Мы как-то писали про SSRF-атаку, которая входит в список наиболее распространенных уязвимостей OWASP Top 10. Однако мир уязвимостей намного разнообразнее и, конечно же, не ограничивается этим списком. Сегодня мы хотим рассказать про уязвимости, связанные с бизнес-логикой. Что в них необычного? Это как доказать, что 2+2=5. Последовательность действий кажется правильной, все операции разрешенными, а результат совсем не тот, который закладывался при разработке. Но мы же знаем, что в доказательстве есть ошибки! Рассмотрим, как подобные задачки решаются при анализе защищенности и какие неожиданные результаты можно получить, используя обычную функциональность приложений.
«До свидааания, черт с тобой!»: как мы спасали наши сервисы ИБ после ухода зарубежных вендоров
Для многих российских компаний уход иностранных вендоров ПО и железа стал, мягко говоря, ударом под дых. Сервис-провайдерам пришлось вдвойне тяжело: им надо было обеспечить кислородной маской необходимым софтом не только себя, но и своих заказчиков. Немалая часть наших сервисов ИБ базировалась на западных решениях. Что-то стало работать с урезанным набором функций, а что-то из-за отзыва лицензий просто превратилось в кирпич. На долгие поиски альтернативы времени не было, часть компаний уже находилась под атаками. С чем мы столкнулись, когда зарубежные вендоры стали отзывать лицензии и сворачивать техподдержку, как искали им замену и что делали, когда остались без оркестратора – расскажем в этом посте.
Чего хотят клиенты: SOC по-быстрому, собственные плейбуки и мониторинг без SIEM
Мы продолжаем серию постов "Чего хотят клиенты". В них мы собрали самые популярные запросы, с которыми к нам, как к сервис-провайдеру ИБ, приходят различные компании, желающие подключить свою инфраструктуру к Security Operation Center (SOC). С какой бы стороны баррикад вы ни стояли (строитель SOC или заказчик), надеемся, наш опыт будет вам полезен. В этом посте речь пойдет про тех, кто не понаслышке знает, что такое SIEM, возможно работали в SOC и основная их цель – защита от киберугроз. Но они не так погружены в вопрос, что в итоге приводит к своеобразной постановке задач.
Расширение списка ACE для BloodHound
BloodHound – это популярный инструмент для сбора и анализа данных при проведении пентеста внутренней инфраструктуры на базе Active Directory. Этот инструмент позволяет визуализировать некорректные настройки объектов AD и строить цепочки атак. Основная его особенность — использование теории графов при анализе данных.
Дальше будет много технической информации, поэтому предполагается, что читатель понимает, что такое ACL, DACL, ACE и т.д., а также имеет базовое понимание языка запросов Cypher.
Compliance-дайджест: что изменилось в ИБ‑законодательстве в июле
В новом дайджесте вас ждёт краткая выжимка основных изменений законодательства в области кибербезопасности за минувший июль. Главная тема выпуска — новации в части защиты персональных данных, появившиеся с принятием Федерального закона № 266. Также расскажу о развитии нормативно-правовой базы в рамках Указа Президента РФ № 250, новых законопроектах, направленных на защиту критической информационной инфраструктуры, инициативе ФСТЭК России сократить сроки проведения отдельных процедур по сертификации средств защиты и других новостях из мира ИБ-комплаенса.
Чего хотят клиенты: обновить старый SOC или построить новый, и почему к мониторингу не стоит подключать всё и сразу
Мы начинаем серию постов "Чего хотят клиенты". В них мы собрали самые популярные запросы, с которыми к нам, как к сервис-провайдеру ИБ, приходят различные компании, желающие подключить свою инфраструктуру к Security Operations Center (SOC). С какой бы стороны баррикад вы ни стояли (строитель SOC или заказчик), надеемся, наш опыт будет вам полезен. В этом посте мы расскажем о запросах заказчиков, которые действительно хорошо разбираются в IT и точно понимают, чего они хотят от SOC.
Космический офис: летим спасать вселенную от киберугроз
В последние два года почти весь мир оказался на удаленке. И все-таки офисы не ушли в прошлое. Когда заболеваемость коронавирусом окончательно стала спадать, изголодавшиеся по живому общению сотрудники потянулись обратно. Но после многих месяцев работы в уютной домашней атмосфере требования к офисным пространствам изменились. Теперь современное рабочее место – это не про стол, кресло и ноутбук в шумном и безликом опенспейсе. Новый офис – это место, куда хочется приходить каждый день, чтобы продуктивно работать, активно взаимодействовать с коллегами и чувствовать себя пусть и не как дома, но уж точно комфортно. Поэтому офисы многих компаний сегодня становятся более демократичными: оригинальный дизайн, нестандартные планировки, больше света, больше воздуха, больше пространства. Именно таким стал после грандиозного ремонта наш московский офис на Вятской улице. Когда-то ничем не примечательный (кроме сотрудников😊) типичный офис превратился в высокотехнологичный центр разработки и интеграции. Обстановка теперь намного больше соответствует тому, что здесь делают. Ведь в офисе на Вятке, как мы его называем, работают те, кто создает и внедряет передовые продукты и сервисы кибербезопасности.
Compliance-дайджест: что изменилось в ИБ‑законодательстве в июне
На связи Катя, консультант по информационной безопасности «Solar Интеграция». В новом посте рассказываю об основных изменениях из мира ИБ-комплаенса за июнь. Вы узнаете о новых штрафах, которые предлагается ввести за нарушения в области биометрических персональных данных, об информационных сообщениях ФСТЭК России, о нормативных правовых актах, принятых в развитие майского Указа Президента России, а также об отраслевых новшествах. Все новости по традиции разбиты на тематические блоки.
Новости из будущего: прогнозируем поведение пользователя
Привет, Хабр! Сегодня речь пойдет о предсказывании будущего, поведении людей, математике и котиках.
В повседневной жизни, общаясь с людьми, мы всегда смотрим на поведение собеседника. Поведение человека может много о нем сказать: о его воспитании, привычках, увлечениях, принципах и о личности в целом. Для нас, как для социальных существ, это очень важная информация, так как мы делаем выводы о человеке: можно ли ему доверять, на что обратить внимание, стоит ли с ним вообще иметь дело. Для нас, как для работников сферы информационной безопасности, это очень важная информация, так как мы можем делать выводы: можно ли ему доверять, на что обратить внимание, стоит ли с ним вообще иметь дело.
Железный человек и региональный сервис-менеджер – ищем сходства
Кадр из к/ф «Железный человек»
Наш центр противодействия кибератакам Solar JSOC имеет сложную, выработанную годами и собственным опытом структуру. Её описанию было посвящено уже несколько статей. Вспомнили практически всех (инженеров, аналитиков, сервис-менеджеров), но как-то обошли стороной важную деталь — географию. JSOC располагается не только в Москве, но и в нескольких регионах России. Аналитики обитают и там, и там. А например, инженеры первой или второй линии трудятся только в региональных офисах.
Но такие звери, как сервис-менеджеры, должно быть, водятся исключительно в Москве — наверное, думаете вы: так оно и к головным офисам заказчика поближе, и в любую точку страны доехать проще. Ничего подобного! JSOC устроен таким образом, что и сервис-менеджеры здесь могут находиться в регионах. Кто же такие региональные сервис-менеджеры?
Сервисная защита от сетевых угроз – исподвыподверта и не только
Управляемые сервисы кибербезопасности – штука по определению автоматизированная и стандартизированная. Однако всегда найдется заказчик, которому сервис нужен «точно такой же, только меньше, но другой». И тогда появляются нетиповые решения и новые стандарты. В этом посте мы расскажем, как решали такие задачи при подключении сервиса защиты от сетевых угроз Unified Threat Management (UTM).
Compliance-дайджест: что изменилось в ИБ‑законодательстве в мае
На связи Катя, консультант «Solar Интеграция» по информационной безопасности. В свежем дайджесте я собрала ключевые новости из мира комплаенса ИБ за минувший май. Вы узнаете об основных моментах главного нормативного правового акта, появившегося в отрасли в прошедшем месяце: Указе Президента России о дополнительных мерах по обеспечению информационной безопасности в стране. Также я расскажу о новшествах в области защиты персональных и биометрических персональных данных, поделюсь отраслевыми изменениями и другими новостями законодательства в области кибербезопасности. Для вашего удобства все новости по традиции разбиты на тематические блоки.
Полный compliance: на что обратить внимание при предоставлении СКЗИ по сервисной модели
Соблюдение нормативных требований в области криптографии – вечная тема. Давно не менявшаяся нормативная база и возможность различной интерпретации формулировок порождают только споры и сомнения. С появлением сервисной модели в ИБ вопросов стало еще больше. Можно ли в принципе передать часть обязанностей по обслуживанию средств криптографической защиты информации (СКЗИ) сервис-провайдеру? Как это правильно оформить и чем потом подтвердить комплаенс? Попробуем разобраться в этом посте.
Все, что описано ниже, затрагивает только защиту конфиденциальной информации. Защита государственной тайны отдельная тема и в статье не рассматривается.
Jli.dll по-новому: как хакеры использовали известную DLL в фишинге якобы от имени Минцифры
В конце мая стало известно о том, что хакеры пытались организовать вредоносную рассылку якобы от Минцифры. Архив из этой рассылки получили для анализа специалисты Solar JSOC CERT. В нем мы обнаружили jli.dll. Эту DLL часто используют злоумышленники для размещения вредоносного кода, так как с помощью техники DLL Side Loading её подгружает довольно большое число легитимных файлов. Но в данном кейсе DLL использовалась по-другому – в рамках одного стандартного приложения Java. А как именно – расскажем в этом посте.
Compliance-дайджест: что изменилось в ИБ‑законодательстве в апреле
В сегодняшнем дайджесте — подборка новостей из мира комплаенса ИБ за апрель. Все новости в этом выпуске разбиты на тематические блоки: персональные и биометрические персональные данные, безопасность объектов КИИ, информационные сообщения ФСТЭК России, а также отраслевые изменения. Вы узнаете о ключевых поправках, которые предлагается внести в Федеральный закон «О персональных данных», об изменениях регуляторных требований в области защиты объектов критической информационной инфраструктуры и о других новшествах минувшего месяца.
Обзор nest.js: как эффективно его использовать
Добрый день. В нашей компании мы очень трепетно относимся к архитектуре наших решений и удобству ее использования. Мы стараемся убирать узкие места для получения лучшей производительности, а также для сокращения времени разработки новых фич. Одним из таких способов мы решили поделиться с вами. Сегодня поговорим о фронт-оптимизации, об express, nest.js и о том, как этим правильно пользоваться.
Автоматизация скучной жизни инженера по кибербезопасности: как тратить меньше времени на рутинные задачи
Мой первый профессиональный опыт как специалиста по кибербезопасности состоял в разработке огромного количества документации: отчёты по аудиту, модели угроз, технорабочие проекты на систему защиты, комплекты ОРД и так далее. Тогда на эти задачи у меня уходила уйма времени, но одна из них, как мне казалось, длилась целую вечность. При оформлении работ технического проекта по ГОСТ требовалось делать двойную нумерацию в разделах и сквозную нумерацию страниц всего проекта. После печати документа приходилось шариковой ручкой нумеровать все страницы проекта, а их количество порой превышало несколько сотен.
Именно решение этой проблемы при помощи скрипта в OpenOffice и открыло для меня мир автоматизации работы с текстом. Затем был MS Office, VBA-скрипты и годы практики. Задачи стали решаться быстрее, и я смог больше времени посвящать учебе. Это превратило некогда скучную рутину в творчество. Этим опытом я и хочу поделиться в серии статей об автоматизации различных бумажных задач кибербеза. В этой статье расскажу о базовых идеях автоматизации в Word и Excel на примере классификации и чуть-чуть на примере модели угроз. Советы будут полезны начинающим проектировщикам, аудиторам и аналитикам. Надеюсь, с этими инструментами у вас, как и у меня когда-то, появится время увидеть лес (безопасность) за деревьями (бумагой).
Compliance-дайджест: что изменилось в ИБ-законодательстве в марте
На связи Катя, консультант «Solar Интеграция», с ежемесячной подборкой новостей из мира комплаенса ИБ. В этом посте вы узнаете об основных изменениях законодательства в области кибербезопасности за март. Все новости разбиты на тематические блоки: изменения в области защиты информации, безопасность объектов КИИ, рекомендации регуляторов и отраслевые изменения.
Обход антивирусов в теории и на практике: краткий обзор способов и тестирование обфускаторов
Прошлой осенью я протестировала программное обеспечение для обхода антивирусов, которое применялось на различных тренировках у нас на киберполигоне. Для исследования я выбрала несколько инструментов обфускации и проверила, смогут ли общедоступные средства антивирусной защиты — Microsoft Defender, Kaspersky Total Security и VirusTotal — обнаружить вредоносную нагрузку в файлах после их обработки обфускаторами.
Исследование проводилось исключительно в образовательных целях для организации киберучений: на Национальном киберполигоне мы помогаем будущим специалистам по кибербезопасности и тем, кто уже работает в отрасли, без риска реального ущерба оттачивать на практике навыки defensive security. Участники учений тренируются на эмулированной инфраструктуре предприятий различных отраслей выявлять цепочки атак, сценарии которых повторяют действия реальных злоумышленников, в том числе и обход антивирусов.
Сегодня я поделюсь результатами моего исследования и заодно кратко опишу другие методы обхода антивирусов. Cтатья может быть полезной пентестерам и другим специалистам по кибербезопасности, желающим убедиться в работоспособности доступных методов обхода антивирусов, которые можно найти в открытых источниках.
Без патча и протокола: какие уязвимости чаще всего встречаются в корпоративной инфраструктуре
Последнее время ни дня не проходит без новостей о новых найденных уязвимостях в том или ином ПО. И если раньше с момента их публикации до эксплуатации проходило 1,5 – 2 года, сегодня – уже пара часов. Мы регулярно проводим сканирование инфраструктуры для разных компаний, и не понаслышке знаем, какое количество стандартных и экзотических уязвимостей можно встретить. Львиная доля ошибок связана со скупым или вовсе отсутствующим патч-менеджмент, кривым шифрованием и устаревшими сертификатами безопасности. Но не только с этим. Результаты проведенных нами работ вы найдете в этом посте. Ну, а мы, как и раньше, призываем выявлять и устранять - сегодня это актуально как никогда.