Эта статья – о рисках смены руководства в больших компаниях и характерных явлениях при попытках игнорировать закон эффективного управления собственностью:

Эффективно управлять можно только той собственностью, которую мог бы создать сам.
Кто не может создать, – будет только разрушать!
И.А. Дедюхова, Кодекс Хамурапи

Картинка для привлечения внимания читателей из поколений Y и Z:

Краткое содержание

Новый директор себе в подчиненные и советники пригласит своих «проверенных людей». Увеличение штата топ-менеджеров в условиях фиксированного ФОТ повлечет за собой сокращение рядовых сотрудников на значительный процент.
Новый директор в первую очередь будет сокращать те подразделения, работу которых он не понимает. Под прессом психологического давления руководители этих подразделений возмут на себя обязательства самостоятельно разработать планы по сокращению и принять на себя все риски их реализации.
Сокращения пройдут под флагом повышения эффективности, но для «непонятных директору» подразделений не смогут сформулировать критерии этой эффективности, кроме «минимизации затрат». Цель по минимизации затрат без дополнительных обоснованных ограничений – это цель по уничтожению, и не имеет отношения к настоящей оптимизации.
Отсекая непонятные ему части компании (выводя в аутсорс и т.п.), директор попытается превратить компанию в ту, работу которой он полностью способен понять, которой он в полной мере способен управлять.
Проблему нехватки знаний в технической области новый директор и его команда компенсируют «помощью» от западных консалтинговых компаний. Это приведет к ситуации внешнего управления, причем без всякой ответственности за диктуемые извне решения.
Внешняя и внутренняя отчетность о работе компании до самого конца не будет показывать никаких признаков проблем, т.к. тому, кто принес плохие вести не выдают премию, а рубят голову.

---

Хорошо зафиксированный пациент в анестезии не нуждается

По многочисленным просьбам трудящихся сегодня мы будем заниматься очень важными вопросами:

• Как правильно мазать зубы пальцем?
• Хорошо ли растворяются пломбы в кислоте?
• Почему больно, когда сверлят зубы дрелью без анестезии?
• Зачем мазать зубы зеленкой?
• Лечение кариеса на дому
• Глубокое микрофторирование эмали

Немного пробежимся по скучной теме строения зуба и сразу погрузимся в волнующий мир бесчисленных тварей, которые жрут вас заживо, и разнообразных полезных стоматологических пузырьков и тюбиков.

В компании Cisco есть подразделение Talos, которое занимается широким спектром исследований в области угроз информационной безопасности (последнее исследование WannaCry — тоже их рук дело). В основе Talos лежит множество данных, собираемых по всему миру и анализируемых в круглосуточном режиме:

• 90 миллиардов DNS-запросов ежедневно
• 18,5 миллиардов файлов ежедневно, из которых 1,5 миллиона вредоносных (к слову сказать, Лаборатория Касперского 2 миллиона вредосноных программ детектирует еженедельно)
• 16 миллиардов Web-запросов (URL) ежедневно
• 600 миллиардов сообщений электронной почты ежедневно.

Раньше, когда нужно было что-то разграничить (например, сервера с обработкой платежей и терминалы юзеров офиса), просто строили две независимых сети с мостом-файерволом в середине. Это просто, надёжно, но дорого и не всегда удобно.

Позже появились другие виды сегментации, в частности, по правам на основе карты транзакций. Параллельно развивались ролевые схемы, где машине, человеку или сервису назначаются свои конкретные права. Следующий логический виток — микросегментация в виртуальных инфраструктурах, когда DMZ ставится вокруг каждой машины.

В России пока есть единичные внедрения подобных защитных построений, но скоро их точно будет больше. А потом мы, возможно, не будем даже понимать, как можно было жить без такого. Давайте рассмотрим сценарии атак на такую сеть и как она на это реагирует.

У одного из наших заказчиков появился довольно интересный запрос, связанный с работой контрразведки на предприятии. Цель — чтобы более чем дорогую (в том числе для государства) информацию не выносили наружу. Идея реализации — сбор всех возможных открытых данных о сотрудниках и выявление среди них «казачков» по шаблонам поведения. Собственно, это и раньше делали безопасники вручную, но теперь предлагалось применить хороший дата-майнинг.

А дальше стало жутковато: мы поняли, как много можем узнать друг о друге, используя всего лишь открытые данные. Начиная с промышленного шпионажа и заканчивая личными отношениями на работе. Полезло столько всего, что нам чуть было не порезали публикацию этого поста. Да и порезали бы, если бы полезных «гражданских» применений не оказалось бы в разы больше.

 
Анализ шифровальщика Wana Decrypt0r 2.0 для выявления функционала, анализа поведения и способов распространения вредоноса.

Относительно недавно наша компания организовала программу стажировки для молодых специалистов по направлениям:

1. Основы сетевых технологий (Cisco).
2. Серверное администрирование (Windows, Linux).
3. Технологии виртуализации и систем хранения данных (VMware, Microsoft Hyper-V).
4. Современные средства защиты информации (UTM, NGFW, Sandbox и т.д.).
5. Этичный хакинг (CEH) и Pentest.
6. Обработка машинных данных (Log management — Splunk, MaxPatrol SIEM)

Если взять сетевое направление, то в ходе практики, почти у всех начинающих сетевых инженеров или студентов данного направления возникает вопрос: “Что нужно знать сетевому инженеру? На чем сосредоточить силы?”. Я всегда начинал советовать какие-то темы и направления, затем понял, что было бы неплохо составить некий чек-лист, для молодых инженеров, чтобы у них был ясный вектор развития. Кроме того я попытаюсь дать ссылки на ресурсы, где эти навыки можно получить. Естественно универсального списка нет и все что я могу предложить это свое представление о необходимых навыках любого сетевого инженера. Данный список составлялся на основе личного опыта и отражает то, с чем чаще всего приходится сталкиваться в работе. Уверен, что у большинства есть свое мнение на счет обязательных навыков и скорее всего оно не совпадает с моим. Если вас заинтересовала данная тема, то добро пожаловать под кат…

Добрый день, коллеги. Вот и подошел черед третьей статьи, посвященной Security Operations Center.

Сегодняшняя публикация затрагивает наиболее важный аспект любого SOC – контент, связанный с выявлением и анализом потенциальных инцидентов информационной безопасности. Это, в первую очередь, архитектура корреляционных правил в SIEM-системе, а также сопутствующие листы, тренды, скрипты, настройки коннекторов. В статье я расскажу про весь путь обработки исходных логов, начиная с обработки событий коннекторами SIEM-системы и заканчивая использованием этих событий в корреляционных правилах и дальнейшем жизненном цикле уже инцидентного срабатывания.

Эта статья открывает цикл публикаций, посвященных функционированию центра по мониторингу и реагированию на инциденты информационной безопасности – Security Operations Center (SOC). В них мы будем рассказывать о том, что надо учитывать при создании SOC, о процессе подготовки инженеров мониторинга, регистрации инцидентов и практических кейсах, с которыми сталкивается Solar JSOC.

Цель данных статей не самореклама, а описание практических аспектов в реализации сервисной модели оказания услуг в области информационной безопасности. Первая статья будет иметь вводный характер, но она необходима для погружения в тему, которая все еще является достаточно новой для российского рынка информационной безопасности.

Зачем нужен SOC

Что такое SOC, чем он отличается от SIEM, и зачем вообще он нужен, я описывать не буду – слишком много статьей в последнее время написано на эту тему. Причем в статьях можно было встретить взгляд с любой стороны: эксперта, вендора SIEM, владельца или сотрудника SOC.

В качестве вводной информации стоит упомянуть статистику по данным исследований, проведенных ФРИИ, а также компаниями Group-IB и Microsoft:

• Потери экономики РФ от киберпреступности за 2015 год оцениваются в 123,5 млрд рублей.
• 60% российских компаний отметили рост числа киберинцидентов на 75%, а размера ущерба — в два раза.

Также хотелось бы упомянуть статистику по нашим клиентам, которая отражается в ежеквартальных отчетах JSOC Security Flash Report:

• Двукратный рост количества инцидентов информационной безопасности в первом квартале 2016 года по отношению к аналогичному периоду 2015 года.
• Значительный рост инцидентов, связанных с утечками конфиденциальной информации.
• Увеличение критичных инцидентов с 26% до 32% по отношению к общему скоупу.
• Рост числа различных кибергруппировок, работающих по известным схемам мошенничества.

Нет другой отрасли, которую можно было бы рассматривать в качестве более благородной и беззаветной, нежели здравоохранение. Это настолько гуманитарная сфера, что даже в конфликтных ситуациях ее представители обязаны уважать и защищать вас любым доступным способом. Сложно поверить, что кто-то хотел бы подорвать общественное значение здравоохранения, не говоря уже о том, что кто-то преднамеренно осуществляет кибер-атаки против медицинских организаций.

Деньги — то, что движет миром, но, к сожалению, для них неважна специфика отрасли. Деньги — это основная мотивация для большинства кибер-преступников, кто смог обнаружить в здравоохранении «кладезь» уязвимостей.

Здравоохранение сфокусировано на других жизненно важных вопросах, возможно по этой причине медицинские организации долгое время не обращали должного внимания на свою IT-безопасность. В итоге данная отрасль обеспечена высокотехнологичными решениями с недостаточным уровнем IT-безопасности, что сильно тревожит.

Онлайн-маркетинг и ведение блогов не получили бы столь широкого распространения без таких систем управления содержимым (CMS), как WordPress.

Считается, что WordPress — это самая простая и при этом многофункциональная CMS. С помощью нее все от любителей до крупных компаний могут создавать, публиковать, управлять и следить за веб-контентом.

На сегодняшний день на WordPress работает примерно 76,5 миллионов блогов, или 27% всех страниц в интернете. Каждый день создается еще 50000 веб-сайтов (источник: WordPress).

Из-за такого объема операций WordPress становится мишенью для злоумышленников. Взломщики проникают в систему, чтобы распространять вирусы, раскрывать данные или мешать работоспособности WordPress-сайта в целом.

Все мы знаем о фундаментальных законах физики, открытые Ньютоном и Галилеем. Наверное хотя бы немного со школьных парт слышали об аксиоматике Евклида. Кто решил хотя бы приблизиться к положению homo universalis, (хотя в наш XXI век это весьма непросто) наверное что-то слышал о законах Данилевского, Тойнби и/или Сэмюэла Хантингтона...

А что с Информационной Безопасностью? Есть ли у нас, ИБ-шников свои фундаментальные законы? Да — есть! И в этой статье о них пойдет речь.

В последнее время мы все чаще говорим о решениях безопасности «следующего поколения», способные обеспечивать расширенную защиту корпоративных сетей от неизвестных угроз, APT, шифровальщиков, направленных атак и прочих угроз нулевого дня. Насколько сложно настраивается такая защита и почему она так необходима? Рассмотрим на примере Adaptive Defense 360.

Средний возраст людей увеличивается, и государство уже не справляется с расходами. Два месяца общаясь с людьми из Британии по поводу ухода на пенсию, мы поняли, что старость становится всё более пугающей перспективой

Мы вступаем в эру без пенсий. Путешествие в эту страшноватую реальность не длительное: первое поколение, на долю которого она выпадет, сейчас находится в возрасте 40-50 лет. Они росли, ожидая такого же пенсионного обеспечения, каким наслаждались их родители – закончить работу к 65 годам, и получать пенсию достаточную для того, чтобы потратить оставшееся здоровье на исполнение давних мечтаний. Но для них уже, скорее всего, поздно что-то менять, чтобы получить возможность уйти на пенсию.

В 2010 году британские женщины уходили на пенсию в 60 лет, а мужчины – в 65. К октябрю 2020 года людям обеих полов придётся ждать до 66. К 2028 году этот возраст повысят до 67. И этот рост продолжится. К 2060-м годам люди будут работать и в 70 лет, но согласно исследованию, нам всем придётся работать и после 80, чтобы получить такую же пенсию, что досталась нашим родителям.

Если честно, не понимаю почему на Хабре до сих пор не освещена данная тема. Исправим это недоразумение. В прошлой статье мы затронули тему проверки эффективности существующих средств защиты. Данный инструмент весьма полезен, однако все мы понимаем, что это слабый тест. К тому же этот тест синтетический. Как оценить реальную сеть с реальным трафиком? Какие угрозы действительно для вас актуальны, есть ли в сети зараженные компьютеры, какие приложения запускают пользователи и кто «выкачивает» весь трафик? Как правило для этого приходится использовать кучу различных средств:

1. Средства для проверки почты и их вложений;
2. Средства для анализа посещаемых сайтов и объемов трафика;
3. Средства выполняющие функции потокового антивируса;
4. Средства анализа трафика (IDS);
5. И многое другое.

В рамках данной статьи хотелось бы обсудить вопрос: «Как выбрать NGFW решение из многообразия предлагаемых продуктов, решений и вендоров?» В связи с этим, мы рассмотрим несколько соображений по этому поводу и сформируем некий «чек-лист», по которому желательно пробежаться перед выбором решения.
Соображение №1. Все конкретно недоговаривают
Последние несколько лет я очень плотно занимаюсь темой NGFW, и самый частый запрос от клиентов, выбирающих решение для защиты сети, это сравнение и вопросы различия между лидерами различных квадрантов Gartner, NSS Lab и так далее. И это могло бы быть простой задачей. Но, как говорил один герой известного сериала…

К большому сожалению, нет НИ одного вендора с полностью достоверной информацией в маркетинговых брошюрах и DataSheet-ах. Каждый из них либо что-то недоговаривает, либо использует заведомо бесполезные характеристики, которые получаются с помощью искусственных тестов. Уловок у них миллионы. В большинстве случаев только личный опыт и большая (огромная) практика работы со всеми решениями на рынке, могут помочь вам обстоятельно выбрать решение для конкретной задачи за тот бюджет, который у вас есть.

Есть несколько вопросов, которые встают перед фрилансерами, использующими кредитки или карты-рассрочки перед выездом за границу. Один из важнейших — это средство хранения денег и платежей. Карты русских банков по ряду причин становятся неудобны при длительном пребывании за границей — например, в случае утери, блокировки и необходимости восстановления. Или, например, при необходимости завести новый счёт в другой валюте — не полетишь же специально в Россию за этим? В последнее время добавились и политические риски. Но в итоге всё сводится к вопросу чисто логистическому: как получить банковскую карту, находясь за пределами родной страны.

7 марта 2017 года сайт Wikileaks начал публикацию коллекции Vault 7 секретных документов Центрального разведывательного управления США. Первая часть коллекции Year Zero содержит 8761 файл, в том числе список разнообразных зловредов, вирусов, троянов, десятков 0day-эксплойтов и полезной нагрузки для них, систем удалённого управления (сейчас вместо папок с файлами лежат pdf со списком файлов, после проверки появятся сами файлы) и соответствующая документация. Всего во всех частях коллекции — сотни миллионов строк кода. По мнению активистов Wikileaks, после такой утечки ЦРУ теряет контроль над большей частью своего хакерского арсенала.

Файлы получены из сети с высокой степенью защиты в Центре киберразведки ЦРУ, расположенного в Лэнгли, шт. Виргиния.

В последнее время все чаще говорят о решениях безопасности «следующего поколения», построенных на Больших данных с применением искусственного интеллекта. Но насколько такие решения эффективны? И каким образом необходимо их оценивать? Попытаемся разобраться на примере Adaptive Defense 360.

В статье «Как новые руководители разрушают доверенные им компании» мы остановились на роли в этом процессе иностранных консалтинговых фирм.

Большинству читателей показалось спорным утверждение, что консалты работают исключительно в интересах бизнеса своих стран, а для российских компаний их советы, мягко говоря, не приносят пользы.

Хотя никто и не будет спорить, что полезные советы по ведению государственных дел или бизнеса диссонируют с зажиманием РФ по всем фронтам. Санкции, «санитарный кордон» из цветных революций, запрет банкам покупать облигации РФ, снижение рейтинга для страны в целом и по предприятиям в частности, обещания порвать экономику в клочья из уст Президента США, прижали «большой спорт» и даже паралимпийцев не пожалели. Госдеп выпустил инструкцию о запрете работы компаний с Россией, а Вице-Президент США Байден обещает кибератаки.

Почему же тогда западные спецслужбы, которые активно используются даже в экономическом шпионаже между союзниками, до сих пор по-дружески не поговорили с руководством консалтинговых компаний, не объяснили им, с кем дружить надо, а с кем – нет? Ну конечно же они поговорили, правда, немного не так.

Но всё же, как эти консалты умудряются «угодить и нашим и вашим»?
Как они ведут дела так, что их деятельность одновременно одобряют и руководители компаний РФ, и западные спецслужбы?

Это не магия и не искусство, это — отработанная технология.