Как стать автором
Обновить
9
Карма
0
Рейтинг

Пользователь

  • Подписчики 4
  • Подписки 10

1.Check Point на максимум. Человеческий фактор в Информационной безопасности

Это действительно так, Вы не интегратор, но Вы тут как эксперт выступаете.
Хотя, судя по всем вашим ресурсам (соц.сети, LJ, сайт и т.д. и т.п), Вы больше эксперт по очевидным советам.
Признаю, Ваше мнение для нас бесценно.
Работа уже ведется, ждите новых статей, скоро и про HTTPS)

1.Check Point на максимум. Человеческий фактор в Информационной безопасности

http://vmartyanov.ru/
Владимир, это ваш сайт?

Как защищаться от атаки вируса-шифровальщика «WannaCry»

Извините за copy\past, но вот
1. WannaCryptor – Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants. All tested samples have been detected and blocked by SandBlast Anti-Ransomware and/or Threat Emulation
2. Hostile links within an email
3. Hostile attachments that contain a hostile link within a PDF
4. Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
5. Brute force login attacks against RDP servers which then plant ransomware

Так что вы, http2, почти все вектора и назвали.

Как защищаться от атаки вируса-шифровальщика «WannaCry»

Ну это форум. там могут разное написать. подождем официальных заявлений.

Как защищаться от атаки вируса-шифровальщика «WannaCry»

В относительной, конечно, но безопасности. На линукс, при должном желании, можно запустить вирус под WINE. Так же при наличие папок общего доступа на этом линукс сервере, данные на них могут быть зашифрованы с зараженной виндовой машины, при условии наличия доступа.

Как защищаться от атаки вируса-шифровальщика «WannaCry»

Если у вас static nat или настроен DMZ (часто в домашних роутерах, на пример, это FULL static NAT на конкретный ПК в сети), то ваш ПК и вся сеть в зоне риска.

Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Так что порты точно надо закрыть.
Главное вдумчиво подойдите, на заблокируйте полностью работу SMB между локальными сетями.

Как защищаться от атаки вируса-шифровальщика «WannaCry»

Вобщем-то это говорит о низком уровне корпоративной политики безопасности.

Скорее о полном раздолбайстве.))
Сигнатуры еще в марте были опубликованы…

Как защищаться от атаки вируса-шифровальщика «WannaCry»

1) Если вы оказались заражены вирусом (без разницы, кто использует Check Point или нет) – можно писать на emergency-response@checkpoint.com

2) Есть видео, показывающее определение WannaCry by SandBlast Agent
https://youtu.be/0jb8zd7H634

3) Если кто-то получил сомнительный имейл с какими-то вложениями – нужно отправить его вложением к письму на incident@checkpoint.com
или проверьте файл в песочнице
http://threatemulation.checkpoint.com/teb/upload.jsp

Настойчиво НЕ рекомендуется платить злоумышленникам, если уж файлы зашифрованы – деньги уходят от вас (владельцы вируса просят небольшую сумму, в районе 300 долларов), а в итоге вы НЕ получаете и никогда НЕ получите свои файлы. Проверено лабораторией Check Point, которая ждет доступ к тестовым файлам еще с пятницы.

Как выбрать NGFW или о чем недоговаривают производители?

imbasoft спасибо за комментарий
Постараюсь прокомментировать и пояснить ход моих мыслей
Интересная статья, но складывается ощущение что намешано все в одну кучу, а критерии сравнения выбраны из всех существующих железок. Сложно представить ГОСТ VPN + DLP в одном флаконе, ибо нафига? Поэтому было бы более корректно убрать NGWF из названия а говорить о просто о выборе устройств сетевой безопасности. В остальном практически все правда.


Да, согласен. ГОСТ VPN + DLP редкая экзотика, хотя встречаются такие инсталляции, соорудить можно.) Суть в другом, что если нужен ГОСТ VPN, скорее всего это будут одни решения, если нужна DLP на борту или интеграция с существующей DLP системы, то тут уже будут другие решения и вендора. Основная цель статьи, составить максимально исчерпывающие критерии(вопросы для подумать), чтобы конечный заказчик смог сформулировать свои желания и требования к системы и обратил бы свое внимание на тонкие места, которые часто не очевидны.

По второй части комментария про IPS, готов подписаться под каждым словом. Многие думают, вернее их маркетинговым булшитом заставляют так думать, что поставил IPS, обновил и в полной безопасности. Это не так.
Заказчики воспринимают IPS как некий сетевой антивирус, который поставил забыл, а он тебе хакеров гоняет, но это далеко не так, с IPS-сом нужно реально постоянно возится более того, существующие системы ловят довольно мало атак,

Абсолютная правда. IPS надо заниматься, понимать где какие сервисы, отчего их надо защищать, а какие сигнатуры надо просто выключить. Пример, если у вас нет Citrix, то смысл проверять трафик сигнатурами для защиты атак через уязвимость в Citrix.

1. ARP poioning жертвы — атака прошла
2. SQL-inj и другие типовые атаки DVWA — все атаки прошли
3. TCP Syn flood (атака прошла)
4. HTTP Slow lories (атака прошла)
5. metasplote MS08_067 эксплойт (атака не прошла).

Это прекрасный пример. Спасибо. Всё так и есть. Почти все эти сигнатуры в большинстве NGFW выключены по умолчанию или в DETECT режиме работают.
Тут на хабре мы писали, как проверить свой FW. И к нам реально пришли люди с вопросами, мол у нас стоит СР, а проверка в лучшем случае показывает защищенность по 2 параметрам. Потратили килобаксы, а защиты как бы нет. Ровно потому, что партнер им не помог и не объяснил, как эту систему настроить, чтобы она реально защищала, а не просто пропускала через себя трафик. Есть отдельная история, когда заказчик покупает часть функционала, и даже ее не активирует, хотя исправно платит годовые продления(((
Тут повторюсь, очень важно иметь понятный и наглядный интерфейс при работе с IPS политиками и сигнатурами. Иначе это адовая работа по правильной и эффективной настройке безопасности.

Мы же для себя решили отказать от коммерческих IPS в пользу open source. Ведь если и с тем и с другим надо одинаково возится то зачем тогда отдавать килобаксы?

С уважением отношусь к вашему решению, но хотел бы высказать личное мнение про такой подход.
open source может быть хорош, при наличие гипер-экспертизы, умении писать свои сигнатуры, и наличие ресурсов и времени для поддержки и настройке-обновлении. Все-таки вендоры предлагающие свои коммерческие продукты имеют тысячные штаты программистов, инженеров плюс ИИ, машинное обучение и тучу технологий, которые изо дня в день находят дыры, пишут сигнатуры и т.д.
Своими силами повторить нечто подобно очень сложно. А большинству конечных потребителей просто не под силу, да и не оправданно это, если честно.
Одно дело правильно настроить существующие сигнатуры и прописать грамотно политики, а другое дело заниматься разработкой и допилкой всей собственной СОВ.

Как выбрать NGFW или о чем недоговаривают производители?

epicf4il Спасибо за интересный комментарий.

Как выбрать NGFW или о чем недоговаривают производители?

Сертификация в РФ и NGFW — это несколько не взаимосвязанные вещи и такое лучше пояснять. Сертифицируется отдельный «функционал», в основном это функционал МЭ, СОВ и Криптография.

Все верно, но этот функционал на конкретной модели сертифицируется конкретного производителя. Приведу пример, выходит у производителя новая модель, ее не будет с сертификате ФСТЭК. А ведь ее могут продать, а уже потом окажется, что сертифицированное решение на ней не реализовать. Придется ждать новый сертификат.

Не каждая компания может позволить себе проверять каждую железку в рамках пилотных проектов, учитывая, что во многих случаях пилотный проект такой железки фактически полноценное внедрение. Да и пилотный проект не всегда даст «честный» результат — не любая компания решится пропускать весь свой трафик через тестовый агрегат, а без всего трафика «честного» результата по производительности вы не получите.

Это чистая правда. В основном, по этой причине и была написана статья. Чтобы можно было сперва определиться с задачей и критериями, отобрать 1-2 решения и провести тест. Можно и без теста купить, но тогда вы полностью полагаетесь на честность, квалификацию и компетентность партнера и вендора. И в случае проблем, потом винить себя, партнера, вендора. Часто это приводит к неоправданной критике вендора. Приведу пример, партнер халатно сделал сайзинг(подбор модели по требованиям) или же заказчик решил уменьшить расходы и купил модель из младшей серии или указал меньшие требования, чем есть на самом деле. В итоге, решение под нагрузкой тормозит и плохо работает. Часто в таких ситуациях винят вендора, вроде, как у них медленное решение и непроизводительное. По факту, это будет неверное утверждение.
Если вернуться к пилоту, часто достаточно весь трафик запустить на оборудование через SPAN порт. Это не 100% чистый тест, но достаточный для первичной оценки.
Еще один стоп-фактор, сроки выполнения работ по подготовки пилота. Мы можем наши решения за часы настроить в простых случаях и день-два в тяжелых. Но порой к заказчику приходят люди и на месте учаться настройке, тратя на внедрение недели. Этот опыт многих отпугивает от пилота.

Не совсем прослеживается связь между территориальным нахождением техподдержки и качеством ее обслуживания (за исключением выездов естественно). Или акцент идет на знание английского языка у обладателя нового продукта?

Да, части народонаселения РФ, особенно в регионах, не всегда комфортно общаться на английском. Во-вторых, если в РФ инженеров нет, то почти не приходится рассчитывать на поддержку в особо тяжелых случаях, в виде волшебных пинков инженеров ТП заграницей. А такая помощь, порой, очень востребована.
Все-таки, мы emerging market, и часто на уровне ТП это можно ощутить.

А можете привести примеры уже санкционных NGFW?

В данном пункте, я писал про компании, кто попал в санкционный список, и закупки оборудования из Европы и США для них стали проблемой.
В компании из списка поставить Cisco или Palo Alto, на пример, будет сложностью (решаемой\нерешаемой вопрос отдельный)

Очень странный критерий конечно, но да ладно. Вашими бы устами да года полтора-два назад, когда ngfw уже были, а для дешифрации рекомендовали использовать отдельные аппаратные платформы. Как вы и сказали, тонкостей хватает и в большинстве случаев, по итогу, дешифрацию необходимо делать только для части специфического трафика.

Тут вопрос не в наличие данного функционала, Вы правы, он есть сейчас у всех. А в тонкостях настройки, работы и производительности решения, после активации данной фичи. Плюс сертификаты, рано или поздно, придется перевыпускать, а значит их надо менять и не пропустить этот момент. В общем, нюансы и детали…

11. Интеграция с MS AD и другими службами. Совет: пилот и решение кейсов на местах.

Вот как нигде не могу с вами не согласится. Но к середине статьи уже складывается впечатление, что все решается только через пилот)


Тут мы часто сталкиваемся с индивидуальными особенностями заказчиков. Кто-то принципиально не хочет ставить агентов (ни на контроллеры AD, ни на ПК пользователей), а в некоторых решениях это мешает нормальной работе аутентификации пользователей. Или заказчика смущают требуемые права доступа (типа domain admin) для настройки и работы решения.
Чтобы не писать справочник по работе всех решений, я и предлагаю выбрать 1-2 решения и в рамках пилота понять особенности работы данной фичи у конкурентных решений. Можно и без пилота обойтись, задать вопросы специалистам и получить полный ответ с уточнением всех сценариев и особенностей работы аутентификации между шлюзом и AD.

12. IPS/IDS. Какая периодичность обновления? Скорость обновления и реакции на инциденты ИБ вендором. Есть примеры когда на самые критичные уязвимости вендор пишет сигнатуры месяцами и годами…

Рядовому заказчику, честного и однозначного ответа на столь абстрактный вопрос, к сожалению, не получить. Все врут.


Можно протестировать и за месяц примерно понять. Хотя бы определить тех, кто врет)) и перестать им верить))

14. Блокирование ботнет трафика

Разве, в основном, это не функционал IPS и, от части, url фильтрации?


Всё это, можно сказать, звенья одной цепи, но в часто anti-bot выделяют в отдельный функциональный модуль. Хотя, конечно, IPS и, от части, url фильтрации дополняют этот функционал.

18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское решение

У нас сейчас кто то делает ngfw? Прям вот ngfw? Помню, года полтора назад задавал подобный вопрос одному из именитых российских производителей криптошлюзов — там ближайшие лет 5 не планировалось ничего)


Соглашусь с Вами. Действительно отечественных производителей к полноценным решениям NGFW отнести нельзя. Поправлюсь:
18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское каналообразующее решение с поддержкой ГОСТ VPN))
Я, искренне, не хочу затевать спор про Statefull Inspection и пакетные фильтры))

Online инструменты для простейшего Pentest-а

http://tssolution.ru/check-point-checkme/
Детальное описание работы скрипта и рекомендации по настройке, чтобы все атаки блокировались.

Информация

В рейтинге
Не участвует
Откуда
Санкт-Петербург, Санкт-Петербург и область, Россия
Дата рождения
Зарегистрирован
Активность