На мой взгляд, SourceFire оказался совсем не торт. Cisco думали, что купят готовое качественно решение, а на деле оказалось, что это на коленке сделанная система. Cisco в принципе поздно вошли в рынок UTM устройств. Им сейчас бы активно заниматься новыми технологиями, а они вынуждены доводить до ума то, что уже есть (продавать то они начали практически сразу этот полуфабрикат).
Нет, не связано. А что за конвертор?
Если говорить про Firepower, то мое субъективное мнение — продукт еще очень сырой. Года два еще надо, чтобы получилось что-то достойное.
На самом деле, я бы использовал для визуализации какую-нибудь Grafana. Данные для графиков/таблиц можно выдергивать через Zabbix-API. Получается отдельный интерфейс для безопасников, чтобы они не лазили в IT-шном заббиксе.
Добрый день. Спасибо за статью, очень интересно. Есть несколько вопросов.
1. Это работает только для linix-хостов? Можно ли подобное делать для Windows систем?
2. В данном случае мы определяем только уязвимости установленных пакетов. Есть ли возможность сгружать в заббикс данные от сетевого сканера? Т.е. видеть в дашборде дыры, которые образуются в результате miss configuration (открытые порты, слабый пароль и т.д.)?
В том то и дело, что по дефолту на подавляющем большинстве шлюзов проверка hash-based. Она не бессмысленна конечно, но не так эффективна. И на чекпоинте это меняется путем включения deep inspection.
Более того, я проверил еще несколько серьезных вендоров (Cisco, Fortinet, PaloAlto) и там ровно такая же ситуация. Сгенерированный на коленке вирус проходит без проблем с дефолтными настройками анти-вируса. Правда при этом должен быть выключен IPS, иначе именно он успешно ловит эти простенькие вирусы, как раз на уровне сигнатур, но уже в потоке, еще до того, как файл попадет на анализ в AV.
В этом и была мысль, показать на сколько просто создать вирус, который не детектится по хэшу. А именно этот способ чаще всего используется для потоковых антивирусов на шлюзах безопасности.
Так и не понял идеи. Вы в самом начале выдвинули тезис, что антивируса недостаточно для защиты от шифровальщиков. И тут же говорите, что для улучшения защиты мы будем использовать (внимание!) Антивирус.
Основная проблема антивируса в том, что он работает с сигнатурами. Если для нового вируса нет сигнатуры, вы хоть 50 антивирусов поставьте, он их обойдет. Более того, очень много антивирусных компаний входят в альянсы, в рамках которого делятся сигнатурами. Таким образом использование нескольких «разных» антивирусов никак не прибавляет защиты.
Да, и такое бывает. Но в целом это не доставляет особых проблем. Пишете в саппорт, что хотите накатить новый jumbo hotfix и нужна уже новая версия вашего патча. Обычно это занимает 3-5 дней.
Да, действительно, на CPUG большое кол-во информации. Но я хотел привести исключительно вендорские ресурсы и документы. Возможно одной из следующих статей сделаем обзор дополнительных материалов.
Видимо вы не понимаете что такое certificate pinning.
«If the serial number of the certificate used to create the HTTPS connection back to Google does not match the „pinned“ certificate serial number, the connection is rejected. „
Если говорить про Firepower, то мое субъективное мнение — продукт еще очень сырой. Года два еще надо, чтобы получилось что-то достойное.
1. Это работает только для linix-хостов? Можно ли подобное делать для Windows систем?
2. В данном случае мы определяем только уязвимости установленных пакетов. Есть ли возможность сгружать в заббикс данные от сетевого сканера? Т.е. видеть в дашборде дыры, которые образуются в результате miss configuration (открытые порты, слабый пароль и т.д.)?
Более того, я проверил еще несколько серьезных вендоров (Cisco, Fortinet, PaloAlto) и там ровно такая же ситуация. Сгенерированный на коленке вирус проходит без проблем с дефолтными настройками анти-вируса. Правда при этом должен быть выключен IPS, иначе именно он успешно ловит эти простенькие вирусы, как раз на уровне сигнатур, но уже в потоке, еще до того, как файл попадет на анализ в AV.
Основная проблема антивируса в том, что он работает с сигнатурами. Если для нового вируса нет сигнатуры, вы хоть 50 антивирусов поставьте, он их обойдет. Более того, очень много антивирусных компаний входят в альянсы, в рамках которого делятся сигнатурами. Таким образом использование нескольких «разных» антивирусов никак не прибавляет защиты.
«If the serial number of the certificate used to create the HTTPS connection back to Google does not match the „pinned“ certificate serial number, the connection is rejected. „