• 11 команд PowerShell для Office 365, которые полезно знать администраторам
    0
    почему бы и нет)
  • Что такое Metasploit? Руководство для начинающих
    0
    спасибо, что обратили внимание. Поправили перевод. Ошибки бывают, человеческий фактор.
  • Red Teaming — комплексная имитация атак. Методология и инструменты
    0
    В Red team всегда идёт работа так же, как это делал бы некий хакер или инсайдер. То есть, «сценариев», если вообще использовать это слово, два:
    1) внешний атакующий, который должен преодолеть периметральную защиту, чаще всего с использованием социального инжиниринга, но также есть масса иных вариантов, как то:
    0-day, некорректная конфигурация средств межсетевого экранирования и/или маршрутизаторов, иной человеческий фактор, и т.д.
    2) инсайдер — и ему может потребоваться повышение привилегий, но часто — это «кража у себя же», т.е. в задачи Blue team входит эффективное выявление нестандартного поведения таких пользователей, особенно с критичными данными, до того, как сработают средства обнаружения утечки данных, если они вообще сработают.

    По второму вопросу тоже нет такого ответа: «делай так — вот большая красная кнопка Сделать Хорошо» — всё зависит от целей, как это и было указано в предыдущем ответе. На наш взгляд, если цель — повысить квалификацию собственных команд ИБ, СБ и т.д., то стоит обратить пристальное вниманиe на вариант с минимальным количеством внешних специалистов (возможно, с установкой рекомендованных ими средств безопасности), а также если не хочется наступить на грабли «мы пропустили первую же атаку, и увидели только один из векторов, ничему не научились». Ведь в этом случае Red team достигнет «флага», и ей придётся заплатить, а фактическая цель не будет выполнена. В иных случаях выбор будет зависеть от множества факторов, и надо рассматривать их в отдельности.

  • Red Teaming — комплексная имитация атак. Методология и инструменты
    0
    На наш взгляд, задачей Red Team является демонстрация того, что даже если проведённый пентест конкретной системы не выявил уязвимости непосредственно в ней, и при этом только в ней (якобы) может храниться определённая информация – все равно можно получить искомые данные. Причём, неважен способ, которым эти данные будут получены: взлом сторонней системы или плагина, которые не были затронуты пентестом; нахождение той же информации в иных системах – например, в выгрузках из БД, хранящихся на файловых серверах; или, например – получение «легитимного» доступа к системе, используя аутентификацию и/или авторизацию в ней от имени допущенного к обработке этих данных лица.
    Касаемо же тренировки навыков Blue Team – только в случае, если в роли большинства в Blue Team выступают все штатные сотрудники подразделений безопасности, выполняющие в день «учений» роль именно специалистов Blue Team, «разбавленные» небольшим количеством квалифицированных нанятых инженеров и аналитиков, помогающих в принятии решений в моменты обнаружения действий атакующей команды. Но это могут быть и нанятые команды, умеющие работать с внедрёнными системами обеспечения ИБ, работающие в связке с небольшим количеством штатных специалистов, которые смогут оперативно давать пояснения в отношении «ложных срабатываний». Выбор того или иного количественно-качественного состава зависит от конкретных целей и запланированной поверхности атаки.
  • Киберграмотность сотрудников: флаеры и шаблоны писем, которые они захотят прочитать
    0
    могу отправить их вам лично, напишите мне
  • Скрытый взлом паролей с помощью Smbexec
    0
    Скрытость в том, на основании чего был получен верный вариант. То есть, на какой стадии — на этапе получения DCC.
    Подборы же пароля «наживую» по описанной в конце статьи схеме чреваты потенциальными локаутами, вдобавок — совершенно не с того компьютера, которым на постоянной основе пользуется «цель» атаки. Что позволит, в свою очередь, как минимум – оперативно сменить пароль (что сведёт на нет усилия по его подбору и всю социальную инженерию), а то и банально по камерам выследить незадачливого злоумышленника, зная физическое местоположение компьютера, с которого велась, возможно, вредоносная активность.
    Технически можно отслеживать и появление, пусть и временное, служб на клиентских машинах, вне «окон обслуживания», чтобы отследить связанную с этим сетевую активность по SMB с другого клиентского устройства.
    Следует учитывать, однако, что потенциально злоумышленник может использовать для этой цели и сервер, доступ к которому он имеет вполне легитимно, что затруднит распутывание цепочки следов, ведущей к злоумышленнику. Или сделает этот процесс невозможным, при отсутствии должного ведения журналов разных систем или недостаточной глубине их хранения.

  • Руководство по анализу Sysmon-угроз, часть 1
    0
    Всё верно. Цель статьи – показать на примере доступных инструментов, как происходят типичные атаки, чтобы их лучше понимать. Этим можно пользоваться на отдельном сервере для изучения методик работ хакеров и концепций функционирования решений ИБ. Ни о какой защите корпоративного уровня речи, конечно же, не идёт. И об этом мы ещё поговорим в дальнейших частях.
  • Office 365&Microsoft Teams – удобство совместной работы и влияние на безопасность
    0
    Как вы верно отметили, мы написали о том, что внешний файлообмен (так, как понимает его Microsoft) заблокировать можно. Более детально об этом вы можете узнать, посмотрев указанный в начале статьи обучающий курс.
    Если же отвечать на ваш вопрос так, как он задан:
    «есть ли все-таки способ разрешить Teams для части пользователей только с определенных «айпишников»? Говоря по простому только когда они работают внутри корпоративного периметра?»
    — то ответ будет скорее нет, чем да, если лица, которым требуется ограничить доступ, будут использовать для работы с O365 из периметра корпоративной сети ноутбуки и/или личные устройства.

    В ином случае, есть вариант настроить MFA таким образом, чтобы, используя сертификаты, или ещё какие-либо критерии, ограничивать доступ в облако, связывая условие с конкретными устройствами. Т.е. пользователи, которым таковой доступ извне периметра будет разрешён, будут, например, иметь на носимых устройствах, или домашних компьютерах, соответствующие сертификаты. Разумеется, в таком примере, сертификаты придётся установить и на все рабочие станции/терминальные серверы внутри периметра тоже.
    Эту меру можно совместить с указанием «белого списка» IP-адресов для доступа, если планируется также запретить и доступ с динамического диапазона (когда человек находится в дороге или просто решил использовать мобильную точку доступа Wi-Fi с не разрешённым к использованию Вами IP-адресом).

    Вероятно, имеются какие-либо продвинутые CASB, которые могут регулировать политику доступа так же, как указано в ответе на комментарий выше (без сертификатов или иных критериев, только по IP-адресам), но разделяя на группы пользователей, для которых применяются строгие и менее строгие ограничения по диапазонам адресов, с которых возможен доступ. Нам о таких решениях неизвестно.
  • Office 365&Microsoft Teams – удобство совместной работы и влияние на безопасность
    0
    Да, отключить возможность предоставления доступа к файлам пользователями полностью нельзя. Но можно выставить, без применения сторонних средств, ограничения на предоставление доступа внешним пользователям, а также указать диапазон IP-адресов, с которого возможно подключение к O365 для вашего теннанта.
  • Пять угроз безопасности при удаленной работе
    0
    Мы пишем о глобальных трендах, которые мы наблюдаем на протяжении трех месяцев среди тысяч наших клиентов по всему миру. Речь не только о России.
  • Основы информационной безопасности в Microsoft Teams
    0
    Спасибо, что поделились своим опытом. К сожалению, не можем проконсультировать вас по существу вопроса, поскольку это не в нашей компетенции, и лучше обратиться непосредственно в техподдержку MS.
  • Выкупать — так королеву: Varonis расследует быстро распространяющийся шифровальщик-вымогатель “SaveTheQueen”
    –1
    Позвольте пригласить вас на собеседование)
  • Выкупать — так королеву: Varonis расследует быстро распространяющийся шифровальщик-вымогатель “SaveTheQueen”
    –1
    Увы, такой информацией мы не обладаем. Можем спросить детали у авторов, если для вас данная информация является действительно важной.
  • И снова Qbot – новый штамм банковского трояна
    0
    Спасибо за вопрос! Мы зададим его нашей команде по расследованиям, но подозреваем, что тут могут, например, быть произвольные пароли, передаваемые вместе с архивом, иными средствами, на C2-сервер. А ответ на вопрос о том, какие типы данных собираются, не столь важен, как тот, чьи данные были похищены. То есть, подбор пароля лишь для одного из архивов не решит задачу поиска всех подвергнувшихся атаке целей.
  • И снова Qbot – новый штамм банковского трояна
    0
    Мы описывали это в предыдущем обзоре: habr.com/ru/company/varonis/blog/450208
    Он проникает через фишинговое письмо.
  • Проблема конфиденциальности данных в Active Directory
    0
    Да, согласны, но поскольку AD является ядром инфраструктуры, то зачастую даже у организаций, уделяющих внимание поддержанию защищённого состояния AD,
    для интеграции и совместимости систем в полях расширенной схемы может храниться чувствительная информация или что-то, что позволяет косвенно к ней приблизиться. А пример из статьи это, возможно, крайность, но и такое в нашей практике встречалось.
  • Что такое Zero Trust? Модель безопасности
    0
    Речь в статье идёт про теорию концепции. На практике чем выше безопасность, тем ниже удобство, поэтому каждый сам находит адекватный баланс, который его устраивает. Другими словами, можно аутентифицировать / авторизовать при первом обращении к ресурсу и повторно запрашивать пароль, только если пользователь бездействовал определённый период времени (а-ля блокировка компьютера по таймауту бездействия).
  • PowerShell в роли инструмента для пентеста: скрипты и примеры от Varonis
    0
    спасибо, исправили!
  • PowerShell в роли инструмента для пентеста: скрипты и примеры от Varonis
    0
    2008R2 действительно шёл с PS version 2, только его поддержка заканчивается уже в январе 2020 года и в связи с этим в корпоративном сегменте использоваться, скорее всего, больше не будет.
  • PowerShell в роли инструмента для пентеста: скрипты и примеры от Varonis
    0
    Интересная история, спасибо, что поделились!
  • Рынок UEBA умер — да здравствует UEBA
    0
    С такой аббревиатурой в русском сегменте многие и российские вендоры ходят. Только неизвестно, далеко ли.
  • Рынок UEBA умер — да здравствует UEBA
    0
    спорный вопрос. Мы же не называем, к примеру, DLP-системы «ЗДУ».
  • 7 ключевых индикаторов риска Active Directory на панели мониторинга Varonis
    0
    NIST — NIST-ом, но есть и иные стандарты, так же носящие, в целом, рекомендательный характер, и в них такой нормы пока не описано, за исключением самых современных.
    Да и обязательны к исполнению они лишь там, где такие стандарты взяты за основу политики безопасности, или есть соответствующие требования аудиторов.
    Многие (подавляющее большинство) компании до сих пор имеют критикуемую Вами норму в своих политиках безопасности. Именно поэтому, им необходимо иметь такой индикатор «перед глазами».

    Чтобы немного контраргументировать, в том же документе NIST есть следующее обязующее условие:
    “force a change if there is evidence of compromise of the password.”
    Предположим (вполне обоснованно), что у средней компании нет средств эффективного обнаружения данного события. Следует ли именно данной компании отказываться от практики периодической смены пароля(хоть она и неудобна)?

    Тот же вопрос, по сути, можно усмотреть и во фразах представителя Microsoft в приводимой Вами же статье:
    «If an organization has successfully implemented banned-password lists, multi-factor authentication, detection of password-guessing attacks, and detection of anomalous logon attempts, do they need any periodic password expiration?»
    «At the same time, we must reiterate that we strongly recommend additional protections even though they cannot be expressed in our baselines.»
    Ну и просто чтобы не устраивать холивар по несущественному, на наш взгляд, поводу:
    неплохая подборка выдержек из различных актуальных стандартов, и вывод по требуемой сложности и длине паролей: www.diwebsity.com/2019/08/10/password-security-standards, с которым на текущий момент мы согласны, но сложности паролю следовало бы добавлять и региональными символами из Unicode, и, вероятно, псевдографикой, что также предусмотрено в большей части самых новых версий стандартов.
  • Varonis обнаружил криптомайнинговый вирус: наше расследование
    0
    SRP, ПО класса Application Control, и иные инструменты запрета запуска стороннего ПО, а также политики по запрету запуска ПО не из строго определённых каталогов – это эффективные меры, которые входят в пункт 3. под именем «защитные системы конечных устройств». Здесь «и предотвращать заражения» — можно (и следует) читать как «предотвращать заражения, в том числе независимо от того, известно ли уже конкретное вредоносное ПО».
    Строго говоря, дискуссия о защите непосредственно конечных точек несколько выходит за рамки данной статьи, а наша компания занимается скорее детектированием угроз и помогает при устранении последствий, а также помогает предотвратить утечки данных, при своевременной реакции на «тревожные звонки», нежели предотвращением заражений как таковых :)
  • Varonis обнаружил криптомайнинговый вирус: наше расследование
    0
    Речь не идёт о национальности. Скорее о стране, где писавший код находился в момент скачивания WinRAR, или какая локаль OS была использована в этот же самый момент.
    А что касается второго утверждения – видимо, это то самое «Ы» в названии операции. :)

  • Приключения неуловимой малвари, часть III: запутанные VBA-cкрипты для смеха и прибыли
    0
    Конкретно в данном примере отчет с Virus total был неудовлетворительный на дату первоначальной статьи, что собственно и побудило ее написать. В общем же случае этот пример показывает, что зачастую антивирусы не могут обнаружить в почтовом вложении вредонос, который использует запутанные техники обфускации и при этом для выполнения загрузки и укрепления в системе применяются привычные всем администраторам инструменты, начиная от встроенных утилит в составе ОС и заканчивая скриптами на JS и PS. И поэтому не стоит опираться только на защиту периметра, а предположив, что злоумышленники уже внутри периметра организации затруднить их присутствие и постараться обнаружить их с использованием поведенческих моделей и средств оперативного обнаружения угроз.
  • Использование PowerShell для повышения привилегий локальных учетных записей
    0
    Это нам неведомо, но факт остаётся фактом. Мы часто с таким сталкиваемся в реальности.
  • Использование PowerShell для повышения привилегий локальных учетных записей
    0
    Локальная учетная запись пользователя является доменной записью и обладает правами админа на исследуемой системе — тут все как в классике. По сути статья является ещё одним предупреждением не давать прав админа, в том числе, и доменным учёткам.
  • Использование PowerShell для повышения привилегий локальных учетных записей
    +1
    Как было указано выше в статье, предполагается, что доступ для атаки на Hub-Sharepoint уже был получен в рамках отдельных атак: это могли быть фишинг, эксплоиты, соц.инженерия и т.п. В этой статье мы опускаем подробности получения рут-доступа к этому серверу, это будет тема отдельного цикла статей по неуловимой малвари. Поэтому в этот раз это было опущено намеренно, очевидно, здесь просто возникла путаница.
  • Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена
    0
    Cергей, вы правильно заметили, что это уже не новость, и мы писали об этой проблеме в нашем корпоративном блоге пару месяцев назад. Но поскольку компании все еще сталкиваются с повышением привилегий в Exchange, перевели заметку на русский. А вас мы приглашаем в наш корпоративный блог за самыми свежими обзорами!
  • Qbot возвращается. Varonis представила подробный анализ банковского трояна Qbot
    0
    На латышском слово «varonis», действительно, означает герой, богатырь