Это действительно так, Вы не интегратор, но Вы тут как эксперт выступаете.
Хотя, судя по всем вашим ресурсам (соц.сети, LJ, сайт и т.д. и т.п), Вы больше эксперт по очевидным советам.
Признаю, Ваше мнение для нас бесценно.
Работа уже ведется, ждите новых статей, скоро и про HTTPS)
Извините за copy\past, но вот
1. WannaCryptor – Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants. All tested samples have been detected and blocked by SandBlast Anti-Ransomware and/or Threat Emulation
2. Hostile links within an email
3. Hostile attachments that contain a hostile link within a PDF
4. Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
5. Brute force login attacks against RDP servers which then plant ransomware
В относительной, конечно, но безопасности. На линукс, при должном желании, можно запустить вирус под WINE. Так же при наличие папок общего доступа на этом линукс сервере, данные на них могут быть зашифрованы с зараженной виндовой машины, при условии наличия доступа.
Если у вас static nat или настроен DMZ (часто в домашних роутерах, на пример, это FULL static NAT на конкретный ПК в сети), то ваш ПК и вся сеть в зоне риска.
Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Так что порты точно надо закрыть.
Главное вдумчиво подойдите, на заблокируйте полностью работу SMB между локальными сетями.
1) Если вы оказались заражены вирусом (без разницы, кто использует Check Point или нет) – можно писать на emergency-response@checkpoint.com
2) Есть видео, показывающее определение WannaCry by SandBlast Agent
https://youtu.be/0jb8zd7H634
3) Если кто-то получил сомнительный имейл с какими-то вложениями – нужно отправить его вложением к письму на incident@checkpoint.com
или проверьте файл в песочнице
http://threatemulation.checkpoint.com/teb/upload.jsp
Настойчиво НЕ рекомендуется платить злоумышленникам, если уж файлы зашифрованы – деньги уходят от вас (владельцы вируса просят небольшую сумму, в районе 300 долларов), а в итоге вы НЕ получаете и никогда НЕ получите свои файлы. Проверено лабораторией Check Point, которая ждет доступ к тестовым файлам еще с пятницы.
imbasoft спасибо за комментарий
Постараюсь прокомментировать и пояснить ход моих мыслей
Интересная статья, но складывается ощущение что намешано все в одну кучу, а критерии сравнения выбраны из всех существующих железок. Сложно представить ГОСТ VPN + DLP в одном флаконе, ибо нафига? Поэтому было бы более корректно убрать NGWF из названия а говорить о просто о выборе устройств сетевой безопасности. В остальном практически все правда.
Да, согласен. ГОСТ VPN + DLP редкая экзотика, хотя встречаются такие инсталляции, соорудить можно.) Суть в другом, что если нужен ГОСТ VPN, скорее всего это будут одни решения, если нужна DLP на борту или интеграция с существующей DLP системы, то тут уже будут другие решения и вендора. Основная цель статьи, составить максимально исчерпывающие критерии(вопросы для подумать), чтобы конечный заказчик смог сформулировать свои желания и требования к системы и обратил бы свое внимание на тонкие места, которые часто не очевидны.
По второй части комментария про IPS, готов подписаться под каждым словом. Многие думают, вернее их маркетинговым булшитом заставляют так думать, что поставил IPS, обновил и в полной безопасности. Это не так.
Заказчики воспринимают IPS как некий сетевой антивирус, который поставил забыл, а он тебе хакеров гоняет, но это далеко не так, с IPS-сом нужно реально постоянно возится более того, существующие системы ловят довольно мало атак,
Абсолютная правда. IPS надо заниматься, понимать где какие сервисы, отчего их надо защищать, а какие сигнатуры надо просто выключить. Пример, если у вас нет Citrix, то смысл проверять трафик сигнатурами для защиты атак через уязвимость в Citrix.
1. ARP poioning жертвы — атака прошла
2. SQL-inj и другие типовые атаки DVWA — все атаки прошли
3. TCP Syn flood (атака прошла)
4. HTTP Slow lories (атака прошла)
5. metasplote MS08_067 эксплойт (атака не прошла).
Это прекрасный пример. Спасибо. Всё так и есть. Почти все эти сигнатуры в большинстве NGFW выключены по умолчанию или в DETECT режиме работают. Тут на хабре мы писали, как проверить свой FW. И к нам реально пришли люди с вопросами, мол у нас стоит СР, а проверка в лучшем случае показывает защищенность по 2 параметрам. Потратили килобаксы, а защиты как бы нет. Ровно потому, что партнер им не помог и не объяснил, как эту систему настроить, чтобы она реально защищала, а не просто пропускала через себя трафик. Есть отдельная история, когда заказчик покупает часть функционала, и даже ее не активирует, хотя исправно платит годовые продления(((
Тут повторюсь, очень важно иметь понятный и наглядный интерфейс при работе с IPS политиками и сигнатурами. Иначе это адовая работа по правильной и эффективной настройке безопасности.
Мы же для себя решили отказать от коммерческих IPS в пользу open source. Ведь если и с тем и с другим надо одинаково возится то зачем тогда отдавать килобаксы?
С уважением отношусь к вашему решению, но хотел бы высказать личное мнение про такой подход.
open source может быть хорош, при наличие гипер-экспертизы, умении писать свои сигнатуры, и наличие ресурсов и времени для поддержки и настройке-обновлении. Все-таки вендоры предлагающие свои коммерческие продукты имеют тысячные штаты программистов, инженеров плюс ИИ, машинное обучение и тучу технологий, которые изо дня в день находят дыры, пишут сигнатуры и т.д.
Своими силами повторить нечто подобно очень сложно. А большинству конечных потребителей просто не под силу, да и не оправданно это, если честно.
Одно дело правильно настроить существующие сигнатуры и прописать грамотно политики, а другое дело заниматься разработкой и допилкой всей собственной СОВ.
Сертификация в РФ и NGFW — это несколько не взаимосвязанные вещи и такое лучше пояснять. Сертифицируется отдельный «функционал», в основном это функционал МЭ, СОВ и Криптография.
Все верно, но этот функционал на конкретной модели сертифицируется конкретного производителя. Приведу пример, выходит у производителя новая модель, ее не будет с сертификате ФСТЭК. А ведь ее могут продать, а уже потом окажется, что сертифицированное решение на ней не реализовать. Придется ждать новый сертификат.
Не каждая компания может позволить себе проверять каждую железку в рамках пилотных проектов, учитывая, что во многих случаях пилотный проект такой железки фактически полноценное внедрение. Да и пилотный проект не всегда даст «честный» результат — не любая компания решится пропускать весь свой трафик через тестовый агрегат, а без всего трафика «честного» результата по производительности вы не получите.
Это чистая правда. В основном, по этой причине и была написана статья. Чтобы можно было сперва определиться с задачей и критериями, отобрать 1-2 решения и провести тест. Можно и без теста купить, но тогда вы полностью полагаетесь на честность, квалификацию и компетентность партнера и вендора. И в случае проблем, потом винить себя, партнера, вендора. Часто это приводит к неоправданной критике вендора. Приведу пример, партнер халатно сделал сайзинг(подбор модели по требованиям) или же заказчик решил уменьшить расходы и купил модель из младшей серии или указал меньшие требования, чем есть на самом деле. В итоге, решение под нагрузкой тормозит и плохо работает. Часто в таких ситуациях винят вендора, вроде, как у них медленное решение и непроизводительное. По факту, это будет неверное утверждение.
Если вернуться к пилоту, часто достаточно весь трафик запустить на оборудование через SPAN порт. Это не 100% чистый тест, но достаточный для первичной оценки.
Еще один стоп-фактор, сроки выполнения работ по подготовки пилота. Мы можем наши решения за часы настроить в простых случаях и день-два в тяжелых. Но порой к заказчику приходят люди и на месте учаться настройке, тратя на внедрение недели. Этот опыт многих отпугивает от пилота.
Не совсем прослеживается связь между территориальным нахождением техподдержки и качеством ее обслуживания (за исключением выездов естественно). Или акцент идет на знание английского языка у обладателя нового продукта?
Да, части народонаселения РФ, особенно в регионах, не всегда комфортно общаться на английском. Во-вторых, если в РФ инженеров нет, то почти не приходится рассчитывать на поддержку в особо тяжелых случаях, в виде волшебных пинков инженеров ТП заграницей. А такая помощь, порой, очень востребована.
Все-таки, мы emerging market, и часто на уровне ТП это можно ощутить.
А можете привести примеры уже санкционных NGFW?
В данном пункте, я писал про компании, кто попал в санкционный список, и закупки оборудования из Европы и США для них стали проблемой.
В компании из списка поставить Cisco или Palo Alto, на пример, будет сложностью (решаемой\нерешаемой вопрос отдельный)
Очень странный критерий конечно, но да ладно. Вашими бы устами да года полтора-два назад, когда ngfw уже были, а для дешифрации рекомендовали использовать отдельные аппаратные платформы. Как вы и сказали, тонкостей хватает и в большинстве случаев, по итогу, дешифрацию необходимо делать только для части специфического трафика.
Тут вопрос не в наличие данного функционала, Вы правы, он есть сейчас у всех. А в тонкостях настройки, работы и производительности решения, после активации данной фичи. Плюс сертификаты, рано или поздно, придется перевыпускать, а значит их надо менять и не пропустить этот момент. В общем, нюансы и детали…
11. Интеграция с MS AD и другими службами. Совет: пилот и решение кейсов на местах.
Вот как нигде не могу с вами не согласится. Но к середине статьи уже складывается впечатление, что все решается только через пилот)
Тут мы часто сталкиваемся с индивидуальными особенностями заказчиков. Кто-то принципиально не хочет ставить агентов (ни на контроллеры AD, ни на ПК пользователей), а в некоторых решениях это мешает нормальной работе аутентификации пользователей. Или заказчика смущают требуемые права доступа (типа domain admin) для настройки и работы решения.
Чтобы не писать справочник по работе всех решений, я и предлагаю выбрать 1-2 решения и в рамках пилота понять особенности работы данной фичи у конкурентных решений. Можно и без пилота обойтись, задать вопросы специалистам и получить полный ответ с уточнением всех сценариев и особенностей работы аутентификации между шлюзом и AD.
12. IPS/IDS. Какая периодичность обновления? Скорость обновления и реакции на инциденты ИБ вендором. Есть примеры когда на самые критичные уязвимости вендор пишет сигнатуры месяцами и годами…
Рядовому заказчику, честного и однозначного ответа на столь абстрактный вопрос, к сожалению, не получить. Все врут.
Можно протестировать и за месяц примерно понять. Хотя бы определить тех, кто врет)) и перестать им верить))
14. Блокирование ботнет трафика
Разве, в основном, это не функционал IPS и, от части, url фильтрации?
Всё это, можно сказать, звенья одной цепи, но в часто anti-bot выделяют в отдельный функциональный модуль. Хотя, конечно, IPS и, от части, url фильтрации дополняют этот функционал.
18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское решение
У нас сейчас кто то делает ngfw? Прям вот ngfw? Помню, года полтора назад задавал подобный вопрос одному из именитых российских производителей криптошлюзов — там ближайшие лет 5 не планировалось ничего)
Соглашусь с Вами. Действительно отечественных производителей к полноценным решениям NGFW отнести нельзя. Поправлюсь:
18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское каналообразующее решение с поддержкой ГОСТ VPN))
Я, искренне, не хочу затевать спор про Statefull Inspection и пакетные фильтры))
Хотя, судя по всем вашим ресурсам (соц.сети, LJ, сайт и т.д. и т.п), Вы больше эксперт по очевидным советам.
Признаю, Ваше мнение для нас бесценно.
Работа уже ведется, ждите новых статей, скоро и про HTTPS)
Владимир, это ваш сайт?
1. WannaCryptor – Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants. All tested samples have been detected and blocked by SandBlast Anti-Ransomware and/or Threat Emulation
2. Hostile links within an email
3. Hostile attachments that contain a hostile link within a PDF
4. Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
5. Brute force login attacks against RDP servers which then plant ransomware
Так что вы, http2, почти все вектора и назвали.
Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Так что порты точно надо закрыть.
Главное вдумчиво подойдите, на заблокируйте полностью работу SMB между локальными сетями.
Скорее о полном раздолбайстве.))
Сигнатуры еще в марте были опубликованы…
2) Есть видео, показывающее определение WannaCry by SandBlast Agent
https://youtu.be/0jb8zd7H634
3) Если кто-то получил сомнительный имейл с какими-то вложениями – нужно отправить его вложением к письму на incident@checkpoint.com
или проверьте файл в песочнице
http://threatemulation.checkpoint.com/teb/upload.jsp
Настойчиво НЕ рекомендуется платить злоумышленникам, если уж файлы зашифрованы – деньги уходят от вас (владельцы вируса просят небольшую сумму, в районе 300 долларов), а в итоге вы НЕ получаете и никогда НЕ получите свои файлы. Проверено лабораторией Check Point, которая ждет доступ к тестовым файлам еще с пятницы.
Next-Generation Firewall (NGFW) :)
Постараюсь прокомментировать и пояснить ход моих мыслей
Да, согласен. ГОСТ VPN + DLP редкая экзотика, хотя встречаются такие инсталляции, соорудить можно.) Суть в другом, что если нужен ГОСТ VPN, скорее всего это будут одни решения, если нужна DLP на борту или интеграция с существующей DLP системы, то тут уже будут другие решения и вендора. Основная цель статьи, составить максимально исчерпывающие критерии(вопросы для подумать), чтобы конечный заказчик смог сформулировать свои желания и требования к системы и обратил бы свое внимание на тонкие места, которые часто не очевидны.
По второй части комментария про IPS, готов подписаться под каждым словом. Многие думают, вернее их маркетинговым булшитом заставляют так думать, что поставил IPS, обновил и в полной безопасности. Это не так.
Абсолютная правда. IPS надо заниматься, понимать где какие сервисы, отчего их надо защищать, а какие сигнатуры надо просто выключить. Пример, если у вас нет Citrix, то смысл проверять трафик сигнатурами для защиты атак через уязвимость в Citrix.
Это прекрасный пример. Спасибо. Всё так и есть. Почти все эти сигнатуры в большинстве NGFW выключены по умолчанию или в DETECT режиме работают.
Тут на хабре мы писали, как проверить свой FW. И к нам реально пришли люди с вопросами, мол у нас стоит СР, а проверка в лучшем случае показывает защищенность по 2 параметрам. Потратили килобаксы, а защиты как бы нет. Ровно потому, что партнер им не помог и не объяснил, как эту систему настроить, чтобы она реально защищала, а не просто пропускала через себя трафик. Есть отдельная история, когда заказчик покупает часть функционала, и даже ее не активирует, хотя исправно платит годовые продления(((
Тут повторюсь, очень важно иметь понятный и наглядный интерфейс при работе с IPS политиками и сигнатурами. Иначе это адовая работа по правильной и эффективной настройке безопасности.
С уважением отношусь к вашему решению, но хотел бы высказать личное мнение про такой подход.
open source может быть хорош, при наличие гипер-экспертизы, умении писать свои сигнатуры, и наличие ресурсов и времени для поддержки и настройке-обновлении. Все-таки вендоры предлагающие свои коммерческие продукты имеют тысячные штаты программистов, инженеров плюс ИИ, машинное обучение и тучу технологий, которые изо дня в день находят дыры, пишут сигнатуры и т.д.
Своими силами повторить нечто подобно очень сложно. А большинству конечных потребителей просто не под силу, да и не оправданно это, если честно.
Одно дело правильно настроить существующие сигнатуры и прописать грамотно политики, а другое дело заниматься разработкой и допилкой всей собственной СОВ.
Все верно, но этот функционал на конкретной модели сертифицируется конкретного производителя. Приведу пример, выходит у производителя новая модель, ее не будет с сертификате ФСТЭК. А ведь ее могут продать, а уже потом окажется, что сертифицированное решение на ней не реализовать. Придется ждать новый сертификат.
Это чистая правда. В основном, по этой причине и была написана статья. Чтобы можно было сперва определиться с задачей и критериями, отобрать 1-2 решения и провести тест. Можно и без теста купить, но тогда вы полностью полагаетесь на честность, квалификацию и компетентность партнера и вендора. И в случае проблем, потом винить себя, партнера, вендора. Часто это приводит к неоправданной критике вендора. Приведу пример, партнер халатно сделал сайзинг(подбор модели по требованиям) или же заказчик решил уменьшить расходы и купил модель из младшей серии или указал меньшие требования, чем есть на самом деле. В итоге, решение под нагрузкой тормозит и плохо работает. Часто в таких ситуациях винят вендора, вроде, как у них медленное решение и непроизводительное. По факту, это будет неверное утверждение.
Если вернуться к пилоту, часто достаточно весь трафик запустить на оборудование через SPAN порт. Это не 100% чистый тест, но достаточный для первичной оценки.
Еще один стоп-фактор, сроки выполнения работ по подготовки пилота. Мы можем наши решения за часы настроить в простых случаях и день-два в тяжелых. Но порой к заказчику приходят люди и на месте учаться настройке, тратя на внедрение недели. Этот опыт многих отпугивает от пилота.
Да, части народонаселения РФ, особенно в регионах, не всегда комфортно общаться на английском. Во-вторых, если в РФ инженеров нет, то почти не приходится рассчитывать на поддержку в особо тяжелых случаях, в виде волшебных пинков инженеров ТП заграницей. А такая помощь, порой, очень востребована.
Все-таки, мы emerging market, и часто на уровне ТП это можно ощутить.
В данном пункте, я писал про компании, кто попал в санкционный список, и закупки оборудования из Европы и США для них стали проблемой.
В компании из списка поставить Cisco или Palo Alto, на пример, будет сложностью (решаемой\нерешаемой вопрос отдельный)
Тут вопрос не в наличие данного функционала, Вы правы, он есть сейчас у всех. А в тонкостях настройки, работы и производительности решения, после активации данной фичи. Плюс сертификаты, рано или поздно, придется перевыпускать, а значит их надо менять и не пропустить этот момент. В общем, нюансы и детали…
Тут мы часто сталкиваемся с индивидуальными особенностями заказчиков. Кто-то принципиально не хочет ставить агентов (ни на контроллеры AD, ни на ПК пользователей), а в некоторых решениях это мешает нормальной работе аутентификации пользователей. Или заказчика смущают требуемые права доступа (типа domain admin) для настройки и работы решения.
Чтобы не писать справочник по работе всех решений, я и предлагаю выбрать 1-2 решения и в рамках пилота понять особенности работы данной фичи у конкурентных решений. Можно и без пилота обойтись, задать вопросы специалистам и получить полный ответ с уточнением всех сценариев и особенностей работы аутентификации между шлюзом и AD.
Можно протестировать и за месяц примерно понять. Хотя бы определить тех, кто врет)) и перестать им верить))
Всё это, можно сказать, звенья одной цепи, но в часто anti-bot выделяют в отдельный функциональный модуль. Хотя, конечно, IPS и, от части, url фильтрации дополняют этот функционал.
Соглашусь с Вами. Действительно отечественных производителей к полноценным решениям NGFW отнести нельзя. Поправлюсь:
18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское каналообразующее решение с поддержкой ГОСТ VPN))
Я, искренне, не хочу затевать спор про Statefull Inspection и пакетные фильтры))
Детальное описание работы скрипта и рекомендации по настройке, чтобы все атаки блокировались.