Pull to refresh
217
Karma
23.6
Rating

Пользователь

Безопасная разработка: плагины для IDE

Обо всем подробно мы рассказали на вебинаре. Его запись доступна здесь.

Как выйти на уровень безопасной разработки?

Подскажите, при отправлении заявки у вас был включен VPN?

Компьютер заBIOSает? Изучаем буткиты

Компании по ИБ предлагают утилиты для проверки ПК на угрозы, в том числе в прошивках.
Но если компьютер заражен, то угроза может быть скрыта от СЗИ и не будет обнаружена.
Эффективнее обнаруживать внедрение буткитов на стадии заражения, в том числе с использованием песочниц.

Знай врага своего: разбираем техники атакующих на The Standoff вместе с PT NAD

Стоит детально изучать такие активности, если они отличаются от типичных в инфраструктуре. На примере удаленного создания сервиса: такая активность, исходящая с сервера SCCM, для большинства инфраструктур является типичной. Запуск с рабочей станции пользователя уже более подозрительная активность. Конечно, есть еще много других факторов, таких как время активности или название сервиса, которые тоже влияют на решение о дальнейшем анализе.

Знай врага своего: разбираем техники атакующих на The Standoff вместе с PT NAD

Спасибо за интересный вопрос.
Зависит от того, что понимать под словом «ошибочны». Часть детектов из статьи указывают на активность, которая сама по себе является легитимным механизмом инфраструктуры Windows. Например, удаленное создание сервисов или создание пользователей. Это значит, что она может встречаться и при использовании администраторами. По опыту, легитимную активность можно достаточно быстро отсечь, обладая знаниями об инфраструктуре.
Другая часть детектов сделана на весьма конкретные вещи (например, reGeorg-туннель или активность Cobalt Strike), и они очень редко дают ошибочные срабатывания.

Как ломать банкоматы: ARP spoofing, CVE, обход киоска

Спасибо за комментарий!
Имеется в виду валидный для сервера — проверяется домен, для которого выписан сертификат.

Личный опыт: как выглядит наша система Continuous Integration

Добрый день. Artifactory сейчас у нас используется для различных целей. Основная — это хранилище бинарных артефактов от сборок компонент, из которых потом собираются инсталляторы продуктов.

Еще это хранилище релизных инсталляторов продуктов, которые прошли тестирование и готовы к распространению через корпоративные серверы обновлений GUS/FLUS.

Кроме того, мы используем artifactory как кеширующий прокси для внешних ресурсов — есть возможность подключить его для проксирования pypi, npm, rpm, nuget и других видов пакетов для пакетных менеджеров. Таким способом мы страхуем наши сборочные процессы от недоступности внешнего интернета или удаления пакетов из облачных хранилищ.

Автоматизацию внутри CI/CD-конвейера мы реализуем с помощью Python-библиотеки, поддерживаемой нами в опенсорсе: github.com/devopshq/artifactory

Отдельных статей по настройке и использованию artifactory мы пока не писали, так как он лишь один из элементов нашего комплексного CI/CD-конвейера — нет смысла рассматривать его отдельно, например, от CI-системы GitLab CI, хранилища кода GitLab или серверов доставки обновлений GUS/FLUS.

Наш комплексный конвейер и процессы разработки упоминаются в более свежих статьях про Dev(Sec)Ops процессы. Посмотрите, возможно, что-то окажется полезным:
Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps (2017)
Моделирование производственных процессов в ИТ-компании (2018)
Управление хаосом: наводим порядок с помощью технологической карты (2019)
Личный опыт: как выстроить карьерный рост в отделе DevOps (2020)
Как работает команда DevOps в Positive Technologies (2021)
DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер (2020)
DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза (2021)

Чем заняться в затишье между PHDays и The Standoff? Сделать обыкновенный разбор необыкновенного бейджа одной конференции

Добрый день. Да, вдумчиво не копали. Обнаружили в отладочных строках упоминание о DFU, и им воспользовались. Сама уязвимость, позволяющая вычитывать хоть часть кода, помогает понять, с каким функционалом имеешь дело.

Новый дроппер группы APT31: исследуем зловреды, которые мы обнаружили в атаках на Монголию, Россию и США

Добрый день. Данная директория является скрытой, однако для записи в нее привилегии администратора не требуются.

По следам The Standoff2021. Какие промышленные системы удалось взломать атакующим и как PT ISIM детектировал их действия

В ходе этой атаки был получен доступ к серверу SCADA, с которого впоследствии на ПЛК были отправлены команды

какая SCADA… какой ПЛК ????

SCADA и ПЛК известных вендоров

по протоколу SLMP передаются штатные и легитимные команды на ПЛК

то есть это проблема протокола SLMP?
когда вы уже хотя бы за OPC UA возьметесь? или какую-нибудь проприетарную хрень типа Siemens, Omron, ABB, DELTA или Allen-Bradley?

Нет, это не проблема промышленного протокола. Это реализация одного из векторов при получении доступа к серверу SCADA – используя легитимные команды, произведено вмешательство в техпроцесс.

по протоколу SLMP передаются штатные и легитимные команды на ПЛК
то есть это проблема протокола SLMP?
когда вы уже хотя бы за OPC UA возьметесь? или какую-нибудь проприетарную хрень типа Siemens, Omron, ABB, DELTA или Allen-Bradley?

Взялись, следите за новостями :) OPC UA поддерживается в версии 3.3, Siemens S7Comm, S7+ поддерживаются с 2016 и 2018 годов соответственно. Два проприетарных протокола Emerson поддерживаются с 2018, а CIP в части открытой спецификации поддерживается с 2019 года.

По следам The Standoff2021. Какие промышленные системы удалось взломать атакующим и как PT ISIM детектировал их действия

Спасибо за комментарий! Все верно, векторов и угроз в сети АСУ ТП может быть множество, в данном случае атакующие пошли таким путем.

DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза

Добрый день! Не совсем так :) В PT Application Inspector С/С++ поддерживается уже довольно давно. Кроме того, в продукте практически с момента его появления поддерживаются SAST, SCA, DAST и анализ конфигурационных файлов.

Как атаковали промышленную инфраструктуру на The Standoff: анализ трафика с помощью PT ISIM

Инфраструктура КИИ в большей степени статична, нежели инфраструктура корпоративных сетей, и постоянных изменений в ней происходить не должно. Изменение в конфигурации сети — это часть жизненного цикла АСУТП и требует отражения в документации, а несанкционированные изменения требуют внимания со стороны инженера по ИБ.

При этом оператор может сам сформировать нужные ему белые списки, например, команд управляющего протокола, чтобы исключить пропуск несанкционированной команды на ПЛК. И белые списки- не единственный механизм в PT ISIM для выявления нарушений, экспертиза АСУ ТП, входящая в состав продукта, позволяет делать однозначные выводы про состояние защищённости объекта КИИ, не опираясь только на один инцидент.

Как атаковали промышленную инфраструктуру на The Standoff: анализ трафика с помощью PT ISIM

В PT ISIM реализован механизм белых списков для различных объектов сети и видов их активности.

В начале работы, в режиме обучения, автоматически формируется белый список доверенных узлов и соединений, которые потом уточняются специалистами по ИБ. Все узлы и соединения не попавшие в белый список помечаются как неавторизованные и по ним заводятся соответствующие инциденты.

Как атаковали промышленную инфраструктуру на The Standoff: анализ трафика с помощью PT ISIM

К сожалению, и на реальных объектах КИИ встречаются подобные грубые нарушения, недавний инцидент тому подтверждение. Справедливости ради надо сказать, что и до RDP на нашем мероприятии тоже надо было получить доступ, далеко не все команды нашли способ проникнуть в сегмент АСУ ТП.

Расследование: как мы помогли атакованной шифровальщиком группировки APT27 компании вернуть доступ к файлам

Технические подробности представлены в большой статье по ссылке. Просто там материал слишком объемный, поэтому тут лишь основные тезисы

Прочитай и сделай: проводим сканирование сети самостоятельно

Добрый день! Вы абсолютно правы: PT BlackBox Scanner предназначен для проведения внешнего сканирования веб-приложений на наличие в них уязвимостей.

Касаемо полученных вами результатов – мы будем очень признательны, если вы напишете нам на feedback.bbs@ptsecurity.com и в двух словах расскажете о тех уязвимостях, которые PT BlackBox Scanner увидел/не увидел конкретно в вашем кейсе. Для разбора ситуации необходим детальный анализ. Спасибо!

Aptly. Как организовать контроль пакетов из внешних репозиториев и делегировать управление в продуктовые команды

Спасибо за комментарий!

Можете поподробнее рассказать как устроен ваш репозиторий на aptly?

Полное зеркало официального + снэпшоты? Из официальных репозиториев мы забираем только установочные файлы, udeb и deb пакеты.

Делаете ли deb пакеты со своими разработками или собираете бинарь в докере?

Делаем свои пакеты и выкладываем в свой артефакторий, аптли для этого не используется. Докер контейнеры так же выкладываются в артефакторий после сборки из внешних пакетов с aptly и наших пакетов с артифактория.

Фиксируете ли версии того, что сами пишите в Dockerfile?

В докер файлах релизных контейнеров фиксируем снепшот аптли для данного релиза.

Кто дергает API? curl в недрах CI или что-то другое?

Работа с аптли реализована через GitLab CI и командно строчный интерфейс, это связано с рядом причин, например необходимостью запуска встроенного в аптли web сервера и проблемами обработки слеша. github.com/aptly-dev/aptly/issues/115 github.com/aptly-dev/aptly/issues/561

Information

Rating
Does not participate
Works in
Registered
Activity