Comments 24
Хорошая статья.
Название только не очень. А статья — очень.
Название только не очень. А статья — очень.
я надеялся до такой слежки за юзерами/гражданами ещё далеко. А оно вот уже тут.
Речь про защиту корпоративной ИТ-инфраструктуры, Большой брат ни при чём. Я постарался раскрыть направление защиты от самого опасного мошенника – инсайдера.
разница пренебрежимо мала
А разве Большой Брат — тот же АНБ например, не более опасных пытается отлавливать? Но политиканы не дают нормально работать. В других странах на благо общества работается проще ;)
Если серьезно, пром шпионаж на западе кажется неактуальным. И экономически невыгодным, и морально недопустимым для подавляющего большинства. Не думаю, что за ваш секрет заплатят — скорее всего вас сдадут в полицию и вы отсидите немалый срок. Это лишь мое наивное имхо с позиции работы в большой аэрокосмической компании, и далеко не над ф35. Может, есть смысл отлавливать какие-то процессы-черви которые грепят терробайты файлопомойки. ( надо бы себе такого найти, что бы в своих авгеевых конюшнях «гуглить». Извините, напопаболело ). Ключевая инфа, скажем миссия самолета — совсем небольшой файл. Вряд-ли его отправка среди мегабайтов обычной шелухи снимет хотя-бы один балл в вашей системе. Имхо, надо самим быть себе шпионами и грепить всё, что из компании выходит. Такой вот вам ценный совет от «эксперта», который больше grep, похоже ничего и не знает )
А вообще, хотите и себе, например, построить самолет — просто наймите специалистов. И чем раньше -тем больше денег себе сэкономите. www.flightglobal.com/news/articles/mitsubishi-banks-on-foreign-experts-for-mrj-develo-436609
Если серьезно, пром шпионаж на западе кажется неактуальным. И экономически невыгодным, и морально недопустимым для подавляющего большинства. Не думаю, что за ваш секрет заплатят — скорее всего вас сдадут в полицию и вы отсидите немалый срок. Это лишь мое наивное имхо с позиции работы в большой аэрокосмической компании, и далеко не над ф35. Может, есть смысл отлавливать какие-то процессы-черви которые грепят терробайты файлопомойки. ( надо бы себе такого найти, что бы в своих авгеевых конюшнях «гуглить». Извините, напопаболело ). Ключевая инфа, скажем миссия самолета — совсем небольшой файл. Вряд-ли его отправка среди мегабайтов обычной шелухи снимет хотя-бы один балл в вашей системе. Имхо, надо самим быть себе шпионами и грепить всё, что из компании выходит. Такой вот вам ценный совет от «эксперта», который больше grep, похоже ничего и не знает )
А вообще, хотите и себе, например, построить самолет — просто наймите специалистов. И чем раньше -тем больше денег себе сэкономите. www.flightglobal.com/news/articles/mitsubishi-banks-on-foreign-experts-for-mrj-develo-436609
Реклама — она всегда тут, с вами.
Тут всё же следят за действиями сотрудников на рабочих местах.
А вот за гражданами в широком смысле подобными системами следят банки и платёжные системы, типа Мастер-карда.
А вот за гражданами в широком смысле подобными системами следят банки и платёжные системы, типа Мастер-карда.
Да, ждем «за последние две недели выборка из времени вашего посещения туалета стала на 30% времени больше, чем ваша же обычная медиана этого времени за последний год, и на 50% времени больше, чем часть наших пользователей, которые, при мнению алгоритма, особенно полезны для компании в горизонте трех лет. Машина решила, что вы начинаете чем-то заболевать, и рекомендовала вас уволить под предлогом, исключающим ваше обращение в суд. Выбирайте — сексуальное домогательство уборщицы, или отказ от участия в гей-параде?».
Любопытно, как у этих новых систем обстоит ситуация с ложнопозитивными алертами? Насколько они снижают нагрузку на отдел ИБ? Испытывали в нашей среде OSSIM в свое время и пришли к выводу, что как вы и пишете — система требует непрерывной донастройки в режиме 24/7, в противном случае риск либо все равно не заметить взлом, либо закопаться в ручной проверке сотен поступающих алертов.
Действительно, проблема ложноположительных срабатываний, а также большое кол-во минорных инцидентов — это «бич» классических систем ИБ. К примеру, IPS, стоящая перед веб-сервером, за сутки даёт десятки тысяч срабатываний от сотен одинаковых автоматических сканеров, которые непрерывно шерстят Интернет в поиске незащищенных систем. Новые системы, в том числе UBA, используют несколько техник, которые позволяют сфокусироваться только на важных событиях. Во-первых, это динамическое профилирование минорных событий — правильно настроенный UBA вообще не будет уведомлять админа об «обычных» срабатываниях IPS, DLP и других систем, а сгенерирует инцидент только по новым векторам атак и нестандартным алертам. Во-вторых — привязка всех событий и потенциальных инцидентов к модели Kill Chain, позволяющей повысить приоритет минорного события при срабатывании эвристики.
А как поймали со стеганографией? Только засчет подозрительной активности на фейсбуке которой не было раньше?
Данную активность выявили за счет модуля Beaconing от Securonix. Он анализирует IP-адреса, DNS-запросы и объемы передаваемого трафика. Если модуль обнаруживает, что пользователь регулярно (например, каждые 5 минут) обращается к одному и тому же ресурсу, данная сессия помечается как подозрительная. Если есть и другие подозрительные действия, связанные с данным пользователем, система их связывает и генерирует инцидент. Чтобы снизить число ложных срабатываний, используются алгоритмы кластеризации: большая часть сессий будет связана с процессами обновления ОС\ПО, и только малая часть будет «выбиваться» из общей статистики и передаваться на анализ админу системы.
пишутся все события
записанный полный лог тоже есть
600ТБ
Любопытно. Каков поток событий? Срок хранения "полного лога"?
ханитопы для отвлечения внимания хакера от продуктивных систем
ханипоты, наверно?
По теме статьи вспомнил 3 случая с моим банком.
1. Однажды купил в МТС пять симок с красивыми номерами для одного проекта. Расплачивался пластиковой картой. Минут через 5 позвонили из банка и поинтересовались, действительно ли я совершал покупку.
2. Поздно ночью в банкомате другого банка в чужом районе пытался снять нужную сумму частями, т.к. за одну транзакцию можно было не больше 7 тыр. получить. На 4й или 5й транзакции карту заблокировали. На следующий день разблокировали по моему звонку на горячую линию.
3. Однажды пришло смс, что карта, возможно, была скомпрометирована, в связи с чем ее заблокировали. Попробовал дозвониться в колл-центр, но автоответчик обозначил 2 с лишним часа ожидания. Как оказалось, я был тогда не одинок. Когда пришел в отделение менять карту, была большая очередь, несмотря на вечер. БОльшая часть пришедших, как и я, пришли менять заблокированные карты. Наверно, было подозрение на утечку базы.
Последние два случая, конечно, вызвали неудобство, но лично мне было приятно знать, что безопасность для этого банка — не пустой звук.
Спасибо за отзыв! Да, конечно ханипоты :) В рамках нашего облачного сервиса мы предлагаем решения класса Deception следующих вендоров: TrapX, Illusive Networks. По сравнению с обычными ханипотами, их практически невозможно отличить от реальной инфраструктуры, и они предоставляют расширенные логи о всех действиях хакера.
Читаю подобные статьи с удовольствием. Но каждый раз возникает 2 мысли в голове
1. Как это на работе facebook?.. Почему не зарезано? И вообще интернет далеко не всем нужен. И как-то многовато прав у пользователей. Может проще права отнять у пользователей и не придется штат ИБ держать и дорогие системы покупать?..
2. Большинство векторов атак платформозависимы и мы знаем какая нужна платформа, чтобы вечеринка хакеров и вирусов-шифровальщиков состоялась. Так может в крупной компании стоит проблему решить на корню? Т.е. минимум прав и система на которой шифровальщик просто не запустится без долгого и мучительного танца с бубном. Ведь тогда надо будет защищать уже не мильёнтыщ компьютеров, а десяток специфических и сервера. Т.е. нагрузка на отдел ИБ и на вспомогательные системы сократится в разы. Или я что-то упустил\не понял?..
1. Как это на работе facebook?.. Почему не зарезано? И вообще интернет далеко не всем нужен. И как-то многовато прав у пользователей. Может проще права отнять у пользователей и не придется штат ИБ держать и дорогие системы покупать?..
2. Большинство векторов атак платформозависимы и мы знаем какая нужна платформа, чтобы вечеринка хакеров и вирусов-шифровальщиков состоялась. Так может в крупной компании стоит проблему решить на корню? Т.е. минимум прав и система на которой шифровальщик просто не запустится без долгого и мучительного танца с бубном. Ведь тогда надо будет защищать уже не мильёнтыщ компьютеров, а десяток специфических и сервера. Т.е. нагрузка на отдел ИБ и на вспомогательные системы сократится в разы. Или я что-то упустил\не понял?..
Добрый день! Спасибо за комментарий. Действительно, одним из вариантов является внедрение жесткой политики Default Deny — запрет на доступ в Интернет, запрет на установку и запуск ПО, минимальные права на доступ ко всем информационным системам. К сожеланию, такой подход применим только в особых случаях, таких как банковские системы и сегменты АСУ ТП. Для большинства коммерческих организаций требуется более гибкий подход: HR нужен доступ к Facebook и vk.com, тендерному отделу нужно отправлять конфиденциальные данные в сеть Интернет, пользователям нужно обмениваться файлами по почте и через файловый сервер и др. Таким образом, возникает реальная потребность во внедрении систем защиты, которые не мешают нормальной работе организации, но оперативно обнаруживают и блокируют любые опасные действия потенциальных злоумышленников. А для защиты от вирусов-шифровальщиков есть несколько специализированных решений, в том числе Check Point Anti-Ransomware.
Ну так одно другому не мешает вроде. Как поймать шифровальщика на комп на котором его не запустить без плясок с бубном? При этом FB, и прочие сайты отлично открываются. Т.е. пользователи как жили так и живут, просто огромная куча зловредов отсекается еще на этапе подготовки рабочего места. Останется следить именно за активностью пользователя. Тогда получается ИБ-спецы обрабатывают условно не 50+50 инцидентов (внешние попытки что-то сломать\украсть+аномалии в поведении), а только лишь поведение пользователя т.к. можно быть уверенным, что зловредный код не запустится на клиентской машине. Опять-же цена рабочего места с проприетарной системой > цены раб.места с опенсорсом и цена атаки на на проприетарку < цены атаки на опенсорс (правильно настроенный). Разве не так?
К сожалению, переход на опенсорсные продукты, так же как и специфичные настройки окружения, не дающие запуститься шифровальщику «одним кликом», не позволяет решить все проблемы. На прошлой неделе я участвовал в расследовании инцидента, когда в результате целенаправленной атаки был заражен один-единственный сервер, но этого оказалось достаточно, чтобы остановить работу небольшой компании. При этом, несмотря на довольно жесткую политику безопасности, злоумышленники смогли перехватить контроль над вспомогательной учеткой принт-сервера, а затем, используя цепочку эксплоитов и mimikatz, получили права администратора домена. Поэтому без интеллектуальных систем защиты не обойтись :)
без интеллектуальных систем защиты не обойтись
Полюбому! Мир то меняется, объемы данных растут и все такое. Просто на моей памяти небыло ни одной организации в которой нельзя было бы рядовых сотрудников пересадить на опенсорс и тем самым снять кучу левой нагрузки на антивирус и админа. Однако продолжали юзять проприетарное и объясняли так: «Мы привыкли! Нам удобно так и ничего менять не хотим». В одной конторе провели эксперимент и таки перешли. Резко сократилось время простоя сотрудников из-за неадекватного поведения рабочих станций, перестали попадать не туда пароли от админок сайтов (маленькая WEB-студия). Сократилось количество обращений к админу. В итоге заработали денег и плавно перешли на проприетарное но уже с модным фруктовым логотипом.
Просто лично мне не понятен подход куча вооруженной охраны у парадного входа, сбоку дверь на щеколде и рядом никого, сзади окно разбитое. ИМХО безопасность начинается с подготовки рабочего места и планирования бизнес-процесса пользователя которому даются только то, что ему положено по бизнес-процессу. Остальное (возможность запустить танки\шифровальщика\игрушку\кейлогер) — в топку.
Напоминает 37 год: вы, товарищ, слишком много с иностранными гостями общались, а те, как выяснилось, в подкладке пиджака везли важные бумаги, хотя и кричат, что им их подбросили. Поезжайте на Колыми подумать, как это связано. Лет на 10. И мы подумаем, не добавить ли еще 10".
Правда, тогда вроде не так рассуждали. «Подписывай признание, и говори, что тебе еще помогал!»
Правда, тогда вроде не так рассуждали. «Подписывай признание, и говори, что тебе еще помогал!»
Sign up to leave a comment.
33 двухюнитовых сервера на 13 ТБ оперативки и 0,6 ПТ распределённого хранилища — почему это минимум для проактивного UBA