Сегодня SIEM – это главный помощник при анализе событий ИБ: трудно представить, сколько бы потребовалось времени, чтобы вручную просматривать логи с множества источников. При этом прекращение сбора данных с источника – достаточно распространенная проблема SIEM. И далеко не всегда можно решить ее встроенными средствами – а ведь потеря событий в неподходящий момент может быть равнозначна катастрофе. Чтобы ценная информация не пропадала, мы реализовали внешнее решение для контроля работы MaxPatrol SIEM: разработали шаблон для системы мониторинга Zabbix и скрипт на питоне, которым готовы с вами поделиться. Подробности и ссылка на GitHub под катом.

Термин Red Teaming слышали все, кто связан с информационной безопасностью напрямую или косвенно. Но не все до конца понимают, что это такое: зачем нужна оценка эффективности команды реагирования на инциденты? Что это за форма обучения команды защитников? Часто Red Teaming выдают за комплексное тестирование на проникновение: предоставляют классическое, хоть и расширенное тестирование на проникновение по цене в несколько раз выше. Некоторые крупные компании ищут своих собственных специалистов по Red Teaming и, скорей всего, тоже не до конца понимают, какие задачи будут решать с их помощью. Что же такое Red Teaming как услуга и что Red Teaming'ом не является? Об этом ниже.

Никогда еще интернет-шопинг не был так актуален, как сейчас – когда торговые центры закрыты из-за коронавируса, а на улицу советуют не выходить без крайней необходимости. Новой реальности обрадовались не только онлайн-продавцы, но и мошенники – у них нынче «сенокос». К чему я это? Хотел купить смарт-часы – и ненароком раскрыл несколько мошеннических схем. Один умник даже фидбек запросил уже после разоблачения. Но обо всем по порядку.

Мир IT разнообразен донельзя. Кто каких только технологий и решений не создает, что только не разрабатывает! Компании творят продукты каждая по-своему, но многие процессы схожи, а потому могут оказаться полезным опытом для заимствования. Вот мы и подумали: а почему бы не рассказать вам о том, как мы создаем наш флагманский продукт Solar Dozor? Команда у нас очень опытная и энергичная. Каждый день нам приходится решать нетривиальные задачи, искать киллер фичи и увязывать пожелания заказчиков с собственным роудмапом. Вдруг наш опыт кому-то пригодится?

В общем, решили – запускаем серию статей о том, как, где и при каких обстоятельствах рождается наша DLP-система. Все откровенно, по-честному, с фото и, может, даже видеопруфами. А сегодня вы узнаете, с чего начинается создание нашего продукта. Знакомьтесь – discovery-лаборатория Dozor Research Lab.

Все, что нас не убивает, делает нас сильнее.
Фридрих Ницше

Эту статью я начал писать незадолго до новогодних праздников, но потом закрутился, и в итоге получились только несколько первых абзацев (оставлю их здесь как чудесное напоминание о том периоде). Дописываю текст уже в конце второго месяца самоизоляции в квартире с двумя детьми. Вот только статья получается теперь не только (и не столько) о работе в мире информационной безопасности, сколько о работе в современных карантинных условиях. Постараюсь описать, как как мы выживаем переживаем этот период, через призму субъективного восприятия реальности и моей, не совсем распространенной для ИБ специальности – психолога.

Старый, добрый DDoS… Мы каждый год анализируем, как меняется этот сегмент киберпреступности, и по итогам прошлого и начала этого года видим, что количество таких атак выросло более чем в 1,5 раза. За это время злоумышленники значительно нарастили мощность атак и сменили тактику. А кроме того, DDoS стал еще доступнее: судя по тому, как резко в последнее время увеличилось число атак на образовательные ресурсы и различные «электронные дневники», мир DDoS все активнее открывают для себя «хакеры» школьного возраста. В этом посте мы расскажем о DDoS-атаках, которые мы фиксировали в 2019-м и в начале 2020 года, и о том, как изменился DDoS за последнее время.

Удаленка – вынужденный тренд этой весны. К концу марта, когда началась всеобщая самоизоляция, в наших региональных центрах мониторинга и реагирования на кибератаки Solar JSOC уже полным ходом шли традиционные стажировки. Мы были уверены, что готовы ко всему, но…



— Он слишком сильно жмет, это не по плану.
— Планы меняются.
Кэррол Шелби, фильм «Ford против Ferrari»

При чем здесь Шелби, спросите вы? Знаменитый автогонщик и конструктор Кэррол Шелби всегда готов был пойти на авантюру и мог придумать нетривиальное решение в непростой ситуации. У нас гораздо больше общего, чем кажется. Из-за ситуации вокруг COVID-19 планы действительно поменялись. Нам предстояло проделать колоссальную работу по перестройке инфраструктуры, чтобы не только обеспечить удаленный доступ для сотрудников, но и не растерять потенциально интересных стажеров в условиях обучения в стиле HomeOffice. Как мы с этим справились, и что думают о работе из дома сами стажеры, читайте ниже.

Продолжаем серию занятий по разбору CTF-задач для тех, кто начинает карьеру в ИТ и ИБ.
Ближайший вебинар стартует в четверг 23 апреля в 18:00 и будет посвящен поиску вредоносного ПО в IoT. Будем разбирать протокол общения вредоносного ПО с C&C-серверами на примере ботнет-агента для OpenWRT на архитектуре MIPS, искать способы детектирования и перехвата управления. Все детали и ссылка на регистрацию — под катом.

С каждым годом культура разработки растет, появляются новые инструменты для обеспечения качества кода и новые идеи, как эти инструменты использовать. Мы уже писали про устройство статического анализа, про то, на какие аспекты анализаторов нужно обращать внимание, и, наконец, про то, как с организационной точки зрения можно построить процесс на основе статического анализа.

Отталкиваясь от вопросов, с которыми мы часто сталкиваемся, мы описали весь процесс внедрения сканера кода в процесс безопасной разработки. Сегодня речь пойдет о том, как выбрать подходящий вам анализатор.

Мы активно поддерживаем CTF-движение – наши ребята из подразделений форензики, пентеста, защиты АСУ ТП и Security Awareness помогают в разработке заданий и оценке работ участников CTF.Moscow, VolgaCTF, FarEastCTF, BlackMirror и других подобных мероприятий. И, конечно, каждый год мы проводим олимпиаду «Кибервызов» – тоже в формате CTF.

Сейчас мы переносим в онлайн те задачи, которые готовили для очных программ прошлых сезонов, — теперь они будут доступны всем. Присоединяйтесь, подробности под катом!

Сегодня наш центр мониторинга и реагирования на кибератаки Solar JSOC отмечает День рождения. Нам исполняется 8 лет! В далеком 2012-м, когда мы были совсем маленькими (команда Solar JSOC насчитывала 6-7 человек в Нижнем Новгороде и столько же в Москве), на рынке ИБ никто толком не знал, что такое SOC и зачем он нужен. «Старожилы» вспоминают, что работали по наитию, должностные инструкции придумывали на ходу, постепенно создавая из группы энтузиастов профессиональный центр мониторинга.



За эти годы мы выросли, технологии трансформировались, но осталось неизменным наше понимание, что SOC – это, прежде всего, люди. Сейчас Solar JSOC – это совокупно порядка 200 человек в Москве, Самаре, Хабаровске, Ростове-на-Дону и Нижнем Новгороде, где расположен наш крупнейший региональный филиал. Мы поговорили с ребятами, которые стояли у истоков создания центра мониторинга в Нижнем Новгороде, а также с коллегами из других филиалов, о том, как они попали в компанию и почему в свое время выбрали именно эту, тогда еще никому не известную специальность.

За последние пару недель разве что ленивый не посоветовал окружающим, как правильно и без потерь перейти на удалёнку. Мы не будем вам ничего советовать. А просто расскажем, как мы наладили удаленную разработку нашего ключевого продукта и к 3-му апреля уже завершили первый, полностью удаленный, двухнедельный спринт команд разработки Dozor Core (центрального модуля системы).



Кому интересно, изучайте наш опыт, включайтесь в обсуждение, делитесь своим в комментах. Ну что, поехали!

На фоне всеобщего карантина и перехода на удаленку некоторые коллеги по цеху начали усиленно набрасывать нагнетать – мол, вокруг уже куча хакнутых компаний. Я же хочу поговорить о том, что можно сделать в короткие сроки, чтобы взломать вас было куда сложнее.

Каждый год мы фиксируем рост количества киберинцидентов: хакеры придумывают новые инструменты или модифицируют уже имеющиеся. Каким был 2019? На первый взгляд, без неожиданностей: объем инцидентов вырос на целых 30% и составил более 1,1 млн случаев. Но если копнуть глубже, то становится очевидно: в погоне за «легкими» деньгами злоумышленники сместили фокус на новые мишени. Вообще внешних атак стало больше – их доля выросла до 58% (годом ранее была 54%). При этом доля сложных атак увеличилась в разы: 55% событий были выявлены с помощью сложных интеллектуальных средств защиты (в 2018 таких инцидентов было 28%). Базовые средства защиты в подобных ситуациях бессильны. Ниже мы расскажем, с какими опасностями компании столкнулись в минувшем году и чего ждать в ближайшем будущем.

Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета. Одна из главных причин – применение незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По нашим данным, всего за одну неделю только в России количество устройств, доступных из интернета по протоколу RDP, выросло на 15%.

Эпидемия коронавируса заставляет компании и органы госвласти массово поступаться своими принципами безопасности, выходить из защищенных периметров и переводить пользователей на удаленный режим работы. Уже много статей написано на тему того, как сделать доступ защищенным и где взять бесплатные лицензии. Мы, как центр мониторинга и реагирования на кибератаки, попробуем описать риски и временные трудности в защите периметра, возникающие в связи с новым мировым порядком. О том, что и как надо мониторить при переводе сотрудников на удаленную работу, читайте под катом.

В этой статье будут рассмотрены четыре декомпилятора — Fernflower, CFR, Procyon и jadx — и произведено их сравнение по нескольким параметрам.

Дисклеймер: сравнение неформальное и не претендует на научность. Скорее, это просто обзор всех актуальных (на осень 2019) декомпиляторов Java-байткода.

Автор — Анна Явейн (brontozyablik), разработчица Solar appScreener

В мире информационной безопасности часто задаются вопросом об исследовании открытых источников на получение личной информации — будь то защищающая сторона (например, для контроля периметра, выявления открытых уязвимостей) или пентестеры (поиск точки входа, аудит периметра и т. д.). Рассмотрим один из таких источников — hunter.io, — работу с которым мы оптимизировали, написав под него новую библиотеку. Подробности и ссылка на GitHub под катом.

Я с 2014 года работаю над безопасностью мобильных и веб-приложений. Много раз слышал от разных людей и в разном контексте про «трейдофф usability vs security», при этом с самого начала видел в этом какой-то подвох. В этом посте я поделюсь своим мнением, почему, на мой взгляд, это не трейдофф, и на самом деле от него давно стоит отказаться.

Давным-давно, в далёкой-далёкой Солнечной галактике, ещё до того, как она стала частью вселенной Ростелеком, в небольшом продукте webProxy возникла потребность не только фильтровать сетевой трафик, но и строить по нему статистику с последующим ее хранением. На тот момент колоночные БД ещё не были так популярны, как сейчас. Единственным подходящим аналогом оказалась платная БД HP Vertica. Как в Солнечной галактике решили эту задачу и к чему в итоге пришли, расскажем под катом.