Мы можем судить об атаке Trisis по отчету FireEye. Последние связывали хакерскую группировку, которая стоит за Trisis/Triton, с российским НИИ. Но обсуждать атрибуцию атаки, когда не видел семплов ВПО, крайне сложно и не очень правильно.
В посте речь все-таки о том, как защититься от угрозы, а откуда она исходит – это тема отдельного исследования.
Мы не являемся разработчиками АВПО, установленного на заражённых хостах, и не можем наверняка сказать, в какой момент что-то пошло не так. Мы просто видим, что АВПО было установлено, но при этом были убиты не все вредоносные файлы. Причин может быть много. Возможно, антивирусу была необходима перезагрузка, чтобы выгрузить вредоносные драйверы, один из которых как раз сделан для того, чтобы мешать работе АВПО.
В карантине АВПО на хостах было обнаружено множество файлов Glupteba от разных моментов времени (в том числе и драйверов), но на момент расследования ВПО успешно функционировало.
Многие вводят свои критерии и уровни злоумышленников, в том числе и регуляторы. Поэтому тут мы не стремились быть первыми и единственными. Мы хотели разделить подходы злоумышленников, чтобы выбирать адекватные уровни и методы защиты.
Что касается деления злоумышленников на внешние/внутренние: если хакер компрометирует устройство сотрудника, он не становится внутренним злоумышленником, просто он уже преодолел периметр и, конечно, стал намного опаснее.
Социальная инженерия является одним из самых простых способов проникновения в инфраструктуру, но не единственным. В посте мы несколько раз упоминаем этот метод.
Приобретателями готового ВПО в той или иной степени выступают все типы злоумышленников. Хулиганы обычно используют бесплатное и доступное ВПО. Киберкриминал уже покупает более продвинутое ВПО и использует актуальные уязвимости. Кибернаемники и проправительственные группировки что-то пишут сами, а что-то покупают, причем помимо актуальных уязвимостей ищут, покупают и используют 0-day.
Если говорить про дропов, то мы их скорее не относим напрямую к злоумышленникам. Обычно их услуги связаны с обналичкой украденных или полученных шантажом денег (или иных благ). Как правило, дроп выполняет лишь небольшой кусок работ, который не связан с непосредственным взломом инфраструктуры
Документа, который бы прямо говорил, что лицензия, выданная ФАПСИ, = лицензии ФСБ, нет. Но, повторимся, что все обязанности ФАПСИ в области криптографической защиты информации переданы ФСБ России. Лицензированием деятельности, связанной с СКЗИ, также сейчас занимается ФСБ. При этом сама ФСБ ссылается на Инструкцию ФАПСИ в части учета СКЗИ – в этом и заключается парадокс ситуации и проблематика устаревшей инструкции. Очевидно, что сейчас вопрос с лицензиями решается скорее «по умолчанию» (ФАПСИ=ФСБ)
Дистрибутив с СКЗИ надо проверить на целостность контрольной суммы. Вместе с дистрибутивами СКЗИ на странице загрузки размещаются контрольные суммы установочных модулей и документации. Контрольные суммы рассчитываются в соответствии с ГОСТ Р 34.11 94 с учётом RFC 4357, а также md5.
Установка СКЗИ на рабочее место осуществляется только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.
Проверка должна быть осуществлена с помощью утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP» cpverify -mk , либо иным другим сертифицированным ФСБ шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
После дистрибутив можно записать на диск и учесть его, как эталонный экземпляр.
А если имеется в виду, что пользователь сам взял, скачал и установил, то это, конечно, должно расцениваться, как инцидент ИБ. Но обычно в комплекте с СКЗИ всегда идет дистрибутив.
Мы не про моральное устаревание учета, а про устаревание требований к его ведению.
Действительно, журналом учета СКЗИ все не ограничивается. Есть еще типовая форма технического (аппаратного) журнала, в котором как раз ведется учет АРМ с СКЗИ. В нем отмечаются все действия, проводимые с СКЗИ (например, обновление). Там тоже есть свои особенности, но как мы написали выше, все, что нужно делать с СКЗИ в одном посте не уместишь.
А вот журнала ключевых носителей в инструкциях ФАПСИ (ФСБ) нет, поэтому каждая организация может вести его по своему усмотрению.
Нет приказа, который бы отменил указанный выше приказ ФАПСИ, он остается актуален и по сей день. Сейчас в области обеспечения безопасности персональных данных действует несколько нормативно-методических документов ФСБ России. www.fsb.ru/fsb/science/single.htm%21id%3D10437725%40fsbResearchart.html
При этом согласно указу президента от 11 марта 2003 года № 308 все обязанности ФАПСИ были распределены между несколькими службами, включая ФСБ. Поэтому лицензия ФСБ фактически заменяет лицензию ФАПСИ.
Можно поинтересоваться что за строки — сколько столбцов, каков размер строки? И не совсем уловил характеристики «железа», на котором этот впечатляющий миллион достигается.
Столбцов порядка 20, общий размер строки в пределах 1КБ
Железо, 4 ядра, 32ГБ RAM, 500ГБ HDD
Клик заточен для хранения и обработки большого числа мелких строк, поля с большим объемом тут хранить не рекомендуется.
Вставка атомарная? Т.е. если вставляешь 10.000 строк не получится ли так, что пара тысяч строк вставились, а остальные — нет?
В Клике вставка в общем случае неатомарная, и как раз может получиться такая ситуация, если нужна гарантия, то либо нужно в прикладе перепроверять и перевставлять,
либо искать другое решение.
Наверно правильнее будет использовать определение языка из Википедии как SQL-подобного: https://en.wikipedia.org/wiki/ClickHouse
• SQL support. ClickHouse supports an extended SQL-like language that includes arrays and nested data structures, approximate and URI functions, and the availability to connect an external key-value store.
Когда мы начинали использовать ClickHouse, в нем не было даже нормальной поддержки операции объединения таблиц, можно было объединять только две таблицы или два подзапроса.
Если имеется в виду вариация инкрементального анализа, то основная причина заключается в том, что при выгрузке только изменённых запросов будет анализироваться код без связи с внешними функциональными модулями, классами и программами, которые он может вызывать. Это означает, что анализ не будет полноценным, так как поведение программы может изменяться сильнее, чем это может быть проинтерпретировано только в рамках изменения — AST и CFG будут уже не те =)
Также это была более простая и надёжная реализация именно с точки зрения интеграции сервисов между собой.
Добрый день. Отвечаем по пунктам:
1. Видимо, мы неточно отразили мысль в статье (уточнили в тексте). Опыт работы с SAP уже имелся, но не столь масштабный, как требовалось в данном случае. Поэтому этот проект дал нам много новых знаний.
2. У заказчика был и есть отдел безопасности SAP, они использовали свои методы проведения аналитики и выявления потенциальных проблем, но также стали одним из основных инициаторов внедрения нашей системы.
Рады, что наше обучение было полезным :) Обязательно будем повторять этот опыт.
В посте речь все-таки о том, как защититься от угрозы, а откуда она исходит – это тема отдельного исследования.
Что касается деления злоумышленников на внешние/внутренние: если хакер компрометирует устройство сотрудника, он не становится внутренним злоумышленником, просто он уже преодолел периметр и, конечно, стал намного опаснее.
Социальная инженерия является одним из самых простых способов проникновения в инфраструктуру, но не единственным. В посте мы несколько раз упоминаем этот метод.
Если говорить про дропов, то мы их скорее не относим напрямую к злоумышленникам. Обычно их услуги связаны с обналичкой украденных или полученных шантажом денег (или иных благ). Как правило, дроп выполняет лишь небольшой кусок работ, который не связан с непосредственным взломом инфраструктуры
Установка СКЗИ на рабочее место осуществляется только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.
Проверка должна быть осуществлена с помощью утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP» cpverify -mk , либо иным другим сертифицированным ФСБ шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
После дистрибутив можно записать на диск и учесть его, как эталонный экземпляр.
А если имеется в виду, что пользователь сам взял, скачал и установил, то это, конечно, должно расцениваться, как инцидент ИБ. Но обычно в комплекте с СКЗИ всегда идет дистрибутив.
Действительно, журналом учета СКЗИ все не ограничивается. Есть еще типовая форма технического (аппаратного) журнала, в котором как раз ведется учет АРМ с СКЗИ. В нем отмечаются все действия, проводимые с СКЗИ (например, обновление). Там тоже есть свои особенности, но как мы написали выше, все, что нужно делать с СКЗИ в одном посте не уместишь.
А вот журнала ключевых носителей в инструкциях ФАПСИ (ФСБ) нет, поэтому каждая организация может вести его по своему усмотрению.
При этом согласно указу президента от 11 марта 2003 года № 308 все обязанности ФАПСИ были распределены между несколькими службами, включая ФСБ. Поэтому лицензия ФСБ фактически заменяет лицензию ФАПСИ.
Столбцов порядка 20, общий размер строки в пределах 1КБ
Железо, 4 ядра, 32ГБ RAM, 500ГБ HDD
Клик заточен для хранения и обработки большого числа мелких строк, поля с большим объемом тут хранить не рекомендуется.
В Клике вставка в общем случае неатомарная, и как раз может получиться такая ситуация, если нужна гарантия, то либо нужно в прикладе перепроверять и перевставлять,
либо искать другое решение.
https://en.wikipedia.org/wiki/ClickHouse
• SQL support. ClickHouse supports an extended SQL-like language that includes arrays and nested data structures, approximate and URI functions, and the availability to connect an external key-value store.
Когда мы начинали использовать ClickHouse, в нем не было даже нормальной поддержки операции объединения таблиц, можно было объединять только две таблицы или два подзапроса.
Также это была более простая и надёжная реализация именно с точки зрения интеграции сервисов между собой.
1. Видимо, мы неточно отразили мысль в статье (уточнили в тексте). Опыт работы с SAP уже имелся, но не столь масштабный, как требовалось в данном случае. Поэтому этот проект дал нам много новых знаний.
2. У заказчика был и есть отдел безопасности SAP, они использовали свои методы проведения аналитики и выявления потенциальных проблем, но также стали одним из основных инициаторов внедрения нашей системы.