• Имитация целевых атак как оценка безопасности. Киберучения в формате Red Teaming



      Когда дело доходит до кибербезопасности, то, как правило, ни одна организация не является на 100% защищенной. Даже в организациях с передовыми технологиями защиты могут быть проблемные моменты в ключевых элементах — таких как люди, бизнес-процессы, технологии и связанные с ними точки пересечения.


      Есть множество услуг по проверке уровня защищенности: анализ безопасности систем и приложений, тестирование на проникновение, оценка осведомленности персонала в вопросах информационной̆ безопасности и т.д. Однако из-за постоянного изменения ландшафта киберугроз, появления новых инструментов и преступных групп возникают новые типы рисков, которые трудно выявить с помощью традиционных способов анализа защищенности.


      На этом фоне наиболее реалистичным и продвинутым подходом к тестированию безопасности,
      по нашему мнению, являются киберучения в формате Red Teaming — непрерывная оценка защищённости информационных систем, готовности специалистов по реагированию на инциденты и устойчивости инфраструктуры к новым видам атак, в том числе APT (Advanced Persistent Threat, сложная постоянная угроза, целевая кибератака). Проводя Red Teaming и практикуя реагирование на контролируемые атаки, внутренняя команда безопасности может повысить свои навыки по обнаружению ранее незамеченных угроз, чтобы остановить реальных злоумышленников на ранних стадиях атаки и предотвратить материальный и репутационный ущерб для бизнеса.


      О том, как проходят киберучения в формате Red Teaming, рассказывает Вячеслав Васин (vas-v), ведущий аналитик департамента Аудита и Консалтинга Group-IB.

      Читать дальше →
    • Как учить английский бесплатно: 3 банальных инструмента и подробная инструкция для каждого

        Изучение английского языка уже давно превратилось в бизнес. Скорость учебы измеряется в деньгах, и многие репетиторы утверждают, что учить английский самостоятельно даже вредно — придется переучиваться.

        Но на самом деле можно учить английский дешево или даже вообще бесплатно. И даже самые банальные методы можно превратить в эффективные инструменты для изучения.
        Правда, сразу предупредим, что для самостоятельного изучения нужна отличная мотивация и сила воли. Ведь по сути единственным контролером своего обучения являетесь вы сами.

        Главное требование для самостоятельных занятий — систематичность. Если вы часто чувствуете желание полениться или отложить занятия на потом, лучше потратиться и нанять репетитора или пойти в языковую школу на групповые занятия.
        В этой статье мы собрали топ-3 самых эффективных способов, с помощью которых можно изучать английский совершенно бесплатно. Вы точно знаете их и, возможно, используете их сами, но мы разработали подробные инструкции, как этими методами пользоваться для наибольшего позитивного эффекта. Поехали.
        Читать дальше →
      • Сбор логов межсетевого экрана Checkpoint (OPSEC LEA)

          OPSEC LEA (Log Export API) – интерфейс, позволяющий получать логи с сервера управления (Checkpoint SmartCenter).
          В основе OPSEC LEA лежит клиент-серверная архитектура. В качестве сервера выступает Checkpoint SmartCenter, который слушает входящие соединения на порт 18184 ТСР (по-умолчанию). Клиент OPSEC LEA подключается к Серверу на вышеуказанный порт и получает логи.
          Fw1-loggrabber – программное обеспечение, поддерживающее OPSEC LEA, и предназначенное для получения логов с серверов управления (Checkpoint SmartCenter – далее SC). Fw1-loggrabber может выводить полученные логи на экран, перенаправлять в файл или в syslog.
          Существуют версии данного ПО как под Linux, так и под Windows (под windows не поддерживается вывод в syslog).
          Дано:
          • Сервер управления Checkpoint. Версия ПО Checkpoint – R77.30 (sc.local);
          • Сервер с CentOS 6.6 (loggraber.local);
          • Syslog сервер (syslog.local).

          Задача:


          получить логи c SC и передать их по протоколу syslog на внешний syslog сервер.
          Читать дальше →
          • +6
          • 10.7k
          • 4
        • Cuckoo – собственная автоматизированная лаборатория анализа вредоносных файлов

          image
          Месяц назад портал на моей новой работе был взломан. Руководство задалось вопросом «Как?». В ходе недолгих поисков и анализу подключений к серверам, был найден ПК сотрудника, с которого устанавливалось подключение примерно в то самое время. Сотрудник ничего о взломе не знал, но в ходе беседы вспомнил один случай, ему незадолго до взлома пришёл документ от «сотрудника фирмы», который не открылся. Файл был в формате exe, с этого и началась вся история.
          Читать дальше →
        • Аудит уязвимостей Linux c Vulners.com

            Vulners задумывался как поисковик для Security Content-а: уязвимостей, бюллетеней безопасности, эксплоитов, плагинов детекта и прочей полезной информации. Но мы подумали: если у нас уже есть разобранные бюллетени безопасности для основных Linux-дистрибутивов, почему бы нам не сделать сервис, который будет брать данные о системе, а на выходе отдавать список уязвимостей. Также, как это делают привычные сканеры уязвимостей, только быстрее и бесплатно.


            Откуда мы получаем информацию об уязвимостях Linux? Для этого мы парсим бюллетени вендоров. Покажем процедуру разбора на примере бюллетеня безопасности Debian DSA-3638.
            Читать дальше →
          • Zabbix как сканер безопасности

              Привет! Все мы знаем и любим такие продукты для vulnerability assessment процессов как Nessus, Qualys, Max Patrol и всякие прочие OpenVAS. Одной из основных задач, которые они решают, является обеспечение контроля версионных уязвимостей.


              Это довольно простой процесс сравнения установленных версий программного обеспечения на попадание в диапазон "не содержит известных уязвимостей". Ну а дальше ребята, ответственные за информационную безопасность, совместно с разработкой и админами решают какие риски можно принять, а что нужно пропатчить прямо сегодня.


              Существует масса разнообразных инструментов для решения этой задачи, но у всех них с нашей точки зрения есть одна общая проблема — они требуют отдельного хлопотного развертывания и порождают в вашей инфраструктуре еще один инструмент с root-овой учетной записью. Но ведь для такого простого действия как сбор информации об установленных пакетах root не нужен! Да и обычно в инфраструктуре уже присутствуют развернутые системы с возможностью консолидации данных, совместной работы и удаленного исполнения команд на серверах. Поэтому мы решили сделать инструмент, который позволил бы в пару кликов развернуть в своей среде систему контроля уязвимостей Linux с минимальными изменениями продакшена.


              Что развернуто в большинстве продуктовых систем? Конечно же мониторинг. И довольно часто это Zabbix. Так давайте к нему и прикрутимся!

              Читать дальше →
            • Практический видеокурс Школы информационной безопасности

              • Tutorial
              Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

              В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

              Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.


              Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.
              Читать дальше →
              • +23
              • 23.6k
              • 3
            • Краткий анализ решений в сфере СОВ и разработка нейросетевого детектора аномалий в сетях передачи данных

                image


                В статье приведён анализ решений в сфере IDS и систем обработки траффика, краткий анализ атак и разбор принципов функционирования IDS. После чего сделана попытка разработки модуля для обнаружения аномалий в сети, на основе нейросетевого метода анализа сетевой активности, со следующими целями:


                • Обнаружение вторжений в вычислительную сеть.
                • Получения данных о перегрузках и критических режимах работы сети.
                • Обнаружение проблем с сетью и сбоев в работе сети.
                Читать дальше →
              • Оповещение в Telegram и Slack в режиме реального времени. Или как сделать Alert в Splunk — Часть 2

                • Tutorial
                Мы продолжаем тему алертинга в Splunk. Ранее мы говорили о том, как настроить отправку оповещений на электронную почту, а сегодня покажем Вам, как отправлять уведомления в мессенджеры, такие как Telegram и Slack.

                В статье вы найдете пошаговую инструкцию по настройке.
                Читать дальше →
                • +10
                • 10.3k
                • 3
              • О потребителях и типах Threat Intelligence

                  Раз в два-три года в «информационно-безопасном» мире появляется панацея от всех бед, которая защитит и от киберпреступников, и от киберактивистов, от промышленного шпионажа и APT-атак. Все установленные ИБ-системы объявляются морально устаревшими и никуда не годными, их предлагается срочно заменить. Естественно, не бесплатно. За чудо-лекарством выстраиваются очереди, лицензий на всех не хватает. А потом продавец просыпается.


                  Очень похожая ситуация сейчас складывается с Threat Intelligence. Это очень модно, драйвово, молодёжно, но провайдеры, пользователи и покупатели зачастую понимают под TI совсем разные вещи.



                  Давайте попробуем разобраться, что же это за загадочный зверь, откуда он так внезапно «выскочил», зачем нужна и кому интересна такая разведка, и можно ли заниматься разведкой за бокалом любимого пива.

                  Читать дальше →
                  • +5
                  • 11.9k
                  • 2
                • Установка центра сертификации на предприятии. Часть 1

                  • Tutorial
                  Привет, Хабр! Мы начинаем новую серию статей. Она будет посвящена развертыванию службы сертификатов на предприятии на базе Windows Server 2016 с практическими примерами. Сегодня обозначим вступительные моменты и поговорим о типовых схемах развёртывания иерархии PKI: двухуровневой и многоуровневой. Обо всем этом читайте под катом.

                  Читать дальше →
                • Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

                    А почему у тебя на визитке написано «КИСА»?
                    Ты вроде серьезный человек…
                    (из разговора с приятелем)

                    Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

                    В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


                    Читать дальше →
                  • Двухфакторная аутентификация в Check Point Security Gateway

                      В этом посте мы расскажем о том, как настроить двухфакторную аутентификацию в Check Point Security Gateway с использованием электронных ключей на примере JaCarta PKI российского разработчика решений по информационной безопасности.

                      О том, что удалённый доступ к ресурсам организации несёт пользу, но и создаёт ряд проблем для IT-департамента, говорится везде очень много. Мы также считаем это важной темой. Поэтому решили посвятить этому следующий пост.

                      Возможность корректной идентификации пользователей, запрашивающих доступ к информационной системе, достигается за счёт использования комплексных решений контроля доступа.
                      Читать дальше →
                    • Полное руководство по переходу с HTTP на HTTPS

                      • Translation
                      • Tutorial

                      В наше время HTTPS обязателен для каждого веб-сайта: пользователи ищут замочек в адресной строке, когда передают личные данные; Chrome и Firefox недвусмысленно помечают как небезопасные веб-сайты с формами на страницах без HTTPS; это влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом. Кроме того, сейчас имеется несколько вариантов получить бесплатный сертификат, так что переход на HTTPS — всего лишь вопрос желания.


                      Установка HTTPS может немного пугать неподготовленного пользователя — она требует многих шагов с участием различных сторон, а также специфических знаний криптографии и серверных конфигураций, да и вообще в целом кажется сложной.

                      В этом руководстве я объясню отдельные компоненты и шаги и ясно изложу каждый этап установки. У вас должно всё пройти гладко, особенно если ваш хостер сам предоставляет сертификаты HTTPS — тогда высока вероятность, что вы быстро и просто всё сделаете не выходя из панели управления.

                      Сюда включены детальные инструкции для владельцев виртуального хостинга на cPanel, администраторов серверов Apache HTTP и nginx под Linux и Unix, а также Internet Information Server под Windows.
                      Читать дальше →
                    • Настройка VPN КриптоПро IPsec с ГОСТовым шифрованием

                      • Tutorial
                      Добрый день %username%! Все знают что Федеральный Закон РФ № 152 диктует нам что мы должны использовать сертифицированные средства для защиты ПДн. Была задача обеспечить безопасность канала по ФЗ-152 для удаленного подключения клиентов. Для этого было использовано сервер VPN с КриптоПро IPsec и сертификаты ГОСТ.

                      Инструкция внутри.
                      Читать дальше →
                    • Организация HotSpot на оборудовании MikroTik с авторизацией через SMS

                      • Tutorial

                      До недавнего времени бюджетный спутниковый доступ в интернет был исключительно ассиметричным (запрос проходил по наземным сетям связи, ответ "падал с неба"). Сейчас же одна известная трёхцветная кампания предлагает двунаправленный комплект по вполне демократичным ценам. Область применения, в первую очередь, для организации доступа в сеть в местах, куда прокладка наземной линии связи либо невозможна, либо слишком дорога.


                      Заказчиком была поставлена задача обеспечить доступом в Интернет охотбазу, расположенную в 60 километрах от города. Выезд на место показал наличие сотовых сетей, но 3G там только декларировался значком на дисплее телефона, а по факту — отсутствовал совсем. Попытка договориться с ОпСоСами о пробросе оптики от базовой станции, видневшейся вдали, привела к коммерческому предложению в 700 тысяч рублей за установку и 69 тысяч в месяц абонплаты за канал, что не могло не радовать. В тяжких раздумьях вбил в поисковую строку «Спутниковый интернет» и, о чудо, понял, что это – спасение.


                      Читать дальше →
                    • Цифровые SSL сертификаты. Разновидности, как выбрать?

                        Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.

                        Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.

                        Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.
                        Как выбрать SSL сертификат
                      • Сети Для Самых Маленьких. Микровыпуск №6. MPLS L3VPN и доступ в Интернет

                        • Tutorial


                        Статья про L3VPN получилась большой — ни много ни мало 130 000 символов.
                        Учитывая, что и её ещё не все дочитали, эту часть про доступ в Интернет мы вынесли в отдельную публикацию.
                        Это особенно важно, потому что в рунете, да и вообще в интернетах, нет доступного разбора этой темы.
                        Вполне вероятно, что вы сейчас читаете эксклюзивный материал.

                        Итак, есть оператор связи, который предоставляет своему клиенту L3VPN. Ни с того ни с сего, с бухты да барахты понадобился ему ещё и Интернет.
                        Самое очевидное решение — прокинуть ещё один кабель — в одном VPN, в другом Интернет.
                        Допустим, это сложно. Тогда можно поднять сабинтерфейс и передавать фотки вконтактике в отдельном VLAN'е.
                        Допустим, там сложный арендованный канал, где можно прокинуть только 1 VLAN или оборудование клиента не умеет VLAN (стоит обычный компьютер), что тогда?

                        Об этом следующие 36 000 букв вашей жизни.

                        Содержание выпуска

                        Читать дальше →
                        • +29
                        • 28.2k
                        • 5