Какую анкету tax form заполнять на ИП? Для Individual. ИП у них считается Individual — как и физлица. Мне для company отклонили
Нужно ли писать PE перед ФИО в tax form? Я не писал. Именно в tax form не писал. В настройке метода вывода — да.
Какие поля нужно заполнять в tax form? Я заполнил только отмеченные звездочкой
Сколько проверяют tax form? До 2 рабочих дней
Какой счет писать в свойствах payment method на hackerone? По идее можно или расчетный или транзитный — в интернете пишут, что все равно попадет на транзитный. Я указывал транзитный
Нужно ли писать в payment method в получателе PE перед ФИО? Я спросил у банка — они сказали нужно. PE Ivanov Ivan Ivanovich.
PE или IP? Я взял как написано в реквизитах счета в банке.
Как приостановить отправку денег с Hackerone? Написать в их техподдержку и попросить сделать hold на payout. В морде не выводится, что вывод заблокирован, но деньги даже 28-го не перечисляются. Разблокировка также по заявке. Делают и то и то в пределах рабочего дня. Я мотивировал проблемами со счетом (это была правда).
Как сделать долларовый счет в Тинькофф? Нужно завести расчетный рублевый для ИП и потом появится в морде возможность создать долларовый
Какой тип контракта? Выбирая между экспортным и импортным, я указал экспортный.
Какую дату принятия оферты писать? У меня учетка была зарегана на Hackerone в 2016 году. Согласно оферте finder (первые абзацы) — оферта принимается в момент регистрации. Но дата принятия не может быть раньше даты последней версии оферты — я указал 01.06.2020. Даже с учетом, что до января 2021 ничего не делал — не искал уязвимости и не постил отчеты
Когда прикладывать документы? При создании контракта, я указал его дату окончания — 2050-й год, а также что он меньше 6 млн руб. Полей для загрузки документов не было. Добавился он сразу, потом я настроил отправку денег. Когда пришло уведомление что поступили деньги на транзитный счет (в морде Тинькова видно сколько пришло уже минус комиссии $27 — эту сумму и писал в счет), я загрузил для подтверждения PDF c офертой и общими условиями, фото распечатанных последних страниц этих доков с распиской о дате принятия и др, что написано в примерах, а также фото распечатанного и подписанного счета.
Комиссии? На транзитный счет приходит -$7 за priority bank transfer (обычный выбрать на hackerone для России нельзя), -$20 комиссия Swift. После валютного контроля еще снимут за ВЭД.
Автор, спасибо за статью. А какой контракт с hackerone? Импортный или экспортный? И не нужно ли платить НДС? Поначитался я тут www.b-kontur.ru/enquiry/584-ved-na-usn
Не подскажете, можно ли на QRadar-е распарсить лог в формате JSON (плоский — поле+значение, поле+значение… — {«fieldName1»:«val1», «fieldName2»:«3»})? Не обычными регулярками из JSON-строчки выковыривать в кастомные поля, а именно писать custom_field = $.fieldName1 или вроде того?
Единый вход можно реализовать с помощью целого множества различных протоколов и технологий, например, SAML 2.0, сохранения паролей (password vaulting), обратных прокси или технологии Open ID Connect.
А можете подсказать какие-то конкретные решения, которые позволяют реализовать SSO для входа на веб-ресурсы, которые не умеют ни SAML, ни OpenID Connect, ни LDAP? Т.е. есть веб-приложение, в нем база пользователей и форма входа (POST). Можно ли в какой-то единой системе сохранить/сгенерировать пароль для его учетки от этого приложения и чтобы система сама его «вводила»? Понимаю примерно как реализовать такое через реверс-прокси, но интересуют готовые системы.
В качестве следующей цели были выбраны терминальные серверы, предоставляющие пользователям ресурсы для решения различных задач. Из-за недостаточного уровня изоляции сессий пользователей компрометация одной учетной записи могла повлечь компрометацию учетных записей других пользователей терминального сервера.
Что в данном случае имелось ввиду под изоляцией сессий? Пользователями запускались файлы, которые все могли изменять? Некорректно настроенные доступы к профилям? Или что-то другое?
А Arcsight позволяет писать свои парсеры логов? В QRadar столкнулись с тем, что для парсинга можно использовать только регулярки и к примеру перевести лог, ведущийся в формате JSON/XML, с помощью функций сием проблематично/не эффективно/невозможно.
добавления в события недостающей информации – имени пользователя, информации о владельце учетной записи из кадровой системы, дополнительного описания хостов из CMDB
А как переносите и актуализируете эти сведения из этих систем в SIEM? Вручную самостоятельно по выгрузкам, пишете модули интеграции, или к примеру есть промежуточный инструмент, который позволяет клиентам вносить информацию?
Расскажите, пожалуйста, про интересные инциденты — такие как на http://www.securitylab.ru/analytics/473903.php, в особенности про инциденты, выявленные на уровне бизнес-процессов (как с кредитом по ссылке). И какие правила помогли их найти.
1) Расскажите еще, пожалуйста, про то, как взаимодействуете с заказчиками: в плане какие действия/запросы/изменения/требования обязательно и жестко фиксируете на бумаге, а какие ведете в электронном виде. К примеру, согласование профилей легальной активности (http://www.securitylab.ru/analytics/473903.php), согласование способов информирования об атаках (те же перечни телефонов, почт), согласование ответственных лиц, возможно категории инцидентов, тот же перечень контролируемых хостов/сервисов на них.
Ограничиваетесь базовым договором, а все остальное — в электронной форме (через тикеты)?
2) А также вопрос: как понять параметр SLA «Время обнаружения инцидента (мин)». Когда начинается отсчет времени и каким событием он заканчивается?
А как налаживаете процесс работы с администраторами организаций — теми, кто проверяет, что атака была успешной/неуспешной? Как вы учитываете время их реакции — оно каким-то образом связано с вашими показателями SLA? Как уменьшаете количество ложных срабатываний в подобных ситуациях:
К примеру, нет WAF, фиксируется попытка заливки веб-шелла (СОВ), потом обращение к веб-шеллу для проверки успеха атаки (логи веб-сервера) и пусть код ответа 404. Но что, если скрипт шелла сам возвращает не 200-й код, а 404-й к каждому обращению к нему. Если реагировать только по логам и не проверять сервер на наличие шелла, то можно пропустить атаку. А уведомление об атаке = время на проверку.
Вы сотрудничаете с другими поставщиками таких услуг или сами устанавливаете и управляете WAFами? Если не секрет, что за WAF предпочитаете?
Комплектный контроль защищенности
Сканируете только периметр или еще и сканируете внутреннюю сеть организации? Если второе — то проводите выездные проверки, размещаете агент сканера, организуете разовый удаленный доступ или постоянно имеете удаленный доступ к сети организации?
Логику по назначению задачи (с учетом массовых завалов алертами и прочим) планировалось перенести на отдельную систему. С группой интересно, хотя и не очень подходит в моем случае. Наверно. Через klakaut можно будет узнать статус групповой задачи для конкретного хоста (ждет/запущена/успех/ошибка?)?
Мы вытягиваем из KSC и анализируем во врешних системах немалое количество информации (по ПО, оборудованию, состоянию баз, подключению агентов, активных учетках и т.п.), правда работаем напрямую с базой (даже зачастую не с готовыми публичными вьюхами) под зарезанной в правах учеткой. АПИ klakaut меня испугало если честно) Хоят смотрел на него пару раз только.
Вы не разбирались как запустить задачу на установку пользовательского пакета ПО на заданном компьютере, а по ее окончании — удалять ее — чтобы не было проблем с дублированием имен задач и т.п.? В недалеком будущем хотелось бы по срабатывании определенных алертов Касперского запускать автоматически на проблемном компьютере ПО для диагностики (делать это именно через касперский). Лишь бегло смотрел документацию klakaut и пока особо не вникал.
Уточните, пожалуйста, как файл поддельного амми распространялся с их сервера — физически был подменен exe-шник на сервере или была подменена ссылка на страничке загрузки на сайт злоумышленников (если да, то на какой вела)? А также — был подменен только exe и еще архив с амми (раньше вроде бы была ссылка и на загрузку exe и на загрузку архива)?
Разве SIEM — подходящее решение для комплаенса? Она же логи обрабатывает. Мы у себя немного по другому делаем — сделали интеграцию AD, систем мониторинга, систем инвентаризации сетевых устройств, отдельных конфигов оборудования и некоторых других вещей с нашей системой на CMS Drupal (каждый хост/сетевое устройство/человек и т.п. — отдельная сущность со своими полями (инвентаризационные данные, информ система, организация, кто работает и проч.)). Политики проверяем скриптами, которые пишут в Drupal, при необходимости графиков и истории — отдельные метрики дублируются в заббикс. Табличные выборки несоответствия/соответствия делаются стандартными модулями Drupal. Все серверные скрипты собраны в модули Drupal.
И уже эту штуку планируем использовать как источник знаний для SIEM…
Спасибо, а когда ждать следующую статью про корреляцию? Мне например, в особенности интересно как наладить проверку реальности атак уровня веб-приложения.
К примеру, SQL-иньекции. Допустим есть веб сервер с кучей сайтов (все на одном IP 11.22.33.44 — только вир.т. хосты разные), и один из виртуальных серверов на нем — xxx.abc.ru. IDS обнаруживает атаку и залоггирует payload (http://xxx.abc.ru/path/script.php?param=INJECTION_HERE). IDS отправляет в SIEM в CEF алерт что мол на IP 11.22.33.44 была атака типа SQL и номер алерта в IDS 123456.
Как быть дальше? Как я предполагаю: По приходу такого алерта надо запустить скрипт, который получает из базы IDS payload атаки (лог веб-сервера не подойдет — POST не логгируется), распарсить его, вычленить поле Host, вычленить атакуемый параметр, запустить sqlmap/сканер, проверить параметр на иньекцию и ждать в сием результатов сканирования? Разумеется с использованием WAF в режиме регистрации можно первые шаги упростить.
Еще интересно как быть с «инвентаризацией» веб-ресурсов — чтобы регулярно актуализировать списки проверки веб-сканерами (чтобы находились все сайты на всех поддоменах и во всех подпапках, все скрипты в них и все параметры — не все сканер может выявить самостоятельно). Условие — автоматизированность — систем очень много. И возможно ли сразу увязать результаты такой инвентаризации и проверки сиемкой? Чтобы уже были знания по «безопасным» параметрам?
Можете осветить в следующей статье подобные кейсы?
PS. Про WAF от Валларма с его самопроверкой наличия иньекций знаю, но он дороговат в редакции нужной нам…
Встречались интересные массовые фишинговые письма с контекстной информацией по региону. Информация от некоего органа по СЗФО для работника из этого региона. Причем единственное упоминание электронной почты, на которое пришло письмо было найдено в социальной сети mail.ru — там же был указан и город.
Оферта (Finder) и общие условия изменились 01.06.2020. Вот мой перевод (через яндекс + вычитывал):
Finder Terms And Conditions
www.hackerone.com/terms/finder
docs.google.com/document/d/13mo93O_Jobge1wDr9OVJ7GErJe3Xl4b8ZXJxDIJa4g8/edit?usp=sharing
General Terms and Conditions
www.hackerone.com/terms/general
docs.google.com/document/d/1LYWOOAw7WGNEVbCOKN0E9p10jX1itexsZQerT_Ji_bk/edit?usp=sharing
Также дополнил счет реквизитами. Счета по идее должны их содержать. Реквизиты берутся из кабинета банка.
docs.google.com/document/d/1nyBgQqosMY0Qj6uSBbpBTRR8uQ4XmNtFDfyaC9tYAC0/edit?usp=sharing
Какие еще вопросы возникли:
А можете подсказать какие-то конкретные решения, которые позволяют реализовать SSO для входа на веб-ресурсы, которые не умеют ни SAML, ни OpenID Connect, ни LDAP? Т.е. есть веб-приложение, в нем база пользователей и форма входа (POST). Можно ли в какой-то единой системе сохранить/сгенерировать пароль для его учетки от этого приложения и чтобы система сама его «вводила»? Понимаю примерно как реализовать такое через реверс-прокси, но интересуют готовые системы.
Что в данном случае имелось ввиду под изоляцией сессий? Пользователями запускались файлы, которые все могли изменять? Некорректно настроенные доступы к профилям? Или что-то другое?
А как переносите и актуализируете эти сведения из этих систем в SIEM? Вручную самостоятельно по выгрузкам, пишете модули интеграции, или к примеру есть промежуточный инструмент, который позволяет клиентам вносить информацию?
Ограничиваетесь базовым договором, а все остальное — в электронной форме (через тикеты)?
2) А также вопрос: как понять параметр SLA «Время обнаружения инцидента (мин)». Когда начинается отсчет времени и каким событием он заканчивается?
А как налаживаете процесс работы с администраторами организаций — теми, кто проверяет, что атака была успешной/неуспешной? Как вы учитываете время их реакции — оно каким-то образом связано с вашими показателями SLA? Как уменьшаете количество ложных срабатываний в подобных ситуациях:
К примеру, нет WAF, фиксируется попытка заливки веб-шелла (СОВ), потом обращение к веб-шеллу для проверки успеха атаки (логи веб-сервера) и пусть код ответа 404. Но что, если скрипт шелла сам возвращает не 200-й код, а 404-й к каждому обращению к нему. Если реагировать только по логам и не проверять сервер на наличие шелла, то можно пропустить атаку. А уведомление об атаке = время на проверку.
Вы сотрудничаете с другими поставщиками таких услуг или сами устанавливаете и управляете WAFами? Если не секрет, что за WAF предпочитаете?
Сканируете только периметр или еще и сканируете внутреннюю сеть организации? Если второе — то проводите выездные проверки, размещаете агент сканера, организуете разовый удаленный доступ или постоянно имеете удаленный доступ к сети организации?
Мы вытягиваем из KSC и анализируем во врешних системах немалое количество информации (по ПО, оборудованию, состоянию баз, подключению агентов, активных учетках и т.п.), правда работаем напрямую с базой (даже зачастую не с готовыми публичными вьюхами) под зарезанной в правах учеткой. АПИ klakaut меня испугало если честно) Хоят смотрел на него пару раз только.
И уже эту штуку планируем использовать как источник знаний для SIEM…
К примеру, SQL-иньекции. Допустим есть веб сервер с кучей сайтов (все на одном IP 11.22.33.44 — только вир.т. хосты разные), и один из виртуальных серверов на нем — xxx.abc.ru. IDS обнаруживает атаку и залоггирует payload (http://xxx.abc.ru/path/script.php?param=INJECTION_HERE). IDS отправляет в SIEM в CEF алерт что мол на IP 11.22.33.44 была атака типа SQL и номер алерта в IDS 123456.
Как быть дальше? Как я предполагаю: По приходу такого алерта надо запустить скрипт, который получает из базы IDS payload атаки (лог веб-сервера не подойдет — POST не логгируется), распарсить его, вычленить поле Host, вычленить атакуемый параметр, запустить sqlmap/сканер, проверить параметр на иньекцию и ждать в сием результатов сканирования? Разумеется с использованием WAF в режиме регистрации можно первые шаги упростить.
Еще интересно как быть с «инвентаризацией» веб-ресурсов — чтобы регулярно актуализировать списки проверки веб-сканерами (чтобы находились все сайты на всех поддоменах и во всех подпапках, все скрипты в них и все параметры — не все сканер может выявить самостоятельно). Условие — автоматизированность — систем очень много. И возможно ли сразу увязать результаты такой инвентаризации и проверки сиемкой? Чтобы уже были знания по «безопасным» параметрам?
Можете осветить в следующей статье подобные кейсы?
PS. Про WAF от Валларма с его самопроверкой наличия иньекций знаю, но он дороговат в редакции нужной нам…