Гайнуллина Екатерина, инженер по информационной безопасности отдела развития Security Vision

Контейнеры Docker давно стали неотъемлемой частью современных IT-инфраструктур благодаря своей легкости и гибкости. Однако, несмотря на все их преимущества, они обладают и серьезными недостатками в плане безопасности. Представьте себе контейнер с root-доступом. Это, как если бы у вас была дверь с замком, но ключ от неё подходил бы ко всем замкам в доме.

В предыдущей статье мы рассказывали про методику оценки качества процесса расследования и реагирования. В двух словах: мы рассуждали, каким образом сформировать систему метрик на основе статистики действий аналитиков SOC, которые позволят проанализировать процессы и процедуры security operation. Применение системы метрик позволит, с одной стороны, оптимизировать действия аналитиков за счет исключения лишних действий (возможно, сделав их необязательными), автоматизировать повторяющихся действий, разработать воркэраунды для слишком долгих действий, пополнить плейбуки действиями, которые в них отсутствуют, но в реальности всегда выполняются. С другой стороны, система метрик позволит повысить качество детекта за счет сбора статистики по условиям, при которых правило коррреляции фолзит из раза в раз. И, в конце концов, система метрик может помочь проанализировать утилизацию средств защиты, а также экономическую эффективность подписок на аналитические сервисы и фиды. Каким образом? Давайте разбираться на реальных примерах.

Оптимизация планов реагирования за счет анализа статистики действий по инцидентам

Анализ планов реагирования стоит начать с проверки достижения им цели полноценного анализа ландшафта инцидента. Почему именно с этого? Да потому, что весь security management стремится в первую очередь к максимальной полноте и актуальности контекста: чем чище и корректнее данные, тем вернее будет решение. Поэтому для выстраивания хорошего процесса расследования надо понять:

·  Насколько качественно мы анализируем все артефакты, собранные в инциденте.

С ростом популярности контейнеров появилось множество преимуществ. Контейнеры являются основой архитектуры микросервисов, которые позволяют создавать облачные приложения любого размера. Однако из-за своей популярности контейнеры также являются главной мишенью для программ-вымогателей, хакеров и других угроз.

В результате предприятия, которым важна надежная система безопасности, должны иметь возможность решать общие проблемы безопасности контейнеров. Хотя не существует единого способа решения, применение комплексного подхода и использование правильных инструментов может принести большую пользу.

Максим Анненков, инженер-архитектор отдела развития Security Vision

Люди в целом подвержены когнитивным искажениям, то есть искажениям восприятия информации или событий. Например, одним из таких искажений является «подтверждение предвзятости», когда люди склонны искать и интерпретировать информацию таким образом, чтобы она подтверждала их уже существующие убеждения. Другим примером может служить «эффект выбора», когда человек делает выбор в пользу той информации, которая подтверждает его предпочтения, игнорируя другие возможные варианты.

Из-за когнитивных искажений мы можем ставить отдельные компании или даже целые холдинги в зависимость от субъективного восприятия лиц, принимающих решения. Эта проблема существует в каждом аспекте деятельности организации, однако в этой статье мы рассмотрим, насколько она релевантна для области обеспечения информационной безопасности и то, как бумажная безопасность может стать полезным инструментом в борьбе с когнитивными искажениями.

В прошлой статье мы рассматривали геймификацию применительно к ИБ-сфере, с учетом соответствующей специфики. Теперь же хочется обсудить то, что уже в каком-то виде существует во многих компаниях, которые могут относиться не только к ИБ, но все же используют игровые методики в своей работе.

Какие эти игры, для чего их внедряют в работу?

При создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности.

Критерии формулируются на основе основных параметров инцидента, которые должны быть учтены в работе над его расследованием, реагированием и постинцидентной активности. При этом важно учитывать тот факт, что работа над инцидентом – гораздо шире, чем стандартный анализ и реакт на скоррелированные события ИБ. Работа над инцидентом – это: 

В данном цикле статей мы глубже погрузимся в исследование агентов, расскажем, зачем они нужны, об их возможностях и нюансах работы с ними. А текущая статья, как вводная, даст общее понимание такого явления, кратко затронет типы агентов и общие форматы их внедрения в сетевую структуру.

Как помочь растормошить команду SOCа и заставить их бороться против настоящего, а не вымышленного злоумышленника? С чем чаще всего связана некоторая халатность в отношении процесса постинцидента и как это влияет на процесс расследования в целом?

От чего в наибольшей степени будeт зависеть этап подготовки к расследованию и само расследование? Сегодня мы рассмотрим взаимосвязь пентеста для компании и процессов Lessons Learned.

В чем вообще цель работы над ошибками: в том, чтобы изменить что-то вокруг или поменять свой подход к работе?

Парадигма, к которой мы привыкли, это продукты под ключ: уже готовые решения с определенным набором функций, опций и кнопочек, со своим конкретным визуалом, подобранным под внутреннюю архитектуру. У каждого вендора свое видение не только о потребностях, но и о том, сколько он готов открыть «внутрянки» для конечного пользователя. В итоге в этом или нет гибкости, или есть очень много вариантов аддонов и плагинов, это как дать рыбу вместо удочки.

Представьте, что вы заходите в оснастку какого-то продукта и у вас нет quickstart guide, обучения, ничего. Как вы в нем будете разбираться? А как настраивать? Как может выглядеть продукт для того, чтобы им могли и сразу пользоваться, и сразу разрабатывать?

В прошлой статье мы рассмотрели возможности проверки открытого кода различными способами, вендорскими и самостоятельными. В целом, частая проверка обновлений на предмет подозрительной или даже вредоносной активности – вещь кропотливая, ответственная, и если заниматься этим вручную – отнимает много времени.

Есть различные способы автоматизировать данный процесс, но в контексте того, что методы завуалировать вредонос под легитимное ПО эволюционируют день ото дня, процесс его выявления также должен развиваться чуть ли не в большем темпе.

Гайнуллина Екатерина, инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision

Беляева Ева, руководитель отдела развития Производственного департамента Security Vision

Введение

Как часто, пользуясь open source, вы задумывались о том, что придет с грядущим обновлением? Скорее всего, регулярно, особенно за последние несколько лет. Весь мир давно говорит о том, что любые обновления проприетарного ПО требуют тестирования и проверки, с обновлениями opensource-решений такая же история.

В последние годы атаки на цепочку поставок стали значительной угрозой для безопасности программного обеспечения.

Любая организация зависит от совместной работы профессионалов различных областей на достижение общих результатов. Исключительно редко возможно достичь целостного успеха, не выходя за рамки собственной компетенции.

И чем масштабнее становится бизнес, тем более нетривиальной задачей становится обеспечение его устойчивости, ведь для ее решения необходимо распутать клубок взаимозависимости людей процессов и технологий. Такая задача требует совместной работы бизнеса, технических специалистов, безопасников и рисковиков для того, чтобы рассмотреть возможные последствия остановки деятельности организации со всех точек зрения.

На выходе такой комплексный подход к вопросам обеспечения непрерывности позволит не только выявить необходимость резервирования особенно важных активов, но и получить побочный положительный эффект от оптимизации процессов и устранения «бутылочных горлышек».

«Усложнять просто, упрощать сложно»

Закон Мейера

Часто ли вы задумываетесь о том, как вы воспринимаете ту или иную информацию? Почему одни статьи или книги идут легче, а другие - тяжелее? Бывало ли у вас такое, что вы раз за разом скользили взглядом по абзацу текста и не могли понять, что вы только что прочитали?

Визуальное представление данных - очень большая часть нашей жизни, и это влияет на разные ее сферы: обучение, работу, развлечения.

Что если мы скажем, что на практически любой вопрос можно дать ответ таким образом, что скорость восприятия получаемой информации возрастёт, а понимание будет гарантированным?

Алексей Пешик, инженер‑эксперт Security Vision

Екатерина Гайнуллина, инженер по информационной безопасности Security Vision

Цепочка поставок программного обеспечения (Software Supply Chain) — это сложная структура, которая включает в себя разные этапы, начиная с разработки программного кода и заканчивая доставкой готовых продуктов конечным пользователям. Важность цепочки поставок программного обеспечения заключается в том, что она является фундаментом цифровой экономики.

Программное обеспечение играет важную роль в современной жизни, будь то в бизнесе, государственных организациях или в повседневной деятельности частных лиц. Благодаря программному обеспечению мы получаем доступ к информации, ресурсам и услугам, и оно является ключевым фактором в технологическом развитии. Цепочка поставок обеспечивает надежность и доступность программных продуктов для конечных пользователей, что критически важно для бизнес‑процессов, инноваций и развития технологий. Однако, цепочка поставок программного обеспечения также стала объектом увеличивающегося внимания со стороны злоумышленников. Атаки на эту цепочку могут иметь серьезные последствия, включая уязвимости в программных продуктах, подмену компонентов, внедрение вредоносного кода и другие виды кибератак. Поэтому безопасность и надежность цепочки поставок программного обеспечения стали приоритетными вопросами в области кибербезопасности. Управление рисками и безопасностью в цепочке поставок становятся критически важными, и разработчики, поставщики и пользователи должны сотрудничать, чтобы обеспечить её надежную работу.

В прошлой статье мы поговорили тренды и эволюцию среди вредоносного ПО и программ-вымогателей. В этот раз хотелось бы рассмотреть оставшийся спектр наиболее распространенных и интересных угроз последних лет. Начнем мы с моей любимой социалочки, которая будет актуальна всегда, пока существуют человеческие слабости (знаю пентестеров, которые как хобби любят выискивать слабости в человеческой психике даже просто так в реальной жизни).

Начнем с определения угроз. Кому-то из круга читателей это будет излишним, но пусть здесь полежит – вдруг пригодится. Итак, угроза – это всевозможные действия или события, которые могут вести к нарушениям информационной безопасности, что может привести к нанесению ущерба или нарушению чьих-либо интересов.

По результату наших исследований (на основании огромного количества TI-отчетов, которые мы на регулярной основе изучаем в контексте Threat intelligence), за предыдущий год ландшафт угроз не сильно видоизменился в целом, но появилось много достаточно интересных изменений в частности.

Кстати, в качестве одного из документов к ознакомлению мы рекомендуем ENISA Threat Landscape 2022/2023 – достаточно основательное исследование, которое ежегодно выпускает аналитическое агентство, покрывающее большую часть интересных тем в контексте современных угроз и их примеров. Что не исключает, конечно, ознакомления с угрозами через вендорские отчеты, бюллетени (IBM, Microsoft, Elastic, Acronis, SonicWALL и т.д.) и через отчеты непосредственно исследователей (такие как The DFIR Report и другие). В целом TI (Threat intelligence) – это всегда огромное количество информации, причем совершенно разноплановой с точки зрения специализаций (тут вам и сетевые технологии, если атака на слабость протокола; и крипта, если угроза связана с кастомным шифрованием и даже программирование, если мы хотим понять, как работает rootkit). При этом только через TI-отчеты мы можем разобраться, как работают группировки, прокачиваются, как атакуют с конкретного вредоносного ПО, как используют техники и что сейчас актуально. Поэтому делюсь с вами частью своих агрегаторов TI-отчетов со всего мира: https://t.me/threatinteltrends и https://t.me/secvisionnews, вы найдете там много интересного. Ну что ж, приступим.

Ранее мы обсуждали точки соприкосновения ИТ и ИБ в разрезе технических решений, а также сценарии их использования и обмена опытом.

Осталось подняться на уровень выше и понять, откуда в принципе начинаются все противоречия и проблематика - к процессам.

Эта история будет несколько личной - с одной из предыдущих команд, в которой я когда-то была просто инженером, много лет назад мы начинали строить SOC для заказчиков, не сильно-то и понимая, как это делать правильно.
В ход шло все - международные стандарты, здравый смысл и желание «сделать хорошо». В итоге, оглядываясь назад, мы видим, что то, какими стали центры сейчас и какими они были тогда - очевидно, очень разные вещи. Но и то, каким стал SOC, собранный нами за 1-2 года, поразительно отличалось от всего, что было в самом начале - от идеологии до непосредственно исполнения.
В какой-то момент результат был признан конечным, но на самом деле все только начиналось.

В процессе расследования инцидентов в сетевой области традиционно применяют такие инструменты как Wireshark, Zeek, Suricata. Каждый из указанных инструментов обладает своими достоинствами и недостатками, соответственно было бы целесообразно использовать их в связке из единого интерфейса. Такую возможность предоставляет анализатор трафика ZUI (Brim), о котором пойдет речь в данной статье.

Это вторая статья из цикла «Взаимодействие ИТ и ИБ». Первую статью можно прочитать здесь.

Зачем ИБ-шникам ИТ-системы?

Нередко при работе с инцидентами аналитику приходится сталкиваться с таким страшным зверем, как обогащение и поиск дополнительной информации. Любые улики, зацепки и мелочи могут помочь как в продвижении расследования, так и в принятии решения касательно действий - выполнять или нет, стоит ли результат риска и так далее.

Часто выходит так, что ИТ и ИБ-подразделения пользуются схожим инструментарием в части ИТ-систем. А иногда и не просто схожим, одинаковым. В результате чего могут возникать непримиримые противоречия и неутихающие споры, нередко заканчивающиеся чем-то вроде холодной войны между департаментами.