Обновить
1
Dmitriy@skippy163

ИТ, ИБ

Отправить сообщение

Какими средствами вы предлаете создать "строгий ACL"? Встроенный виндовый фаервол?

Какой нибудь инструмент для нахождения паролей можешь порекомендовать, как заведомо рабочий?

Неплохо. Но как бы ещё хеши вложений получить в sha-256?

После выставления нужного атрибута, запрашиваем tgs на службу cifs на имя администратора домена

С помощью этого действия ты получил учётку администратора домена или что?

Не совсем понятно, для чего было много действий делать, чтобы получить локального на хосте PC150, если пишешь что заказчик и так дал учётку с правами локального.

Также хочется упомянуть, что на хосте был воткнут флеш-накопитель, который содержал абсолютно все пароли в чистом виде от инфраструктуры компании

Это конечно отдельный факап. Ждём следующий пост о том, как находить файлы с паролями в открытом виде на хостах сотрудников, в инфе заказчика автоматизированно с помощью инструметов kali.

Хорошие рекомендации, но маловато конкретики. Например, на какие метрики опираться для анализа уровня зрелости SOC, который мониторит вашу инфру? Как выстраивать процесс "проверки гипотез", чтобы понимать, на что мониторинг отреагирует, а на что нет? И как должен происходить процесс обмена IoC? Должен ли SOC регулярно присылать индикаторы компрометации для их превентивной блокировки?

Кто подскажет, как автоматизировать установку sysmon с заданным файлом конфигурации в .xlm на сотню-другую АРМ? А также, как автоматизировать прописывание дескриптора безопасности на чтение журнала sysmon\operational? Ну или хотя бы как конвертнуть exe-шник сисмона в .msi )))) p.s. ИИ не предлагать, к нему я уже обращался, но полагаю тот путь, который он меня ведёт, слишком "наивен", назовём это так...

А использование гугл-аналитики, к слову, по нынешним меркам — трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.

А можете привести ссылку на закон или ответ от РКН, где это прописано? Просто впервые слышу о таком.

Индикаторы взлома, помогающие защититься от этой угрозы, доступны в репозитории GitHub.

А что конкретно нужно сделать с данными индикаторами, чтобы защититься?

И всё таки, насколько понимаю, основной защитой выступает обновление, но какой именно патч или kb должен быть установлен, в которой исправлена выше указанная cve?

или хотя бы настройку Касперского для защиты от шифровальщиков

Что конкретно имеется ввиду? какой модуль или что?

Опишите пожалуйста конкретные инструменты (ПО) и технологии, с помощью которых создаётся такая модель графов. Уверен, многие бы хотели реализовать для себя нечто подобное.

требования законодательства обязуют использовать в информационных системах средства от несанкционированного доступа

Подскажите, какой именно документ регламентирует такое требование? И какая ответственность предусмотрена за невыполнение?

Если пользователи подключаются с личных устройств только с одним VPN (по логину паролю), насколько это критично? Многофакторки пока тоже нет. КИИ не являемся, но тем не менее, хотелось бы также понимать риски.

Статья идеально подходит для тех, у кого проблемы с критическим мышлением и напрочь отбитым чувством возможности реальных угроз.

скрипты «изоляции хоста» и «убивание доменных учётных записей» (путём неправильных авторизаций по циклу) должны быть готовы заранее и находиться под рукой - расскажите про этим инструменты поподробней пожалуйста. Ну или ссылками можно, для ознакомления. Заранее спасибо.

Конечно есть такие монументальные стандарты, как CIS Control, NIST, OWASP, которые помогают построить дорожную карту по внедрению контролей безопасности, включая область защиты пользователей. Мы же здесь хотели бы поделиться нашим топом базовых, простых но важных для детектирования аномалий в поведении пользователей, который позволит быстро минимизировать часть рисков даже в тех организациях, где, например, нет Security Operations Center.

Отлично, как раз то что нужно. Простым и понятным языком описано, какие контроли необходимы. Наверняка, если брать инфо с источников NIST\ CIS, там будет гораздо менее понятно, что конкретно нужно сделать и как реализовать тот или иной контроль у себя в инфраструктуре. Хотелось бы больше подобных адаптированных гайдов по подобной тематике на русском языке. Спасибо.

А есть ли какие-то обещпринятые модели зрелости ИБ, где всё также будет прописано и от которой можно было бы отталкиваться?

Хорошая статья. Но хотелось бы получить какие-то best practices по мерам защиты и недопущения шифрования файлов, средствами GPO или как-то иначе. Уверен, варианты есть и выше уже об этом начали дискутировать. Если кто-то обладает подобным опытом, поделитесь.

Вроде как "начали массово рассылать" с использованием скомпрометированной DKIM-подписи от YouTube. Или я чего-то не понимаю?

Спасибо за такое разъяснение предельно простым языком. Было бы неплохо, если бы ещё прикрепили ссылок ресурсов по изучению написания правил корреляции. А также по плейбукам, которые сами используете в своей работе у себя в SOC, если есть такая инфа, по возможности поделитесь. Будет весьма полезно начинающим ИБ-специалистам и SOC-специалистам.

Информация

В рейтинге
Не участвует
Откуда
Самара, Самарская обл., Россия
Дата рождения
Зарегистрирован
Активность