Я бы даже сказал не групповых политик windows, а групповых политик аналогичных подходу kaspersky security center. Посмотрите как там сделано, большая гибкость настройки политик безопасности и назначения их на различные группы хостов. Настраиваемые политики мониторинга Всех компонентов защиты и отчёты по событиям безопасности. Одних только событий мониторинга можно настроить на свой вкус несколько сотен, от блокировки запрещенного скрипта, до логирования действий администратора. Все в одном месте. Возможно не стоит изобретать велосипед. Сделайте также, многие скажут спасибо.
Контроль целостности и замкнутая программная среда это безусловно сильная и нужная вещь. Но как насчёт удобного Централизованного управления большой инфраструктурой состоящей из нескольких тысяч ПК с включением этих функций?
Зоопарк ПО, да часть программ будет из ваших подписанных репов, но часть задач придётся автоматизировать скриптами и самописным ПО, а кое-где и wine с древним софтом применить.
В связи с этим вопросы.
1. ЗПС хочется сохранить на больших объемах техники, чтобы никакой левый bash скрипт не запустился из /home или /tmp пользователя. Нужно удобно Централизованно добавлять разрешения для серверов и ПК на запуск программ и скриптов. Не только из ваших репов, но и своих наработок. Применять гибкие политики или профили разрешений. (Эти сидят в асутп — поджать сильнее, эти админы — дать разрешение для софта администрирования, эти в интернете — разрешить только браузеры) Это есть?
2. Нужна Централизованная отчётность о попытках запуска посторонних программ, скриптов с целью своевремменого реагирования на инцидент. Это есть?
Спасибо за подробное описание. Спорный продукт, очередной комбайн. Anomali ThreatStream - полезная вещь, однако самое главное это не движок, без правильных фидов это пустышка. Я так понимаю большая часть фидов идёт в комплекте, но американское происхождение намекает, на ориентированность в западное направление. Какой мне смысл от ioc атак на Вашингтон или Мехико, только базы раздувать, меня интересуют Российские apt. И по сути это значит интеграцию в Госсопку. Про это ничего не сказано. Совместимость? Возможность? Anomali Match больше похоже на параллельную siem сущность. Корреляции и детекты можно делать и там. Непонятная надстройка. Из плюсов только, поиск по жирной базе? А оно надо? Глубины сием для оперативного реагирования должно и так хватать. Хакеры сразу бросают скомпроментированные ресурсы и заводят сотни новых. Смысл держать толстую 10летнюю базу древних атак?
Последний пример не до конца понятен. Почему новая команда не принимала работы по ранее согласованному в рамках договора ТЗ? Там были настолько размытые формулировки, что можно было вертеть исполнителем (Вами) как угодно расширяя и расширяя функционал "за те же деньги"?
Спасибо за статью. Вы правы, за много лет развития удаленного онлайн банкинга, вменяемой защиты так и не было реализовано. Все сводится к банальному "введите смс". При том что сим-карту можно не только перевыпустить, но и навскидку , коды можно перехватить через SS7 или подключить другой номер телефона обманув оператора банка.
Дайте людям опцию многофакторности, подтверждение платежей по 2м и более факторам --паралельно--.
Самое примитивное, подтверждение платежа не только по коду смс, но и по коду на отдельную секретную электронную почту. В формочки надо-то добавить дополнительное поле. Или по коду смс + коду почты + код otp на базе андроида.
Если какой-то код не ввел, платеж не должен проходить.
Изменение настроек защиты тоже только через мультифактор.
И не надо говорить про клиенториентированность и удобство, сделайте эти защитные опции --подключаемыми--. Кому лень разбираться, будут смсками по старинке, кому не лень настроят себе нужное сочетание защиты.
Название сервера интересное.
"Цероклис — божество злаков и урожая.
В материалах XVII века говорится о жертвоприношениях этому богу животных — черного быка, курицы, поросёнка, а также об обычае оставлять в лесу у дуба два куриных яйца и при еде бросать на землю первый кусок и проливать немного питья. С культом Цероклиса связывают обычай выпечки большого хлеба в форме змея с открытой пастью и поднятым хвостом, а также хлеба в форме свиньи или собаки."
Это все замечательно. Но есть минус. У сисмона нет самозащиты процесса, как например у большинства популярных av. Поэтому прибить сисмон и прекратить сбор событий задача простая.
Шутки «петросянство», в рассылке всем действительно неуместны. Скорее цепляют примеры применимые в личной жизни.
«Хакеры ломают нашу корпорацию, отдельные сотрудники обращались за помощью с подозрением на атаки личных пк, применяйте защитные меры для корпоративных ресурсов, не забывайте про защиту личного пространства
Список рекомендаций:
»
По описанию, snort на максималках, с улучшенной эвристикой.
Скажите в нашу эпоху шифрования всего, в этот инструмент можно загружать сертификаты для инспекции трафика, как это делается например на ngfw.
Некое подобие ИИ давно было в классических антивирусах, с их эвристическими анализаторами.
Теперь анализатором пытаются накрывать не отдельный программный процесс или машину, а сети целиком. Конечно это порождает много ложных срабатываний, среда крайне динамичная.
Хватит ли человеческих ресурсов обрабатывать живыми мозгами все эти ложняки или soc предпочтет откатиться к классическим сигнатурным методам, и снизить нагрузку на аналитиков. Истина как обычно где-то посередине.
Непонятно недовольство программиста по поводу вопроса о времени на решение задачи. Какой метод он считает правильным в распределении времени на задачи?
Риски утечки приватного ключа есть. С другой стороны, если взять классический https inspect, то mitm внешний злоумышленник сможет провести, уже преодолев защищаемый периметр. Тут как говорится Тушите свет.
По части американских «партнёров», если их саппорт с руками сидит на периметровой защите, то тут и помимо банальной кражи сертификатов, можно много чего накрутить. Это уже вопрос доверия к вендору.
Кто будет пользователем этого документа? Если для собственных нужд то это одно, если для внешнего аудита, то нужны как минимум ссылки на БДУ ФСТЭК, модель нарушителя и другие сопутствующие нормативке по КИИ.
Может быть. Однако неубиваемая порнуха в 3 часа ночи, с полностью выкрученной на максимум громкостью, явно была продуктом чей-то больной фантазии. Ну и наложились найденные подозрительные фотки и другие звуки, которые раньше проходили по разряду «послышалось».
На вирустотале в отчетах видно, что часть приложений имели доступ к камере.
"средство обеспечения ИБ в сети, которое основано сборе телеметрических данных с различных устройств" — вы сейчас siem и описали упомянутый в начале статьи .
Интеграция в AD, глубокий парсинг трафика как собственными фильтрами, так и сторонними, ips, натирование и создание туннелей, гибкие правила доступа в инет, как для группы, так для отдельных учеток ad, кластеризации, полное логгирование всех изменений конфигурации админами.
Tmg умел ещё Тогда, что многие сегодняшние utm только освоили.
Странно что Майкрософт закрыла в своё время успешный продукт tmg (isa server) заявив что будет сосредоточено только на ОС. А средства защиты это удел других производителей.
И тут внезапно бросилась хостовый антивирус развивать, придавливая попутно других разрабов.
Зоопарк ПО, да часть программ будет из ваших подписанных репов, но часть задач придётся автоматизировать скриптами и самописным ПО, а кое-где и wine с древним софтом применить.
В связи с этим вопросы.
1. ЗПС хочется сохранить на больших объемах техники, чтобы никакой левый bash скрипт не запустился из /home или /tmp пользователя. Нужно удобно Централизованно добавлять разрешения для серверов и ПК на запуск программ и скриптов. Не только из ваших репов, но и своих наработок. Применять гибкие политики или профили разрешений. (Эти сидят в асутп — поджать сильнее, эти админы — дать разрешение для софта администрирования, эти в интернете — разрешить только браузеры) Это есть?
2. Нужна Централизованная отчётность о попытках запуска посторонних программ, скриптов с целью своевремменого реагирования на инцидент. Это есть?
Если есть, где почитать.
Спасибо за подробное описание. Спорный продукт, очередной комбайн.
Anomali ThreatStream - полезная вещь, однако самое главное это не движок, без правильных фидов это пустышка. Я так понимаю большая часть фидов идёт в комплекте, но американское происхождение намекает, на ориентированность в западное направление. Какой мне смысл от ioc атак на Вашингтон или Мехико, только базы раздувать, меня интересуют Российские apt. И по сути это значит интеграцию в Госсопку. Про это ничего не сказано. Совместимость? Возможность?
Anomali Match больше похоже на параллельную siem сущность. Корреляции и детекты можно делать и там. Непонятная надстройка. Из плюсов только, поиск по жирной базе? А оно надо? Глубины сием для оперативного реагирования должно и так хватать. Хакеры сразу бросают скомпроментированные ресурсы и заводят сотни новых. Смысл держать толстую 10летнюю базу древних атак?
Последний пример не до конца понятен. Почему новая команда не принимала работы по ранее согласованному в рамках договора ТЗ? Там были настолько размытые формулировки, что можно было вертеть исполнителем (Вами) как угодно расширяя и расширяя функционал "за те же деньги"?
Спасибо за статью. Вы правы, за много лет развития удаленного онлайн банкинга, вменяемой защиты так и не было реализовано. Все сводится к банальному "введите смс". При том что сим-карту можно не только перевыпустить, но и навскидку , коды можно перехватить через SS7 или подключить другой номер телефона обманув оператора банка.
Дайте людям опцию многофакторности, подтверждение платежей по 2м и более факторам --паралельно--.
Самое примитивное, подтверждение платежа не только по коду смс, но и по коду на отдельную секретную электронную почту. В формочки надо-то добавить дополнительное поле. Или по коду смс + коду почты + код otp на базе андроида.
Если какой-то код не ввел, платеж не должен проходить.
Изменение настроек защиты тоже только через мультифактор.
И не надо говорить про клиенториентированность и удобство, сделайте эти защитные опции --подключаемыми--. Кому лень разбираться, будут смсками по старинке, кому не лень настроят себе нужное сочетание защиты.
Ну а вообще в сбере много долгоиграющих косяков.
Название сервера интересное.
"Цероклис — божество злаков и урожая.
В материалах XVII века говорится о жертвоприношениях этому богу животных — черного быка, курицы, поросёнка, а также об обычае оставлять в лесу у дуба два куриных яйца и при еде бросать на землю первый кусок и проливать немного питья. С культом Цероклиса связывают обычай выпечки большого хлеба в форме змея с открытой пастью и поднятым хвостом, а также хлеба в форме свиньи или собаки."
Это все замечательно. Но есть минус. У сисмона нет самозащиты процесса, как например у большинства популярных av. Поэтому прибить сисмон и прекратить сбор событий задача простая.
«Хакеры ломают нашу корпорацию, отдельные сотрудники обращались за помощью с подозрением на атаки личных пк, применяйте защитные меры для корпоративных ресурсов, не забывайте про защиту личного пространства
Список рекомендаций:
»
По описанию, snort на максималках, с улучшенной эвристикой.
Скажите в нашу эпоху шифрования всего, в этот инструмент можно загружать сертификаты для инспекции трафика, как это делается например на ngfw.
Некое подобие ИИ давно было в классических антивирусах, с их эвристическими анализаторами.
Теперь анализатором пытаются накрывать не отдельный программный процесс или машину, а сети целиком. Конечно это порождает много ложных срабатываний, среда крайне динамичная.
Хватит ли человеческих ресурсов обрабатывать живыми мозгами все эти ложняки или soc предпочтет откатиться к классическим сигнатурным методам, и снизить нагрузку на аналитиков. Истина как обычно где-то посередине.
По части американских «партнёров», если их саппорт с руками сидит на периметровой защите, то тут и помимо банальной кражи сертификатов, можно много чего накрутить. Это уже вопрос доверия к вендору.
На вирустотале в отчетах видно, что часть приложений имели доступ к камере.
1.Какая средняя стоимость решения.
"средство обеспечения ИБ в сети, которое основано сборе телеметрических данных с различных устройств" — вы сейчас siem и описали упомянутый в начале статьи .
Tmg умел ещё Тогда, что многие сегодняшние utm только освоили.
И тут внезапно бросилась хостовый антивирус развивать, придавливая попутно других разрабов.