• Поймай меня, если сможешь
    +1
    Непонятно недовольство программиста по поводу вопроса о времени на решение задачи. Какой метод он считает правильным в распределении времени на задачи?
  • Преимущества анализа приложений 7 уровня в межсетевых экранах. Часть 1. Основы
    0
    Риски утечки приватного ключа есть. С другой стороны, если взять классический https inspect, то mitm внешний злоумышленник сможет провести, уже преодолев защищаемый периметр. Тут как говорится Тушите свет.

    По части американских «партнёров», если их саппорт с руками сидит на периметровой защите, то тут и помимо банальной кражи сертификатов, можно много чего накрутить. Это уже вопрос доверия к вендору.
  • Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз
    0
    Банковская сфера как раз подпадает под 187ФЗ, так-что надо учитывать всю нормативку при создании МУ.
  • Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз
    0
    Кто будет пользователем этого документа? Если для собственных нужд то это одно, если для внешнего аудита, то нужны как минимум ссылки на БДУ ФСТЭК, модель нарушителя и другие сопутствующие нормативке по КИИ.
  • DEXP наглый китайский шпион
    +6
    Может быть. Однако неубиваемая порнуха в 3 часа ночи, с полностью выкрученной на максимум громкостью, явно была продуктом чей-то больной фантазии. Ну и наложились найденные подозрительные фотки и другие звуки, которые раньше проходили по разряду «послышалось».
    На вирустотале в отчетах видно, что часть приложений имели доступ к камере.
  • Дыра как инструмент безопасности – 2, или как ловить APT «на живца»
    0

    1.Какая средняя стоимость решения.


    1. Сейчас модно атаковать средства защиты. Тут у нас постоянно торчат порты куда-то. Что у данного средства реализованно по части самозащиты?
  • Cisco StealthWatch или классические средства защиты корпоративной сети (FW, IPS, ACL, NAC, AV, SIEM)?
    0

    "средство обеспечения ИБ в сети, которое основано сборе телеметрических данных с различных устройств" — вы сейчас siem и описали упомянутый в начале статьи .

  • Срыв масштабной хакерской атаки на пользователей Windows в России
    +1
    Интеграция в AD, глубокий парсинг трафика как собственными фильтрами, так и сторонними, ips, натирование и создание туннелей, гибкие правила доступа в инет, как для группы, так для отдельных учеток ad, кластеризации, полное логгирование всех изменений конфигурации админами.
    Tmg умел ещё Тогда, что многие сегодняшние utm только освоили.
  • Срыв масштабной хакерской атаки на пользователей Windows в России
    +4
    Странно что Майкрософт закрыла в своё время успешный продукт tmg (isa server) заявив что будет сосредоточено только на ОС. А средства защиты это удел других производителей.
    И тут внезапно бросилась хостовый антивирус развивать, придавливая попутно других разрабов.
  • SOC — это люди. Как собрать команду в условиях кадрового голода
    +1
    Спасибо за статью. Отличный цикл постов.
  • Честное сравнение камеры телефона и зеркального фотоаппарата
    +1
    Когда есть альбом из тысяч памятных фоток, то рядовой гражданин не будет с лупой лазить по каждой, а будет пересматривать фотки в целом, воспринимая центральный объект на фото целиком. Если объект узнаваем и красив, то все в порядке.
    Вот если центральный объект при взгляде выглядит сразу неудачно, то тут повод взять зеркалку.
    Например летом в солнечные погоды сразу бросаются в глаза выбитое небо, засветы лица на портретах из за низкого дин. диапазона камеры смарта. Из зеркалки все это легко вытягивается.
    Для пасмурной погоды и помещений особой разницы без лупы невидно.

  • Код проверяли буквально по строчкам: как наш межсетевой экран проходил сертификацию ФСТЭК
    0
    Они с винды на никс уже соскочили в ng версии.
  • И так сойдёт… или Дыра как средство защиты
    +1
    Человек из статьи утверждал что данные реальные, проверял по совпадению с реальными документами, так что врятли подсунули поддельные данные. Да можно было бы «разбавить» реальными данными, но в данном случае это было бы нарушение 152 фз, безопасник если не дурак на такое не пойдёт.

    2. Все эти замечательные примеры как интеграторы делали крутой мониторинг, который пишет все-все, натыкаются на человеческий фактор. Мало иметь мониторинг, надо чтобы этот мониторинг кто-то — регулярно- смотрел и главное понимал что он видит. Надо нанимать\воспитывать\учить таких людей и платить им хорошие деньги.
    В данном случае скорее всего некая фирма выполнила проект (сайт) и отгрузила его заказчику. А у заказчика есть только эникей Вася, который и швец и жнец и на дуде игрец.
  • Код проверяли буквально по строчкам: как наш межсетевой экран проходил сертификацию ФСТЭК
    0
    Это не МЭ в традиционном понимании, а диод данных — однонаправленный шлюз..На самом деле неплохая вещь. Непробиваемость на эксфильтрацию данных на уровне физики.
  • Код проверяли буквально по строчкам: как наш межсетевой экран проходил сертификацию ФСТЭК
    +1
    Ок. Теперь вопрос на злобу дня. (Характерный впрочем для всех серт. Сзи).
    Как будете на продукт обновы накатывать закрывающие критические дыры? От spetre и meltdown запатчились? Или теперь ещё год ждать пока лаборатория не проверит, а есть ли там НДВ в заплатках?
  • POS, безопасность и вот это вот все. Разбираем уязвимости популярной Retail-системы
    0
    Возможно первоначальный доступ был получен через некую точку сопряжения с интернет, а не локальным взломом через сеть. Не знаю как в компаниях США, а у нас требования передавать информацию о продажах через интернет онлайн в налоговую закрепили на законодательном уровне.
  • Информационная безопасность банковских безналичных платежей. Часть 2 — Типовая IT-инфраструктура банка
    0
    Если раньше надо было взломать АРМ КБР и незаметно подменить реквизиты в файле перед подписью, то теперь надо взламывать АБС, чтобы подменить там перед подписью.
    Больше напоминает перераспределение отвественности. АБС это точно вотчина банка, а АРМ КБР-Н, это просто транспорт который и ломать теперь смысла особого нет.
    Ну и взлом АБС требует болеет высокой квалификации хакера, особенно если все операции подписи будут производиться на лету внутренней логикой системы. Это не файлик на диске поправить.
  • «Взломайте нас, чтобы было красиво»
    0
    На мой взгляд сканирование на уязвимости можно рассматривать как часть аудита безопасности. Например, у нас есть описанный процесс обновлений или парольных политик. При аудите соблюдения процессов применяется и автоматизированное сканирование.

    Пентест, это имитация со стороны потенциального нарушителя. Причём в чистом виде, задача начинается с чёрного ящика. Вот название компании, проводите разведку и ломайте.
    Задача пентеста в том числе проверить реакцию и эффективность службы ИБ. Поэтому пентесты лучше заказывать вышестоящему ТОП-куратору ИБ, в тайне от основных ИТ и ИБ служб.
  • SOC for beginners. 3 мифа об автоматизации и искусственном интеллекте в Security Operations Center
    0
    Спасибо. Ждём статью.
  • SOC for beginners. 3 мифа об автоматизации и искусственном интеллекте в Security Operations Center
    +1
    Интересен ваш опыт по Incident Response с точки зрения людей.

    Насколько я помню по прошлым публикациям у вас есть 2 линии обработки инцидентов. Первая линия «массовка» обрабатывает «типовые» сценарии. Вторая «тру-антихакеров» подключается в сложных случаях.

    Как обучаете 1-ю линию? Проводите ли «Курс молодого бойца» по разбору инцидентов? Есть ли инструкции на каждый типовой инцидент (при бруте делай то, смотри туда)?

    А 2 линия «тру-антихакеры» у вас свободные художники которые разбирают APT стоящие вне типовых задач? Какие критерии подключения к делу (порог критичности инцидента) этих более опытных товарищей?
  • Масштабный сбой фискальных регистраторов парализовал торговлю в ряде магазинов РФ
    +2
    Первая мысль была про деструктивный специально заточенный вирус аля Петя (писал пост об этом), ан нет во всем виновата кривая прошивка.
  • Эксфильтрация в Metasploit: DNS туннель для Meterpreter
    0
    Можете привести пример запроса и резолва? За что зацепиться правилу детекта?
  • Эксфильтрация в Metasploit: DNS туннель для Meterpreter
    +1
    Популярными сигнатурами ids (et, talos) канал ловится?
  • Как мы помогаем быстро аттестоваться по требованиям ИБ тем, кто переезжает в облако
    0
    См. Выше.
    В рассылках фстэк ссылается на фз184. К сожалению рассылка не касалась прямо 21 приказа, а 31.
    Однако и 21 и 31 написанные одинаково по части слов " оценка соответствия"
  • Как мы помогаем быстро аттестоваться по требованиям ИБ тем, кто переезжает в облако
    0
    Если вы оказываете услугу, то у вас все должно быть и по документам идеально. За это клиент платит деньги. Странно видеть у Вас неуверенность и слово «теоретически пойдёт и так».

    Обратимся к фз152 ст.19.п.2.6
    «Безопасность ПДн обеспечивается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации»
    Все точка.

    Что подразумевал ФСТЭК вводя слово «в случае» я уже выше расписал. У фстэк нет полномочий переписывать федеральные законы а они этого и не делали.

    2. По поводу пресловутой оценки соответствия.

    184-ФЗ «О техническом регулировании» говорит нам о следующих оценках соотвествия — обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы)… О этом же упоминает фстэк в некоторых своих рассылках.

    Если честно, рассчитывал увидеть у Вас проработанный со фстэк, вариант «приемка и ввод в эксплуатацию» Это был бы прекрасный прецедент и пример для многих компаний с 3 УЗ. Увы не увидел.
  • Как мы помогаем быстро аттестоваться по требованиям ИБ тем, кто переезжает в облако
    0
    Вообще 378 приказ фсб ясно говорит, что если есть ПДн, то пожалуйста применяйте СКЗИ конкретного класса. КС1, КС2 и т.д
    Классы вы сами не можете назначать, это уполномоченного делать только ФСБ в форме обязательной сертификации. Крипта у нас жестко зарегулированна. Так что ваш сегмент «Защищенный» для ИСПДн не легитимен.
    Для Коммерции пожалуйста.
  • Как мы помогаем быстро аттестоваться по требованиям ИБ тем, кто переезжает в облако
    0
    **Во-первых, согласно ФЗ «О техническом регулировании» подтверждение соответствия может проводиться не только в форме сертификации**

    Вот и спрашиваю по какой форме у Вас сделано и оформленно.

    **Приказа ФСТЭК 21 указано… применение средств… в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных***

    Это вообще к вопросу не относится, это про модель угроз и СЗИ вообще. Актуальны атаки из Интернета, ставим МЭ, у нас автономка и угроза не актуальна, не ставим МЭ.
  • Как мы помогаем быстро аттестоваться по требованиям ИБ тем, кто переезжает в облако
    0
    п.4 Меры по обеспечению безопасности персональных данных реализуются в том числе
    посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.


    Как оформляете этот пункт для УЗ3 21 приказа, если не применяете сертифицированные СЗИ?
  • Кто в медицине ИСПДн в соответствие с законом приводил, тот в цирке не смеётся
    0
    Зачем Vipnet client на рабочих станциях? Какую меру защиты 21 приказа вы этим закрываете?
  • SOC for beginners. Глава 3. Использование внешних источников данных об угрозах для Security Operation Center
    0
    Да не вопрос. Сейчас тема о «размытии сетевого периметра», облаков и BYOD в большом почете. Надо только расписать руководству все риски таких подходов. Если руководство подписывается под этими рисками, то безопаснику только и остаётся работать в заданных условиях.

    Тут кстати интересный вопрос, что еще дешевле выйдет, закрыть прямой доступ в интернет (воздушный зазор) или доступ оставить и озаботиться услугами SOC аутсорсера.
  • Основы информационной безопасности. Часть 2. Информация и средства её защиты
    0
    Информацию часто сливает инсайдер. А инсайдеру выдан как правило доступ по служебным обязанностям. Он же из своих обязанностей знает где лежит правильная информация, иначе свои обязанности выполнить не сможет.

    Если нарушитель.внешний, то «зашумленность» действительно полезно использовать в комплексе остальных мер ЗИ. В самом простом варианте это классические ханипоты.
  • SOC for beginners. Глава 3. Использование внешних источников данных об угрозах для Security Operation Center
    0
    К сожалению, мы за все время работы таких компаний пока не встречали.

    Однако именно к таким политикам надо стремиться. Это один из эффективных методов защиты. Белые списки.

    Все остальное это чёрные списки уже отработанных атак, командные адреса малвари, базы сигнатур известных вирусов и т.д. Это может использоваться только как вспомогательные средства. Иначе получится как воду носить в сите, одну дырку заткнули, льется через другие.
  • Восстановление и модернизация колонок Вега 50АС-106
    0
    По классике колонкостроения, хорошим подходом является совмещение динамиков по вертикальной оси. Т.е вч нужно было утопить внутрь, прикрутив подложку изнутри.
  • Bad Rabbit: новая волна атак с использованием вируса-шифровальщика
    0

    https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/


    Mimikatz и брут паролей, способствовал расползанию по сеткам. Непонятно почему все говорят о направленных атаках. Тут шла не адресная рассылка, а ломали всех без разбору кто новостные сайты посещал.
    Взлом популярных сайтов это уже много раз было.

  • Ждать ли новых ботнетов из онлайн-касс?
    0
    Скорее логика — против воли заставили купить и принудительно играть в онлайн игру армию пользователей, которые никогда этого не делали да и в ИТ не разбираются, а оно при этом глючит и не играет.

    Если корректное внедрение это дорого, то нужна готовая защищенная железка, устойчивая в любых условиях работы. Поставил и забыл.
    Тогда нужны требования к производителям онлайн-касс, где будут изложены вопросы защищенности, например наличие встроенного межсетевого экрана, замкнутая программная среда и т.д.
    Есть ли такие требования?
  • Ждать ли новых ботнетов из онлайн-касс?
    +1
    Тогда должны быть требования для внедренцев на законодательном уровне, «порядок» подключения касс к Интернету, где рассмотрены вопросы в том числе безопасности. Например через приказы ФСТЭК или постановлениями Правительства.

    В итоге приходим к аккредитации, т.е не каждый вася по желанию может ставить кассы, а только специально обученный и с лицензией. А фирма, где работает вася, отвечает головой и деньгами за безопасность того, как внедрена касса.
  • «Государство в Облаках» и один пример ГИС из нашей практики
    0

    Как решалось требование 17 приказа по ЗТС и ЗНИ?
    Т.е организация контролируемой зоны, охрана оборудования и контроль выноса носителей информации.
    Понятно что заказчик не может по классике включить Вас в периметр своей КЗ. Вы другое юр.лицо.

  • Не все так просто с Petya
    0
    Все таки обычные вымогатели?

    Создатели пети попросили 100 биткоинов за ключ. Дешифровка возможна.

    http://www.securitylab.ru/news/487160.php
  • Не все так просто с Petya
    0
    Осталось заразить Петя3 сервера wsus Майкрософт и пол мира ляжет.
  • «Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру
    0
    Представим теперь что пробивают сервера wsus майкрософта и закидывают Петя3 на машины — Пандемия.