрипт в Task Scheduler и загадка кривой настройки балансировщика – читаем и проникаемся под катом.


Кадр из сериала South Park
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views 6.8K
Comments 12

Реагирование на инциденты: что вам должен SOC

Ростелеком-Солар corporate blog Information Security *

Можно мало что знать о SOC, но все равно будет интуитивно понятно, что в его работе важнее всего две вещи: выявление инцидентов и реагирование на них. При этом, если не брать ситуации, когда мы имеем дело со сложным внутренним мошенничеством или признаками деятельности профессиональной группировки, реагирование, как правило, состоит из ряда очень простых технических мер (удаление вирусного тела или ПО, блокирование доступа или учетной записи) и организационных мероприятий (уточнение информации у пользователей или проверка и обогащение итогов анализа в источниках, недоступных мониторингу). Однако в силу ряда причин в последние годы процесс реагирования на стороне заказчиков начал существенно модифицироваться, и это потребовало изменений и со стороны SOC. Причем, поскольку речь идет о реагировании, где значимо «не только лишь всё» – и точность, и полнота, и скорость действий – можно с высокой вероятностью говорить, что если ваш внутренний или внешний SOC не учитывает новые требования к этому процессу, вы не сможете нормально отработать инцидент.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 3.6K
Comments 3

Запускаем свой SOC или подключаем внешний?

Ростелеком-Солар corporate blog Information Security *
Пока завсегдатаи ИБ-форумов рассуждают о новейших технологиях в Security Operations Center, по умолчанию считая центр мониторинга и реагирования на киберугрозы необходимой частью современной инфраструктуры, в реальном мире многие продолжают работать без него. И это касается не только небольших компаний, но и крупных организаций, потому что чем больше экосистема ИТ-решений, тем сложнее пристроить к ней даже базовый уровень мониторинга и реагирования на события ИБ.



Тем не менее потребность в собственном центре реагирования определяется зрелостью заказчика… или внезапно предъявленными требованиями регулятора, которые сразу же делают каждого очень зрелым. Чтобы оперативно отслеживать инциденты ИБ и реагировать на них, необходима определенная инфраструктура, включающая в себя готовые решения, процессы, людей, вычислительные мощности. И если принципиальное решение уже принято, остается только определиться: создавать ли SOC на базе своих ресурсов или получать весь спектр услуг в виде сервиса.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 3.2K
Comments 4

GitHub: шаблон Zabbix для мониторинга задач сбора данных в MaxPatrol SIEM

Ростелеком-Солар corporate blog Information Security *GitHub


Сегодня SIEM – это главный помощник при анализе событий ИБ: трудно представить, сколько бы потребовалось времени, чтобы вручную просматривать логи с множества источников. При этом прекращение сбора данных с источника – достаточно распространенная проблема SIEM. И далеко не всегда можно решить ее встроенными средствами – а ведь потеря событий в неподходящий момент может быть равнозначна катастрофе. Чтобы ценная информация не пропадала, мы реализовали внешнее решение для контроля работы MaxPatrol SIEM: разработали шаблон для системы мониторинга Zabbix и скрипт на питоне, которым готовы с вами поделиться. Подробности и ссылка на GitHub под катом.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 2.8K
Comments 0

Вопреки карантину: как мы перевели свои стажировки на удаленный формат

Ростелеком-Солар corporate blog Studying in IT Personnel Management *
Удаленка – вынужденный тренд этой весны. К концу марта, когда началась всеобщая самоизоляция, в наших региональных центрах мониторинга и реагирования на кибератаки Solar JSOC уже полным ходом шли традиционные стажировки. Мы были уверены, что готовы ко всему, но…



— Он слишком сильно жмет, это не по плану.
— Планы меняются.

Кэррол Шелби, фильм «Ford против Ferrari»

При чем здесь Шелби, спросите вы? Знаменитый автогонщик и конструктор Кэррол Шелби всегда готов был пойти на авантюру и мог придумать нетривиальное решение в непростой ситуации. У нас гораздо больше общего, чем кажется. Из-за ситуации вокруг COVID-19 планы действительно поменялись. Нам предстояло проделать колоссальную работу по перестройке инфраструктуры, чтобы не только обеспечить удаленный доступ для сотрудников, но и не растерять потенциально интересных стажеров в условиях обучения в стиле HomeOffice. Как мы с этим справились, и что думают о работе из дома сами стажеры, читайте ниже.
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views 2.7K
Comments 0

«Здесь нельзя заскучать»: как работается в региональных филиалах Solar JSOC

Ростелеком-Солар corporate blog Information Security *Personnel Management *Offices of IT companies Interview
Сегодня наш центр мониторинга и реагирования на кибератаки Solar JSOC отмечает День рождения. Нам исполняется 8 лет! В далеком 2012-м, когда мы были совсем маленькими (команда Solar JSOC насчитывала 6-7 человек в Нижнем Новгороде и столько же в Москве), на рынке ИБ никто толком не знал, что такое SOC и зачем он нужен. «Старожилы» вспоминают, что работали по наитию, должностные инструкции придумывали на ходу, постепенно создавая из группы энтузиастов профессиональный центр мониторинга.



За эти годы мы выросли, технологии трансформировались, но осталось неизменным наше понимание, что SOC – это, прежде всего, люди. Сейчас Solar JSOC – это совокупно порядка 200 человек в Москве, Самаре, Хабаровске, Ростове-на-Дону и Нижнем Новгороде, где расположен наш крупнейший региональный филиал. Мы поговорили с ребятами, которые стояли у истоков создания центра мониторинга в Нижнем Новгороде, а также с коллегами из других филиалов, о том, как они попали в компанию и почему в свое время выбрали именно эту, тогда еще никому не известную специальность.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 3.3K
Comments 4

Кибермишени 2019 как тренды 2020 – хакеры сменили фокус

Ростелеком-Солар corporate blog Information Security *Research and forecasts in IT Infographics

Каждый год мы фиксируем рост количества киберинцидентов: хакеры придумывают новые инструменты или модифицируют уже имеющиеся. Каким был 2019? На первый взгляд, без неожиданностей: объем инцидентов вырос на целых 30% и составил более 1,1 млн случаев. Но если копнуть глубже, то становится очевидно: в погоне за «легкими» деньгами злоумышленники сместили фокус на новые мишени. Вообще внешних атак стало больше – их доля выросла до 58% (годом ранее была 54%). При этом доля сложных атак увеличилась в разы: 55% событий были выявлены с помощью сложных интеллектуальных средств защиты (в 2018 таких инцидентов было 28%). Базовые средства защиты в подобных ситуациях бессильны. Ниже мы расскажем, с какими опасностями компании столкнулись в минувшем году и чего ждать в ближайшем будущем.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 3.4K
Comments 0
1

Information

Rating
Does not participate
Works in
Registered
Activity