Перейти к содержанию

Форумы Anti-Malware

Showing all content posted in for the last 365 days.

This stream auto-updates     

  1. Earlier
  2. Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
  3. Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
  4. .xml файлы taskschd.msc Могут быть подписаны цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .
  5. demkd На форумах ( на всех ) прежде всего используется программа FRST ( часто... в связке с uVS) Можно ли сделать программу для анализа лога? Или некое дополнение к текстовому редактору В помощь оператору. Например в HiJackThis Fork есть - ( список игнорирования ) Команда: Добавить в список игнорирования; Добавить всё в список игнорирования. А можно добавить команду: Найти ранее удаляемые объекты и пометь их закладкой. ; Разбить строки для удобства чтения и т.д. Заранее спасибо
  6. Дефицит кадров на рынке ИБ привёл к увеличению количества услуг, предоставляемых как интеграторами, так и вендорами. «Лаборатория Касперского» тоже предлагает ряд сервисов: выявление кибератак, реагирование на инциденты в ИБ, анализ защищённости, мониторинг цифровых рисков и другие. ВведениеKaspersky Digital Footprint IntelligenceKaspersky Compromise AssessmentKaspersky Security AssessmentKaspersky SOC ConsultingKaspersky Tabletop ExerciseKaspersky Adversary Attack EmulationKaspersky Cybersecurity TrainingKaspersky Managed Detection and ResponseKaspersky Incident ResponseKaspersky Ask The AnalystВыводыВведение«Лаборатория Касперского» активно развивает перечень сервисов по информационной безопасности, предоставляемых ею. Основная предпосылка для этого — недостаток квалифицированных кадров с богатым опытом на рынке ИБ. Так, согласно исследованию Kaspersky, 42 % компаний обращаются к поставщикам управляемых ИБ-услуг (MSSP) в связи с нехваткой собственных специалистов, а 36 % опрошенных отметили недостаток опыта в сфере кибербезопасности внутри своей организации.Услуги, предоставляемые «Лабораторией Касперского», охватывают весь цикл работы с киберугрозами: прогнозирование, предотвращение, обнаружение и реагирование. Рисунок 1. Услуги Kaspersky в соответствии с циклом киберугроз Kaspersky Digital Footprint IntelligenceВ рамках услуги предоставляется комплексный мониторинг цифровых рисков, который помогает компаниям отслеживать свои цифровые активы и обнаруживать угрозы на теневых ресурсах (дипвеб, даркнет и дарквеб).Сервис позволяет оперативно реагировать на возникающие в отношении цифровых активов угрозы, что снижает вероятность нанесения репутационного ущерба бренду, потери доверия клиентов и остановки бизнес-операций в целом.Типы угроз, с которыми работает услуга, включают в себя:угрозы связанные с сетевым периметром, такие как неправильно настроенные службы, незакрытые уязвимости, повреждённые или скомпрометированные ресурсы;угрозы связанные с даркнетом, в том числе схемы мошенничества и планы киберпреступников, украденные кредитные карты, инсайдерская деятельность, продажа доступов и баз данных;угрозы связанные с вредоносным кодом, включая фишинговые атаки, целевые атаки и APT-кампании;утечки данных и конфиденциальной информации, в том числе скомпрометированные учётные записи партнёров, сотрудников и клиентов;неправомерное использование бренда, заключающееся в подделке веб-сайтов компании, учётных записей в соцсетях и мобильных приложений, размещённых в Google Play и App Store.Kaspersky Compromise AssessmentKaspersky Compromise Assessment (CA) позволяет выявить активные кибератаки, а также обнаружить следы прошлых взломов, не зафиксированных и не предотвращённых средствами защиты информации. CA повышает возможности защиты от киберугроз без необходимости инвестировать в дополнительный персонал или экспертизу: обнаруживает и анализирует происходящие в данный момент и произошедшие в прошлом инциденты, а также составляет список систем, затронутых этими инцидентами. Эксперты «Лаборатории Касперского» обеспечивают проактивное обнаружение и расследование целевых атак, чтобы обеспечить безопасность бизнес-активов в любой отрасли.Проведение подобных работ может потребоваться, если есть косвенные признаки, указывающие на взлом инфраструктуры компании. К таким признакам относятся:атака на сети партнёров или подрядчиков;пристальное внимание злоумышленников к сектору экономики, в котором функционирует компания;подозрение на компрометацию сети организации или появление непроверенной информации о таком инциденте.Кроме того, поиск следов компрометации может понадобиться, если есть требование регулятора проводить такие работы на периодической основе или нужна оценка интегрируемой инфраструктуры в процессе слияния и поглощения. Полезен он и после реагирования на инцидент, когда есть необходимость удостовериться, что сеть не взломана другими группировками, использующими иные техники и инструменты.Работы проводятся в несколько этапов: сбор данных, анализ и активный поиск угроз, валидация инцидента и раннее реагирование, подготовка отчётности.По результатам работы сервиса заказчик получает заключение о выявленных следах взлома сети, релевантные аналитические данные и индикаторы компрометации (IoC), рекомендации по устранению последствий и по защите ресурсов от аналогичных атак в будущем.Kaspersky Security AssessmentАнализ защищённости — популярный у многих компаний формат поиска уязвимостей в инфраструктуре и векторов атак, которые могут быть применены злоумышленниками. В сервис от «Лаборатории Касперского» входят как привычное тестирование на проникновение, так и анализ защищённости приложений, промышленных сетей, банкоматов, POS-терминалов и оценка безопасности беспроводных сетей.Результатом работ является подробный отчёт о процессе тестирования, его результатах и обнаруженных уязвимостях, с рекомендациями по их устранению.Анализ защищённости промышленных системЭто направление анализа особенно актуально в связи с участившимися атаками на промышленный сектор. В ходе работ проводится анализ защищённости как всей инфраструктуры АСУ ТП, так и её компонентов.Сервис позволяет выявить недостатки защиты АСУ ТП, обеспечить её соответствие внутренним, отраслевым и государственным стандартам, а также избежать потенциального ущерба и угроз для жизни и здоровья людей за счёт своевременного обнаружения и устранения уязвимостей, которые могут быть использованы при проведении атак на АСУ ТП. Кроме того, проводимые работы дают возможность выявить уязвимости компонентов АСУ ТП, таких как SCADA, ПЛК и другие.Анализ защищённости банкоматов и POS-терминаловСервис позволяет обнаружить уязвимости, использование которых поможет злоумышленникам несанкционированно снимать наличные, проводить неавторизованные транзакции, собирать данные платёжных карт клиентов или проводить DoS-атаки. Также сервис даёт возможность выявить проблемы в системе защиты банкоматов и POS-терминалов, найти неизвестные ранее уязвимости в управляющем ПО банкомата (в т. ч. позволяющие выйти из режима киоска и получить доступ к ОС), проанализировать возможность развития атаки на смежные устройства, процессинговый центр и банковскую сеть.Анализ защищённости приложенийРаботы по анализу защищённости приложений проводятся с использованием методов чёрного, серого и белого ящиков, что позволяет как эмулировать действия внешних злоумышленников, так и разбирать недостатки приложения, зная его код. Также возможно проведение тестирования при включённых и выключенных механизмах превентивной защиты брандмауэра веб-приложений (WAF) для проверки эффективности обнаружения и блокирования атак.Kaspersky SOC ConsultingСоздание собственного центра мониторинга (SOC) — ответственный и долгосрочный проект, который трудно реализовать без экспертной поддержки. Услуга по SOC-консалтингу предназначена для компаний, которые планируют строить и развивать внутренний центр мониторинга. Цель сервиса — разработка дизайн-концепции SOC, которая будет учитывать задачи и инфраструктуру клиента, а также обеспечит эффективную эксплуатацию и дальнейшее развитие центра.В рамках работ решаются следующие задачи:разработка общей концепции SOC в части технических средств, команды и сервисной модели;определение детальной организационно-штатной структуры SOC, ролей, задач, режима работы, программы обучения, планирование численности команды и т. д.;разработка технической архитектуры в части средств самого SOC, источников и потоков данных, смежных и внешних систем;разработка сервисов и процессов SOC, а также соответствующих процедур для их реализации;разработка специфичных сценариев детектирования угроз ИБ (use cases) и реагирования на инциденты (playbooks);разработка метрик и индикаторов (KPI) для контроля эффективности деятельности SOC и шаблонов отчётности для аудиторий разного уровня;разработка стратегии и плана развития SOC, постпроектная поддержка и консультирование.Работы проводятся в несколько этапов, включающих в себя сбор информации, проектирование SOC, сопровождение внедрения и развёртывания технических средств, а также комплексную поддержку и консультирование заказчика в течение оговорённого времени после введения SOC в эксплуатацию. При этом поддерживаются проекты по созданию SOC как на продуктовой линейке решений «Лаборатории Касперского», так и на сторонних разработках.Результатом оказания услуги является согласованная адаптированная концепция, охватывающая все аспекты создания, эксплуатации и развития SOC на основе опыта «Лаборатории Касперского» и лучших практик (best practices).Kaspersky Tabletop ExerciseТренинг Kaspersky Tabletop Exercise помогает улучшать процессы связанные с реагированием на инциденты, а также оптимизировать взаимодействия между командами, участвующими в этих процессах.В рамках тренинга эксперты международной команды «Лаборатории Касперского» GERT (Global Emergency and Response Team) разрабатывают сценарий инцидента, учитывающий актуальный ландшафт угроз, а также специфику компании и производственные нужды. Особенно интересно, что сценарии максимально приближены к реальным и основаны на собственном опыте команды.После этого эксперты распределяют роли среди участников и объясняют им сценарий атаки, а затем проверяют работу команд: соответствуют ли принятые ими решения по устранению последствий инцидентов той стратегии реагирования, которая установлена в компании.Kaspersky Adversary Attack EmulationKaspersky Adversary Attack Emulation позволяет регулярно проверять, насколько хорошо средства детектирования SOC могут обнаруживать атаки, соответствующие различным техникам. Кроме того, с помощью сервиса можно обучать специалистов центра мониторинга и реагирования работе с конкретными сценариями и типами угроз, проверять способность специалистов обнаруживать атаки конкретных APT-группировок и строить карту охвата правил детектирования SOC.Ключевыми преимуществами Kaspersky Adversary Attack Emulation являются широкий набор сценариев с опорой на базу MITRE ATT&CK, возможность комплексной оценки сильных и слабых сторон системы обнаружения и проведение регулярных эмуляций в рамках сервиса.Kaspersky Cybersecurity TrainingПроцесс повышения осведомлённости пользователей стал привычным для компаний с высоким уровнем зрелости. Однако на рынке отмечается дефицит курсов по информационной безопасности для ИТ- и ИБ-специалистов. Немногие учебные центры и онлайн-площадки дают актуальный материал, проверенный на практике, и реальную экспертную поддержку по обучающему контенту.«Лаборатория Касперского» обладает обширным опытом обнаружения и исследования угроз, а также большой экспертной базой. На основе этого опыта сформированы следующие курсы: цифровая криминалистика (стандартный и экспертный курсы), анализ и обратная разработка вредоносных программ (стандартный и экспертный курсы), реагирование на инциденты, YARA, а также курсы посвящённые Kaspersky Anti Targeted Attack (KATA) — администрирование и анализ инцидентов.Kaspersky Managed Detection and ResponseKaspersky MDR представляет круглосуточную управляемую защиту: от мониторинга и проактивного поиска угроз до автоматизированного и управляемого реагирования как на целевые атаки, так и на скрытые угрозы, не использующие вредоносных программ и имитирующие легитимную активность.В рамках решения у клиента есть возможность самостоятельно зарегистрировать инцидент при подозрении на компрометацию для дальнейшей проверки экспертами SOC «Лаборатории Касперского», при условии, что затронутые инцидентом хосты входят в охват мониторинга. Встроенные механизмы искусственного интеллекта (ИИ) в Kaspersky MDR помогают минимизировать число ложноположительных срабатываний и ускорить процесс обработки событий в безопасности. В решение Kaspersky MDR входят: круглосуточный мониторинг и проактивный поиск угроз (Threat Hunting) силами экспертов «Лаборатории Касперского», автоматический поиск угроз с применением IoA-правил, сценарии реагирования и автоматическое реагирование на инциденты, консультации аналитиков SOC «Лаборатории Касперского», обзор всех защищаемых ресурсов с их текущим статусом, консоль управления услугой и отчётами, хранение истории инцидентов в течение одного года, прикладной интерфейс (API) для интеграции с платформами реагирования и автоматизации (IRP / SOAR), хранение необработанной телеметрии в течение трёх месяцев. Рисунок 2. Принцип работы Kaspersky MDR Kaspersky MDR обеспечивается командой SOC «Лаборатории Касперского», эксперты которой обладают многочисленными сертификатами, подтверждающими их высокий уровень экспертизы и знаний в индустрии ИБ: CHFI, CEH, GCFA, OSCP, CISM, OSCE, GNFA, CISA, GCIH, GCTI, CISSP и другими.Kaspersky Incident ResponseKaspersky Incident Response — сервис по реагированию на инциденты в информационной безопасности, начиная с этапа сбора доказательств и заканчивая подготовкой комплексного отчёта с описанием результатов расследования, а также рекомендациями по устранению последствий атаки.Результатом оказания услуги является подробный отчёт о случившемся инциденте, в котором будут:краткое описание инцидента с определением природы атаки и затронутых информационных активов, а также действий по незамедлительному реагированию, углублённый анализ инцидента с полной хронологией событий, анализ действий атакующих и используемых ими инструментов, описание использованных уязвимостей, возможных источников атаки и затронутых сетевых ресурсов, результаты анализа вредоносных программ, заключение о наличии или отсутствии признаков компрометации, рекомендации по устранению последствий атаки и предотвращению подобных атак в будущем.Расследования «Лаборатории Касперского» проводятся высококвалифицированными аналитиками и экспертами команды GERT. Члены GERT — специалисты по управлению инцидентами, компьютерной криминалистике, анализу вредоносного кода, сетевой безопасности и анализу рисков, обладающие широким набором признанных в отрасли сертификатов, таких как GREM, GRID, GCFE, GCFA, eCTHP, eCIR, CISM и другие.Kaspersky Ask The AnalystKaspersky Ask The Analyst — сервис, который будет полезен для дальнейшего повышения уровня кибербезопасности: те организации, у которых нет специалистов с достаточной экспертной квалификацией, будут обеспечены всесторонней коммуникацией с экспертами, а также расширенными возможностями в области анализа угроз и реагирования на инциденты за счёт знаний и ресурсов «Лаборатории Касперского».В рамках сервиса заказчик получает:дополнительную информацию об опубликованных отчётах по сложным угрозам (APT) и вредоносному коду (crimeware),комплексный отчёт об анализе образца / образцов вредоносных программ или других технических индикаторов,анализ вредоносного кода,информацию о конкретной активности в даркнете,информацию по запросам связанным с АСУ ТП (уязвимости, сведения о нормативных требованиях и стандартах, статистика угроз для АСУ ТП и др.).Преимущество услуги — поддержка профессионалов, которая позволит обойтись без поиска и найма узких специалистов, ускорить расследование инцидентов, оперативно реагировать на угрозы и уязвимости, блокируя известные векторы атак.Выводы«Лаборатория Касперского» обладает не только известными продуктами, направленными на обеспечение безопасности систем разного класса, но и международной экспертизой, используя которую можно выстроить защиту как на основании имеющихся в компании компетенций, так и с применением сервисов вендора. При этом компания имеет признание в индустрии, которое подтверждается многочисленными наградами и отзывами клиентов. Экспертиза «Лаборатории Касперского» может применяться в организациях с любым уровнем ИБ и в любой сфере деятельности: в промышленном сегменте, финансовом, ИТ, СМИ и других.Читать далее
  7. Домашние антивирусы для Windows были обновлены до версии 17.0.16.
  8. Недавно на российском рынке появился новый сервис повышения киберграмотности МТС RED на базе платформы Phishman. Он отличается широким набором учебных материалов, а также возможностью интеграции с корпоративными системами и решениями по кибербезопасности. ВведениеСостав и формат реализации сервиса повышения киберграмотности МТС REDФункциональные возможности и архитектура системы обучения PhishmanИнтерфейсФишингСоздание фишинговых писем и формУправление сотрудникамиОбучениеОтчётностьПравилаПодключение и сопровождение сервиса повышения киберграмотности МТС REDВыводыВведениеС каждым годом информационные технологии всё глубже проникают во все сферы жизни, в том числе в корпоративную среду. Поэтому всё более актуальным в компаниях становится обучение сотрудников основам кибербезопасности и культуре безопасного поведения. Несмотря на внедрение различных межсетевых экранов, антивирусов, систем предотвращения утечек и прочего, даже комплексные системы защиты (SIEM, IRP, SOAR и другие) не позволяют добиться эффекта абсолютной защищённости, так как пользователем информационных систем компании остаётся человек, от которого и зависит их безопасность.Подавляющее большинство угроз, нацеленных на компанию, связаны с действиями сотрудников внутри: соблюдают ли они общие принципы кибербезопасного поведения, применяют ли в своей работе практики, позволяющие повысить уровень защищённости. В целом человеческий фактор остаётся самым уязвимым звеном в кибербезопасности, что требует использовать упреждающие способы защиты и постоянно повышать осведомлённость сотрудников в сфере борьбы с киберугрозами.Для решения этой задачи на рынке ИБ существует класс продуктов «обучение сотрудников основам кибербезопасности» (Security Awareness). Постоянное повышение осведомлённости позволяет существенно снизить риски для кибербезопасности компаний. Вышедший на днях на российский рынок новый сервис повышения киберграмотности МТС RED на базе системы Phishman позволяет реализовать комплексный — теоретический и практический — подход к обучению для формирования у сотрудников культуры кибербезопасного поведения.Состав и формат реализации сервиса повышения киберграмотности МТС REDВ состав сервиса повышения киберграмотности МТС RED входят:Услуга по проведению тренировочных фишинговых рассылок: планирование, подготовка и рассылка тренировочных фишинговых писем по необходимой заказчику тематике.Услуга по сопровождению процесса обучения, включая анализ бизнес-процессов заказчика, поиск оптимальных форм тренировочных рассылок и настройки интеграций (при необходимости).Услуга по подготовке персонализированных под клиента фишинговых писем и форм.Предоставление фишингового домена для компании-клиента с целью учёта статистики рассылок.Доступ к системе обучения Phishman для прохождения пользователями обучающих курсов.Доступ к порталу управления параметрами сервиса.Услуга по предоставлению отчётности за заданный период по результатам прохождения сотрудниками обучения и эффективности тренировочных фишинговых рассылок.Сервис предоставляется в двух моделях на выбор заказчика: в облачной инфраструктуре МТС RED (заказчик получает к ней защищённый доступ) или в инфраструктуре заказчика (специалисты МТС RED получают к ней защищённый доступ для администрирования).Функциональные возможности и архитектура системы обучения PhishmanФункциональность системы включает в себя:проведение тренировочных фишинговых рассылок и учёт статистики по ним;назначение обучения сотрудникам;формирование отчётов по результатам тренировочных фишинговых рассылок и обучения;автоматизация процессов обучения и формирования тренировочных фишинговых рассылок с помощью правил;интеграции с системами управления обучением (Learning Management System, LMS), с Active Directory и со средствами защиты (антивирус, МТС RED SOC).Архитектурно система состоит из трёх элементов:Модуль обучения (образовательный портал) — собственная LMS для прохождения пользователями курсов.Модуль (портал) администрирования — управление настройками системы, создание тренировочных фишинговых рассылок, назначение учебных программ, администрирование системы в целом.Модуль фиксации (учёта статистики) тренировочных фишинговых рассылок.Интерфейс Рисунок 1. Интерфейс системы Phishman Продукт имеет дружественный и интуитивно понятный интерфейс. На главной странице отображаются комплексные показатели, демонстрирующие уровень риска и устойчивость работников к фишингу. Кроме того, здесь можно увидеть топ уязвимых и стойких сотрудников, а также фишинговую активность по часам.Фишинг Рисунок 2. Страница создания тренировочных фишинговых атак Одна из основных функций сервиса МТС RED на базе Phishman — создание тренировочных фишинговых атак. При их создании можно выбрать вид атаки и задать время рассылки. Доступно три типа атак: обычная, автоматическая и случайная автоматическая.Обычная атака позволяет отправить письма в строго фиксированный момент времени. Автоатака подразумевает отправку писем всем сотрудникам в несколько волн в определённом временном интервале. Случайная автоатака в дополнение к предыдущей схеме позволяет выбрать, какая часть (доля) сотрудников и шаблонов фишинговых писем будет задействована в каждой волне рассылки. Рисунок 3. Параметры фишинговой атаки После выбора типа атаки можно назначить её цели (сотрудников, на которых будет направлена рассылка) и шаблоны.Создание фишинговых писем и форм Рисунок 4. Страница шаблонов При выборе шаблонов имеется возможность поиска и выбора по категориям. Сейчас в системе доступно 12 категорий шаблонов из различных сфер деятельности, таких как онлайн-сервисы, услуги, образование, социальные сети. Имеется функция поиска необходимых шаблонов. Рисунок 5. Редактор фишинговых шаблонов и форм Система Phishman позволяет создавать шаблоны для фишинговых писем и форм с помощью встроенного редактора. Здесь можно задать название фишингового письма, выбрать категорию шаблона, по которому письмо будет сформировано, составить текст письма. При необходимости можно также внести правки в исходный код (HTML) элементов формы — например, чтобы исправить съехавшую разметку, убрать ссылки на оригинальные страницы и проч.Управление сотрудниками Рисунок 6. Раздел «Сотрудники» При формировании тренировочного фишингового письма можно либо добавлять сотрудников в список адресатов вручную, либо автоматически загружать перечень из CSV-файла либо из службы каталогов с помощью LDAP-протокола. Каждый сотрудник должен быть привязан к отделу. Отделы имеют иерархическую структуру. Рисунок 7. Добавление нового сотрудника Перед добавлением сотрудника вручную требуется создать отдел. Ручное добавление сотрудников происходит путём ввода данных и выбора отдела либо путём перечисления в аналогичном CSV формате (данные о пользователях указываются через запятую в каждой строке). Рисунок 8. Поиск по сотрудникам В интерфейсе также имеется опция поиска по сотрудникам. Фильтр поиска можно настраивать как по основным атрибутам пользователей (Ф. И. О., отдел, адрес электронной почты), так и по более специфичным (уровень риска / устойчивости, дата добавления сотрудника в систему, дата перемещения в другой отдел, учебные группы).Сотрудники по умолчанию распределяются в системе по отделам, но их также можно отдельно добавлять в учебные группы, что позволяет объединять сотрудников, например, по уровню знаний и назначать им соответствующее их уровню обучение. Рисунок 9. Настройка синхронизации с Active Directory Для загрузки списка пользователей из Active Directory (AD) требуется настроить параметры подключения и указать учётную запись для доступа. В дополнительных параметрах можно указать отделы, которые следует исключить из синхронизации, а также настроить фильтры поиска по AD и используемые атрибуты в AD для Ф. И. О. Рисунок 10. Дополнительные параметры синхронизации с Active Directory Обучение Рисунок 11. Раздел обучения Раздел обучения включает в себя список учебных программ, а также строку для поиска. Сотрудники компании по умолчанию имеют доступ ко всем учебным программам своей компании, однако пользователи сервиса могут настроить доступ конкретного сотрудника (или группы) к конкретным обучающим курсам. Обучение для сотрудников может назначаться вручную либо при возникновении различных событий из области безопасности на основе заданных в системе правил. Например, если сотрудник попытался отправить на внешний адрес электронной почты скан паспорта, ему будет автоматически назначен курс «Защита конфиденциальной информации». Рисунок 12. Создание учебной программы Для назначения обучения нужно создать учебную программу, куда включаются нужные курсы. На момент публикации обзора в сервисе представлено 15 курсов обучения. В последнем обновлении системы Phishman были добавлены специализированные курсы по 187-ФЗ (КИИ) и 152-ФЗ (персональные данные), включающие в себя полноценное обучение по всем аспектам этих законодательных актов и обязательную проверку знаний по итогам. При создании учебной программы можно выбрать период и порядок прохождения курсов, количество попыток. Рисунок 13. Выбор курсов После установки основных параметров происходит выбор курсов, а также сотрудников, которым они будут назначены. Сотрудники получают уведомление о назначенном им обучении, а новым работникам высылаются данные для входа в личный кабинет на образовательном портале. Рисунок 14. Интерфейс образовательного портала Прохождение курсов осуществляется на отдельном образовательном портале. Сотрудник входит на портал после получения регистрационных данных (логин и пароль). После входа можно увидеть ориентировочное время, необходимое для прохождения курса, и его название, а также выбрать любой из назначенных сотруднику курсов. Рисунок 15. Пример курса Каждый курс открывается в отдельном окне, при необходимости его можно развернуть на весь экран. Этапы прохождения курсов фиксируются, пользователь всегда может вернуться к прохождению с того места, на котором остановился. На главной странице курса есть значок «Термины»; нажав на него, сотрудник может ознакомиться с определениями основных терминов, встречающихся в курсе. Значок «Меню» позволяет увидеть перечень основных разделов (страниц) курса и осуществлять удобную навигацию по ним.Отчётность Рисунок 16. Стандартные виды отчётов В продукте представлено несколько вариантов отчётов по результатам фишинговых атак и обучения сотрудников. Можно выбрать любой вариант из заданных в системе или создать свой (пользовательский) вариант отчёта. Рисунок 17. Выбор отчёта Для формирования отчёта нужно выбрать фишинговую атаку или учебную программу. После этого можно сформировать отчёт и увидеть его содержимое. На странице отчёта показываются графики и таблица со статистикой. Все отчёты доступны для скачивания в форматах PDF и XLSX. Рисунок 18. Пример отчёта На странице отчёта можно сразу посмотреть сам отчёт в графическом представлении. В случае с отчётом по фишинговым атакам можно увидеть общую статистику по сотрудникам, минимальное время реакции на фишинг, кто из работников переходил по ссылкам или открывал вложения.Правила Рисунок 19. Раздел правил В продукте присутствует функциональность создания правил, позволяющих автоматизировать рутинные действия, такие как назначение обучения или отправка фишинга, и дающих возможность автоматически реагировать на действия различных подключённых источников данных о событиях по безопасности — например, антивируса. Клиентам центра мониторинга и реагирования на киберинциденты МТС RED также доступна интеграция с МТС RED SOC, что позволит оперативно назначать обучение основам киберграмотности по результатам корреляции и / или анализа событий первой линии мониторинга. Таким образом можно назначать курсы по событиям от всех используемых в компании средств защиты информации. Помимо назначения обучения при регистрации инцидента можно создать правило, позволяющее автоматически назначать обучение новым сотрудникам. Рисунок 20. Создание правила Для создания правила требуется указать его имя и время проверки. Рисунок 21. Выбор событий для правила После указания периода срабатывания и имени правила выбираются события, при наступлении которых оно будет применяться (например, переход по фишинговой ссылке). Рисунок 22. Действия при создании После формирования списка сотрудников происходит выбор действия, которое будет выполняться при наступлении заданного события (например, запись на учебный курс).Подключение и сопровождение сервиса повышения киберграмотности МТС REDДля подключения к сервису клиент заполняет опросный лист с базовой информацией о компании и указанием способа подключения сервиса. Специалисты МТС RED организуют доступ к системе обучения и помогут загрузить в систему список сотрудников компании. По запросу возможно использование защищённого с помощью ГОСТ VPN канала передачи данных.Команда МТС RED формирует необходимые заказчику тренировочные фишинговые рассылки, утверждает их дизайн и целевые группы у клиента. По согласованию с заказчиком формируются триггеры — события в информационных системах компании, при срабатывании которых сотрудникам автоматически назначается то или иное обучение.Ежемесячно компания получает отчёты о прохождении сотрудниками курсов обучения. Также в течение всего срока действия подписки на сервис пользователям доступны все обновления обучающих курсов — не только имеющихся в системе Phishman, но и разработанных сервисной командой МТС RED. Кроме того, сервис включает в себя решение любых задач по администрированию и сопровождению системы повышения киберграмотности сотрудников силами специалистов МТС RED.ВыводыСервис повышения киберграмотности МТС RED на базе системы Phishman имеет простой и удобный пользовательский интерфейс, обладает одним из самых широких на рынке наборов обучающих курсов для сотрудников. Интеграция с центром мониторинга и реагирования на киберинциденты МТС RED SOC, антивирусными и другими решениями по кибербезопасности позволяет компаниям отрабатывать ИБ-навыки своих сотрудников на реальных событиях.Читать далее
  9. Компания ESET (/исэ́т/) — лидер в области информационной безопасности — представляет новые комплексные решения для многоуровневой и мультиплатформенной защиты, которые доступны в виде подписок — ESET HOME Security Essential и ESET HOME Security Premium. Таким образом, пользователи смогут обеспечить еще более мощную защиту устройств домашней сети на всех распространенных операционных системах, включая Windows, macOS, Android и iOS, а также позаботиться о безопасности важных конфиденциальных данных. Кроме того, была усовершенствована платформа управления безопасностью — ESET HOME, которая позволяет просматривать состояние домашних сетей и подключенных смарт-устройств, управлять лицензиями и загружать программы, доступные в рамках подписки. «Мы рады представить новые решения ESET для домашних пользователей. Это больше, чем просто безопасность, это комплексная защита пользователей в современной цифровой среде. Специалисты ESET объединили искусственный интеллект, человеческий опыт и облачную защиту для современной защиты от различных киберугроз. Новые планы подписок ESET обеспечивают многоуровневую защиту конфиденциальности и безопасность устройств домашней сети», — прокомментировала Мария Трнкова, директор по маркетингу ESET. Новые планы подписок и их возможности Теперь домашним пользователям доступны два плана подписок для защиты устройств — ESET HOME Security Essential и ESET HOME Security Premium, которые отвечают потребностям отдельных пользователей и их сетей для обеспечения конфиденциальности и безопасности цифровой жизни. Пользователи ESET HOME Security Essential или ESET HOME Security Premium могут использовать мощную защиту для всех основных операционных систем — Windows, macOS, Android и iOS (но количество одновременно защищенных устройств должно оставаться в рамках подписки!). ESET HOME Security Essential — это план стандартной подписки, который обеспечивает современную и многоуровневую защиту устройств от различных видов угроз в режиме реального времени с помощью следующих модулей: платформа ESET HOME для управления защитой; современная антивирусная защита ноутбуков и компьютеров (на базе операционной системы Windows — с помощью ESET Internet Security, на базе операционной системы macOS — с помощью ESET Cyber Security), смартфонов и планшетов Android (с помощью ESET Mobile Security), а также защита смарт ТВ (с помощью ESET Smart TV Security); родительский контроль (с помощью ESET Parental Control), который позволяет родителям контролировать использование мобильных устройств детьми; защита онлайн-банкинга и безопасный браузер, которые позволяют защищать конфиденциальные данные пользователей при осуществлении онлайн-платежей; расширение для конфиденциальности и безопасности браузера; инспектор сети, который предоставляет информацию о безопасности роутера и подключенных устройствах. Следует отметить, что с выходом обновленных решений были улучшены функции конфиденциальности и безопасности благодаря добавленным расширениям браузера. Кроме этого, пользователям также доступен инструмент очистки, который удаляет файлы cookie, историю и многое другое из браузера, автоматически или по требованию. ESET HOME Security Premium — план премиум-подписки, который обеспечивает еще более мощную защиту ноутбуков и компьютеров с помощью дополнительных модулей. Таким образом, в рамках данной подписки пользователям доступны все модули ESET HOME Security Essential, а также дополнительные уровни защиты ноутбуков и компьютеров (составляющие программы ESET Smart Security Premium): защита информации с помощью шифрования; управление паролями для защиты и хранения паролей и личных данных пользователей, а также для автоматического ввода данных для входа, что экономит время пользователей при заполнении веб-форм; мощное шифрование файлов и сменных носителей, что обеспечивает защиту конфиденциальных данных и предотвращает похищение информации при потере USB-накопителя или ноутбука; инструмент облачной защиты ESET LiveGuard, специально разработанный для обнаружения и обезвреживания неизвестных угроз. Подробнее о планах подписок и сравнение их функций читайте по ссылке. Обновленная платформа для управления безопасностью! Благодаря улучшению платформы ESET HOME пользователям доступны следующие возможности: управление устройствами, покупка, активация и обновление подписок, загрузка или обновление решений по безопасности, а также включение функций, в частности Управление паролями. Кроме того, теперь пользователи смогут просматривать общий уровень безопасности домашней сети, который учитывает состояние действия лицензий и статус защиты устройств, подключенных к учетной записи в трех категориях: «Защищено», «Требуется внимание» и «Предупреждение безопасности». Таким образом, пользователи получают самую современную защиту, тогда как для настройки продукта требуется минимальное взаимодействие. В то же время, новая платформа имеет параметры и функциональные возможности для активных пользователей, которые хотят контролировать и настраивать все самостоятельно. Следует отметить, что ESET HOME доступна для использования в виде веб-портала или мобильного приложения для устройств iOS и Android. Следует отметить, что помимо новых планов подписок пользователям все еще доступна защита отдельных устройств, в частности ноутбуков и компьютеров Windows, смартфонов и планшетов Android, а также программа для родительского контроля и защита смарт-телевизора. Чтобы попробовать новые возможности защиты ESET, перейдите по ссылке. Пресс-выпуск.
  10. «МегаФон ПроБизнес» с 2016 года предоставляет услуги информационной безопасности по модели MSSP (Managed Security Service Provider). Рассмотрим, какие сервисы предлагает компания и какие риски в ИБ минимизирует. ВведениеЗащита от DDoS-атакWAFNGFWЗащита корпоративной почтыКриптозащитаАнализ защищённости ИТ-инфраструктуры7.1. Решения для анализа безопасности ИТ-инфраструктуры7.2. Соответствие нормативным требованиямВыводыВведениеСогласно исследованию «Лаборатории Касперского», 42 % компаний обращаются к поставщикам управляемых ИБ-услуг (MSSP) в связи с нехваткой собственных специалистов по информационной безопасности, ещё столько же — в связи с экономической целесообразностью и необходимостью следования требованиям регуляторов.Согласно выводам из того же исследования, среди главных угроз ИБ следует выделять ненадлежащее использование ИТ-ресурсов сотрудниками компании, атаки с целью вызвать отказ в обслуживании (DDoS), инциденты с поставщиками услуг.Впервые «МегаФон ПроБизнес» начал предоставлять сервис по модели MSSP семь лет назад — это была «Защита от DDoS-атак». Сейчас в портфеле компании уже более 15 решений. Рассмотрим некоторые сервисы и предоставляемую ими помощь в борьбе с обозначенными угрозами.Общий обзор российского рынка и сравнение провайдеров услуг по управлению информационной безопасностью (MSSP) наша редакция проводила ранее.Защита от DDoS-атак«Защита от DDoS-атак» — это сервис мониторинга и защиты сетевой инфраструктуры, веб-ресурсов компании от атак, результатом которых может стать недоступность активов, использующих внешние адреса. Подобные действия могут совершаться с разными целями: для вмешательства конкурентов, шантажа, сокрытия атак другого типа и т. д. Обзор этого сервиса публиковался ранее.Услуга «Защита от DDoS-атак» осуществляет фильтрацию вредоносного трафика и сохраняет доступность сервисов и приложений легитимным пользователям.Сервис построен на базе высокопроизводительного аппаратно-программного комплекса фильтрации, который входит в реестр отечественного ПО и имеет сертификат соответствия от ФСТЭК России. Защита осуществляется на уровнях L3–L7 (от сетевого до уровня приложений), а реакция на атаку может наступить уже через пять секунд. Система способна отражать крупномасштабные атаки объёмом до 300 Гбит/c.Настройка услуги занимает от 15 минут до двух часов в зависимости от сложности, а само подключение может производиться в том числе и под атакой. Выделенная служба мониторинга и реагирования работает круглосуточно и без выходных.Всего под защитой описываемого сервиса находятся более 1100 организаций, включая банки из топ-10, организации из госсегмента и телеком-сектора.WAFУслуга «МегаФон WAF» предназначена для защиты веб-приложений от сетевых атак различных типов, включая вредоносные операции с использованием бот-сетей, атаки на прикладные интерфейсы (API) и эксплуатацию уязвимостей из перечня OWASP Top-10 (наиболее опасные бреши по мнению некоммерческой организации Open Web Application Security Project Foundation).Принцип работы услуги заключается в фильтрации веб-трафика программным комплексом межсетевого экранирования уровня приложений, установленном в «МегаФон Облаке» или в инфраструктуре клиента (on-premise). В случае обнаружения вредоносного трафика, попыток взлома приложений, кражи информации или чрезмерного потребления ресурсов серверных платформ такие попытки блокируются, а в приложения передаются только легитимные запросы.NGFWМежсетевой экран следующего поколения (NGFW) от «МегаФона» защищает информационные ресурсы от компьютерных атак, обеспечивает безопасный удалённый доступ по VPN и фильтрует интернет-запросы пользователей. Для этого используются модули предотвращения вторжений, антивирусной проверки, инспекции трафика и другие.NGFW предоставляется из «МегаФон Облака» или устанавливается в собственную инфраструктуру компании.Защита корпоративной почтыУслуга «Защита корпоративной почты» предназначена для очистки почтового трафика от спама, фишинга и вредоносных программ. Принцип действия заключается в перенаправлении почтового трафика через фильтрующие узлы путём перенастройки MX-записи в базе DNS-регистратора домена. Решение позволяет гибко настраивать все функции безопасности, в том числе и исключения для входящего почтового трафика.КриптозащитаВ рамках услуги «Криптозащита» шифруется вся информация, передаваемая по открытым каналам связи. Это позволяет обеспечивать конфиденциальность данных даже в случае их перехвата злоумышленниками.Шифрование передаваемого трафика выполняется с использованием современных российских криптографических алгоритмов на высокопроизводительном криптооборудовании ведущих производителей. Сервис позволяет организовать защищённое взаимодействие между географически удалёнными объектами в любых регионах России и выполнить требования регуляторов и российского законодательства. В рамках услуги «Криптозащита» используются СКЗИ (средства криптографической защиты информации), сертифицированные ФСБ России.Анализ защищённости ИТ-инфраструктуры«МегаФон ПроБизнес» предоставляет широкий спектр услуг по анализу защищённости ИТ-инфраструктуры, которые можно условно разделить на практическую безопасность и соответствие нормативным требованиям.Решения для анализа безопасности ИТ-инфраструктурыВ рамках услуг по анализу практической безопасности компания осуществляет поиск уязвимостей и ошибок в процессах обеспечения ИБ, которыми могут воспользоваться злоумышленники для совершения кибератак. «МегаФон ПроБизнес» предоставляет шесть услуг, направленных на выявление проблем связанных с уязвимостями и потенциальных инцидентов в ИБ.Объектами анализа могут быть внутренняя и внешняя инфраструктура, мобильные и веб-приложения, сети Wi-Fi, сотрудники (социотехнические тестирования), системы дистанционного банковского обслуживания (ДБО), автоматизированные системы управления технологическим процессом (АСУ ТП), бизнес-приложения (ERP, CRM) и другие. При проведении анализа защищённости описываются границы работ и модели нарушителей, составляется список выявленных уязвимостей и ошибок в бизнес-логике, разрабатываются подробные рекомендации по устранению выявленных уязвимостей. Также эксперты «МегаФон ПроБизнеса» дают общее заключение об уровне защищённости инфраструктуры и предоставляют рекомендации по его повышению.Тестирование на проникновение (пентест) помогает найти критические уязвимости. Команда «МегаФон ПроБизнеса» оценивает устойчивость инфраструктуры в случае вторжения злоумышленника и выявляет возможную глубину продвижения вглубь системы. Анализ защищённости используют для определения общего уровня безопасности инфраструктуры. Определяется максимальное количество уязвимостей, через которые может быть совершено вторжение злоумышленника без продвижения вглубь инфраструктуры. Во время командной имитации реальных кибератак (Red Teaming) проверяется работа технической защиты и команды ИБ, оцениваются скорость и эффективность реагирования на различные угрозы. Услуга реагирования на инциденты в ИБ включает в себя пакет сервисов по оперативному реагированию или расследованию уже случившихся инцидентов, а также подключение команды экспертов «МегаФон ПроБизнеса» для устранения последствий кибератак и проведения компьютерной криминалистической экспертизы (форензики). Преимуществом пакетного подхода является то, что если к концу срока там остались неиспользованные часы, то их можно потратить на другие виды активности. Аудит в формате «As Is / To Be» — это комплексное изучение уровня ИБ и процессов управления ИТ-инфраструктурой: оценка процессов, выявление и описание проблемных зон, выдача рекомендаций по их устранению с предоставлением дорожной карты и бюджетной оценки модернизации СУИБ и системы управления ИТ-процессами, анализ существующей архитектуры инфраструктуры и средств информационной безопасности, предоставление рекомендаций по настройке элементов инфраструктуры (харденинг). В рамках аудита и построения процессов безопасной разработки (SSDLC) команда «МегаФон ПроБизнеса» исследует конвейер разработки, адаптирует методологии и процессы для трансформации и перехода к безопасной разработке ПО.Соответствие нормативным требованиямАнализ соответствия нормативным требованиям может включать в себя несколько направлений. Для субъектов КИИ производятся обследование, категорирование и проектирование системы защиты значимых объектов критической информационной инфраструктуры и реализация системы защиты в соответствии с требованиями закона № 187-ФЗ. В связи с регулярно озвучиваемыми планами по увеличению штрафов за утечки персональных данных, услуга анализа и оценки соответствия требованиям закона № 152-ФЗ «О персональных данных» поможет понять, какие риски для бизнеса существуют в реалиях компании. Ещё одна услуга, оказываемая провайдером, — аттестация ГИС по требованиям ФСТЭК России, необходимая, в частности, для государственных информационных систем.ВыводыСервисы, предоставляемые «МегаФон ПроБизнесом» по модели MSSP, востребованны по нескольким причинам: они позволяют компаниям строить эффективную информационную защиту, экономить на капитальных инвестициях в собственную инфраструктуру и фонд оплаты труда, не тратить время на подбор квалифицированного персонала и его адаптацию под применяемые СЗИ, своевременно получать квалифицированную экспертизу от команды провайдера.Команда «МегаФон ПроБизнеса» регулярно участвует в программах поиска уязвимостей за вознаграждение (Bug Bounty) и обладает рядом профильных сертификатов, таких как CEH, CHFI, CND, MCSE, EXIN, OSCP, CISSP. Имеется опыт внедрения процессов ИБ и участия в расследовании инцидентов. При необходимости оперативная команда провайдера выезжает на место инцидента с целью поиска улик, которые могут понадобиться для дальнейшего расследования.Реклама. Рекламодатель ПАО «МЕГАФОН», ИНН 7812014560, ОГРН 1027809169585 от 15 июля 2002 г.LdtCKW8PDЧитать далее
  11. Домашние антивирусы для macOS были обновлены до версии 7.4.1600.
  12. 26 октября Positive Technologies выпустила новую версию системы MaxPatrol SIEM — 8.0. Нововведения в продукте позволяют гарантированно выявлять попытки нарушения киберустойчивости компаний и инциденты в ИБ, ведущие к реализации недопустимых событий. ВведениеУпрощение работы аналитиков (Analyst Experience)2.1. Новый модуль BAD с машинным обучением2.2. Обновлённая карточка события2.3. Перекрёстные поисковые запросы и реагирование из карточки события2.4. Повышение удобства работы с PDQL2.5. Просмотр связанных корреляционных событий2.6. GeoIP: определение местоположения узлов по IP-адресуСкорость обработки — свыше 540 000 EPSДвукратная оптимизация ресурсовВыводыВведениеВ MaxPatrol SIEM 8.0 мы увеличили скорость обработки инцидентов операторами — за счёт того, что появилась новая подсистема поддержки принятия решений Behavioral Anomaly Detection (BAD), основанная на машинном обучении (ML). Также обновлена карточка события, которая позволяет просматривать связанные корреляционные феномены, проверять потенциально опасные артефакты и реагировать без переключения между интерфейсами разных продуктов. При этом скорость обработки превысила 540 000 событий в секунду, а ресурсов теперь требуется в два раза меньше, чем раньше.Упрощение работы аналитиков (Analyst Experience)По данным Forrester, аналитики центра мониторинга (SOC) посвящают основную часть времени не своим прямым задачам — расследованию инцидентов и реагированию на них, — а тому, чтобы преодолеть сложности использования инструментов ИБ. Одно из фокусных направлений развития MaxPatrol SIEM — упрощение деятельности аналитика (analyst experience, AX). Глобальная задача состоит в том, чтобы пользователь без опыта работы с системами этого класса смог быстро разобраться в продукте и обеспечивать с его помощью результативную кибербезопасность. Рисунок 1. Структура AX Совершенствование AX в MaxPatrol SIEM затрагивает сразу несколько аспектов: экспертизу, которая помогает без дополнительных вложений и доработок начать выявлять инциденты уже во время пилотного тестирования,технологии машинного обучения, берущие на себя рутинную работу аналитика (например, пометить похожие события как ложноположительные, написать похожие запросы) и помогающие принимать решения,оптимизацию интерфейса, позволяющую выявлять, расследовать инциденты и реагировать на них в едином окне.Специалисты нашего экспертного центра кибербезопасности PT Expert Security Center (PT ESC) и исследователи Positive Technologies постоянно изучают новые угрозы и регулярно передают данные о способах их выявления в единую базу знаний PT Knowledge Base в виде пакетов экспертизы. Кроме того, мы постоянно совершенствуем механизмы работы с базой знаний. В новой версии, например, установка и обновление правил нормализации и агрегации для облегчённой версии компонента MaxPatrol SIEM Server теперь происходят автоматически.Новый модуль BAD с машинным обучениемКак мы уже упоминали, в новой версии продукта появилась подсистема поддержки принятия решений на основе технологий машинного обучения — BAD (Behavioral Anomaly Detection). Этот модуль помогает оператору SOC принять решение с опорой не только на срабатывания правил корреляции, но и на альтернативное мнение о поведении объектов, связанных с событием. BAD выставляет оценку риска (risk score) от 0 до 100 на основании результатов работы порядка 30 моделей машинного обучения, основанных на более чем двадцатилетнем опыте изучения поведения злоумышленников во время атаки.Нагляднее — в нашем видео: Модуль BAD предоставляет больше контекста и информации о происходящем, поэтому его можно назвать интеллектуальным помощником, системой «второго мнения», помогающей сократить время на принятие решения.При этом инструмент для жёсткого профилирования в MaxPatrol SIEM также присутствует. Подробнее о нём можно прочитать здесь.Обновлённая карточка событияЦелый ряд изменений затронул работу с настраиваемыми карточками событий. Чтобы аналитик мог сконцентрироваться на наиболее важных деталях, мы упростили доступ к данным о субъекте, объекте, отправителе, получателе и источнике события, а также изменили внешний вид карточек нормализованных и корреляционных событий. Рисунок 2. Карточка события В новой версии можно изменить отображение карточки события с учётом требований конкретного пользователя и настроить удобный набор визуализируемых полей с гранулярностью PDQL-фильтра. Напомним, что PDQL (Positive Data Query Language) — это язык, разработанный в Positive Technologies для написания запросов к базе знаний при обработке событий, инцидентов, динамических групп активов и табличных списков.Перекрёстные поисковые запросы и реагирование из карточки событияВ MaxPatrol SIEM 8.0 можно отправлять поисковые запросы в сторонние системы и сервисы прямо из карточки события. На данный момент поддерживаются MaxPatrol EDR, PT Network Attack Discovery (PT NAD), RST Cloud, Spur, Whois7, VirusTotal, IP-API, AbuseIPDB, PT Threat Analyzer и др. MaxPatrol SIEM можно использовать совместно с MaxPatrol EDR. Таким образом помимо расширенных возможностей для фильтрации и группировки событий мы обеспечиваем реагирование на инциденты непосредственно со страницы события. Это существенно сокращает время реакции операторов и позволяет быстрее останавливать атаки. Рисунок 3. Реагирование на инцидент Повышение удобства работы с PDQLДля написания запросов в MaxPatrol SIEM 8.0 не нужно изучать документацию. В новой версии PDQL-запросы для фильтрации и группировки событий можно копировать и передавать как обычный текст. Например, чтобы передать запрос другому оператору, достаточно скопировать текст запроса и переслать его по электронной почте или в мессенджере.Для повышения удобства работы с запросами в скором времени появится подсветка синтаксиса PDQL в поле фильтра событий, а также конструктор условий с возможностью автозаполнения.Просмотр связанных корреляционных событийВ MaxPatrol SIEM 8.0 стало легче работать с инцидентами благодаря проверке гипотез. Просмотр связанных корреляционных событий повышает скорость обработки инцидентов. Аналитик может быстро перейти из дерева гипотез на интересующее его событие. Рисунок 4. Работа с деревом гипотез GeoIP: определение местоположения узлов по IP-адресуАктуальное обновление в настоящее время — это определение местоположения узлов по IP-адресу. В MaxPatrol SIEM 8.0 можно настроить обогащение событий данными GeoIP, дополнив информацию о событии уникальным номером (ASN), данными о городе, стране и организации, которым принадлежат узел-источник и узел назначения. Рисунок 5. Статистика по GeoIP Рисунок 6. Использование данных GeoIP Скорость обработки — свыше 540 000 EPSПроизводительность MaxPatrol SIEM продолжает увеличиваться, чтобы мониторинг энтерпрайз-уровня обеспечивался при самых высоких нагрузках. Скорость мониторинга выросла в девять раз: MaxPatrol SIEM 8.0 может обрабатывать более 540 000 событий в секунду (events per second, EPS) на одном ядре с полным набором экспертизы. Добиться такого результата удалось в том числе за счёт архитектурных возможностей: горизонтальное масштабирование позволяет подключать несколько конвейеров к одному ядру.Двукратная оптимизация ресурсовНайти подходящее оборудование — сегодня по-прежнему нетривиальная задача. Мы стремимся оптимизировать требования к аппаратным мощностям.Например, для развёртывания системы MaxPatrol SIEM 8.0, которая обрабатывает до 5000 EPS, требуется в два раза меньше виртуальных процессоров (vCPU) и вдвое меньше оперативной памяти, чем в предыдущих версиях. Начиная с версии MaxPatrol 7.0 можно использовать СУБД LogSpace, разработанную нашими специалистами. По эффективности она превосходит опенсорсные аналоги как минимум в два раза. Рисунок 7. Руководство по масштабированию Новое руководство по масштабированию можно посмотреть здесь.ВыводыЕсли описывать MaxPatrol SIEM 8.0 одним словом, то это — «результативность». Во-первых, MaxPatrol SIEM может обеспечивать мониторинг событий на огромных инсталляциях и требует в два раза меньше ресурсов, чем раньше. Во-вторых, новый ML-помощник BAD предоставляет альтернативный метод оценки событий, помогая аналитику держать фокус на самом важном. И, в-третьих, за счёт просмотра связанных корреляционных событий, проверки потенциально опасных IP-адресов, доменов и файлов, а также благодаря возможности реагирования из единого окна мы повышаем скорость обработки инцидентов.Если вы хотите протестировать функции MaxPatrol SIEM 8.0, заполните короткую форму на сайте.Если вы уже пользуетесь MaxPatrol SIEM, для обновления до последней версии обратитесь в техническую поддержку или к вашему интегратору — партнёру Positive Technologies.Любые вопросы по продукту можно обсудить в официальном телеграм-чате: t.me/MPSIEMChat.Реклама. Рекламодатель АО «Позитив Текнолоджиз», ИНН 7718668887, ОГРН 1077761087117LdtCKNgpUЧитать далее
  13. Start EDU — платформа, которая помогает командам разработки научиться писать код без уязвимостей. Учебные модули подбираются автоматически на основе знаний разработчиков и характеристик продукта, над которым они работают. Интеграция с Jira помогает встроить обучение в рабочий процесс. ВведениеОписание Start EDUОтличия Start EDU от обычных онлайн-курсовКак устроено обучениеТемы обучающих юнитов Start EDUКакие языки программирования поддерживаютсяДополнительные возможности продукта Start EDUКак продуктовой команде подбирается курсКак внедрить Start EDU в работу командыОценка знаний, которые получил разработчикВыводыВведениеПродуктовым командам важно думать об информационной безопасности уже на этапе проектирования архитектуры и написания кода, потому что стандартные инструменты вроде SAST или DAST не могут выявить все потенциальные уязвимости и в любом случае делают это слишком поздно — когда код уже написан.Разрешить это противоречие может обучение безопасной разработке. Но классические курсы не «заточены» под задачи продуктовых команд, само обучение — неструктурированное и скучное, а главное — непонятно, как оценить его эффективность.Чтобы решить эту проблему, команда Start X (бывший «Антифишинг») выпустила продукт Start EDU. Это платформа интерактивного обучения, которая поможет продуктовым командам писать код без уязвимостей, а специалистам по безопасности приложений — кратно снизить риски компрометации систем и клиентских данных.В обзоре мы подробнее рассмотрим, как устроена платформа Start EDU.Описание Start EDUStart EDU помогает разработчикам научиться писать безопасный и качественный код с минимальным отвлечением от рабочих задач.Как это работает:Система проверяет навыки каждого разработчика через тестирование и автоматически составляет карту его компетенций.Руководитель продуктовой команды заполняет анкету, в которой указывает характеристики создаваемого ПО и распределяет разработчиков по командам.На основе этих данных платформа автоматически подбирает обучающие модули под уровень знаний разработчика и его рабочие проекты.Отличия Start EDU от обычных онлайн-курсовЕсть несколько особенностей, которые отличают обучение в Start EDU от типовых курсов по безопасной разработке.Учебные модули построены исходя из проектных задач каждого разработчика в команде. Основная цель — минимизировать количество времени и сил, которые разработчик потратит на обучение. Для этого в обязательных учебных модулях должна быть только та информация, с которой разработчик сталкивается в своей реальной деятельности.Прежде чем подобрать курс, платформа тестирует имеющиеся знания и навыки разработчика, а также анализирует характеристики ПО, с которым он работает в команде. После этого ему автоматически подбираются модули, которые нужно пройти в первую очередь, чтобы закрыть эти потребности.Так можно избежать классического подхода к обучению, когда на всех разработчиков компании массово назначается одинаковый набор курсов, но в реальной работе они не знают, как сделать продукт безопасным. Рисунок 1. Процесс разработки, в котором обучение по безопасности не учитывает специфики проектов Теория основана на экспертных знаниях и практике. Теория в обучении — всегда проблемная часть, потому что информация обычно не привязана к реальной работе специалистов и даёт только поверхностное понимание изучаемой темы. В Start EDU решили эту проблему: на основе личной карты компетенций разработчика платформа предложит ему учебные модули, информацию из которых он сразу сможет использовать в своих рабочих проектах. При этом каждый теоретический блок даёт полную информацию по изучаемой теме.Например, если говорить о безопасной работе с зависимостями, то в учебном модуле будет не общая теория, а конкретные кейсы, которые показывают векторы угроз для разработчиков, имеющих дело с этими зависимостями. Платформа учитывает реальный контекст и старается понятными разработчику терминами и ситуациями описывать эту уязвимость. Рисунок 2. Пример теории из учебного модуля по безопасной работе с зависимостями После теоретической части разработчик проходит тест (квиз) на реальных примерах, чтобы проверить свои знания. Рисунок 3. Процесс разработки, в котором обучение по безопасности учитывает специфику проектов Как устроено обучениеКаждый курс состоит из тем (юнитов) с актуальной теорией, обязательными примерами из реальной среды и проверочными заданиями, которые основаны на историях уязвимых приложений.Юнит — это специальный формат обучающего контента, который используется на платформе. Юниты написаны и построены таким образом, что будут полезны и интересны любому разработчику — специалисты сами выбирают, какие разделы изучать, в зависимости от своего уровня. Рисунок 4. Процесс создания юнита на платформе Среднее время прохождения юнита:Теория — 30–60 минут.Квиз — 10–15 минут, 3–5 заданий.Практика — 15–25 минут.Теоретическая часть описана «общим» языком, который понятен любому разработчику. В ней есть разделы «Зачем этот курс», «Как происходит атака». В разделах, где приводятся примеры кода, разработчики могут выбрать тот язык, на котором они хотят увидеть пример, и затем использовать полученные знания в работе.Квизы с проверочными вопросами, как и теория, основаны на реальных примерах. Примеры доступны на восьми языках. Рисунок 5. Пример проверочного вопроса в квизе В практике разработчикам нужно выполнять задания на поиск уязвимостей в приложениях — выбрать правильные варианты реализации защиты. Рисунок 6. Задание на поиск уязвимостей в приложении в формате ревизии кода (код-ревью) Темы обучающих юнитов Start EDUВ курсе 11 модулей, они охватывают основные темы по информационной безопасности:Защита от подделки межсайтовых запросов (CSRF).Работа с идентификационными файлами (cookie) и HTTP-заголовками.Защита от атак на XML-серверы (XXE).Кодирование и экранирование при работе с браузерами (XSS).Предотвращение манипуляции именами файлов и каталогов (Path Manipulation).Безопасная работа с зависимостями в коде.Работа с SQL.Предотвращение небезопасного прямого доступа (Insecure Direct Object Reference).Обработка входных данных.Работа с секретами (пароли, ключи, токены).Безопасная настройка Kubernetes.Какие языки программирования поддерживаютсяStart EDU даёт актуальную теорию и практику на 7 языках программирования (Java, Python, PHP, SQL, C#, Go, JavaScript) и на языке разметки HTML.Дополнительные возможности продукта Start EDUМасштабируемость на любое количество пользователей.Назначение баллов пользователю за пройденное обучение.Создание, добавление и назначение собственных обучающих материалов.Как продуктовой команде подбирается курсШаг 1. Оценка знаний и навыковStart EDU выявит навыки разработчиков через тестирование и автоматически составит матрицу их компетенций. Это позволит понять, что люди умеют, знают и понимают в безопасной разработке сейчас.Знания проверяются с помощью бесплатного публичного теста Security Champion, который основан на базе реальных кейсов по взлому приложений. В тесте 20 заданий по пяти темам, по каждой из них разработчик получает оценку. Рисунок 7. Личная карта компетенций сотрудника Шаг 2. Определение характеристик продуктаРуководитель (тимлид) заполняет анкету приложения, которым занимается его команда. На основе этой анкеты строится карта архитектуры продукта, по которой станет понятно, что сейчас важнее всего изучить разработчикам.На этом этапе можно добавить всех пользователей на платформу через Active Directory и распределить их по проектам. Рисунок 8. Карта архитектуры продукта, построенная на основе заполнения анкеты Шаг 3. Автоматический подбор обучающих модулей на основе знаний разработчиков и характеристик продуктовПосле тестирования разработчиков и картографирования архитектуры продукта Start EDU автоматически подбирает обучающие модули. Какие-то из них будут обязательными для этого проекта, какие-то — факультативными. В результате получится понятный план по обучению на основе реальных проектов продуктовой команды.Как внедрить Start EDU в работу командыЕсть несколько способов внедрить Start EDU так, чтобы это помогало решать реальные задачи безопасности.Интеграция с Jira. На этапе разработки, когда уже есть команда и она делает функции продукта, платформа может назначить обучение через Jira как задачу. В этом случае обучение выглядит не как внешнее дополнительное поручение, а как обычная рабочая задача, которую нужно закрыть.Ускоренное прохождение точек проверки (security gate). Во время релиза код проверяют сканеры — по их отчётам специалист по безопасности понимает, какие потенциальные уязвимости в коде нужно исправить. Отчёт может состоять из десятков замечаний, которые программист должен взять в работу. Проблема — в том, что сканирование только указывает на замечания, не всегда понятно, как их исправить. На этом этапе можно подключить Start EDU: платформа получит замечания, проанализирует их и даст рекомендации, как их исправить и что нужно изучить по теме.Подход «сдвиг влево» (shift left security). Start EDU можно внедрить уже на этапе требований к команде продукта. Допустим, команда будет делать мобильное приложение. Тогда уже известны потенциальные релевантные векторы угроз и платформа на раннем этапе сможет назначить обучение, чтобы разработчики понимали, как делать те или иные вещи в контексте безопасности. Это позволит на ранних этапах выявлять угрозы и уязвимости.Оценка знаний, которые получил разработчикВ Start EDU можно отслеживать статус обучения по проектам, командам и разработчикам в настоящем времени.Как это выглядит, показано на иллюстрациях далее. Рисунок 9. Личная карта компетенций Рисунок 10. Проектная карта компетенций Рисунок 11. Рейтинг сотрудников Карты компетенций и рейтинг сотрудников показывают, кто и с какими результатами проходит обучение. Также с их помощью можно узнать, в каких вопросах больше всего проблем с точки зрения обучения, какие темы проседают, и на этом основании, к примеру, назначать код-ревью.Ещё один способ проанализировать результаты обучения — провести входное и выходное тестирование с помощью бесплатного публичного теста Security Champion. Можно брать случайную выборку сотрудников, замерять их результаты в начале обучения и в его конце. Так команды безопасности наглядно увидят, каков прогресс у разработчиков и в каких темах они углубили свои знания.Всё это повышает культуру безопасности и учит писать качественный и безопасный код.ВыводыНа новой платформе Start EDU обучение становится для разработчиков интересным, эффективным и применимым на практике. Это возможно благодаря следующим особенностям:Обучение проводится с учётом специфики проекта и продукта.Прохождение курса встраивается в рабочие задачи команды.Практика учитывает разные языки программирования.После обучения можно оценить компетенции команды и каждого разработчика по отдельности.Получить демонстрацию Start EDU для своей команды можно по запросу на сайте вендора.Реклама. Рекламодатель ООО «Антифишинг», ИНН 6950191442, ОГРН 1166952058680LdtCKBgUyЧитать далее
  14. Для домашних антивирусов ESET 16-й версии установлена ограниченная поддержка.
  15. В обновлённом релизе корпоративного менеджера паролей «Пассворк 6.0» представлен ряд улучшений для более гибкой и комфортной совместной работы с паролями, оптимизированы пользовательский интерфейс и раздел настроек, усилена безопасность. ВведениеКогда будет полезен менеджер паролей «Пассворк»Функциональные возможности «Пассворк»3.1. Сейфы и папки3.2. Работа с паролями3.3. Управление пользователями и безопасность3.4. Прочие возможности и особенностиНовые возможности «Пассворк 6.0»4.1. Ярлыки4.2. Безопасная отправка паролей4.3. Оптимизация работы с LDAP4.4. Управление настройками4.5. Прочие улучшенияВыводыВведениеЦифровизация жизни современного человека привносит в повседневность удобство и комфорт, экономит время. Множество различных веб-сервисов и приложений для работы, спорта, здоровья, шопинга и т. п. рано или поздно накапливаются у каждого пользователя, и наступает момент упорядочить хаос доступов в удобную структуру. А если речь заходит о бизнесе или госсекторе, то важнейшими атрибутами становятся безопасность и возможность коллективной работы с конфиденциальными данными.Настанет день, когда придётся задаться простым вопросом: где хранить сотни корпоративных паролей и как ими делиться с коллегами?Единственным на данный момент продуктом подобного типа, внесённым в реестр Минцифры России, является корпоративный менеджер паролей «Пассворк», который начал свой путь ещё в 2014 году и за прошедшее время завоевал симпатии сотен компаний.«Пассворк» упрощает совместную работу с доступами к корпоративным сервисам и обеспечивает при этом необходимую безопасность.Парольные данные в «Пассворк» зашифрованы, хранятся строго на серверах клиента, не выгружаются в облако и не передаются наружу. Отдел ИБ управляет правами пользователей, контролирует все действия с паролями и проводит аудит безопасности.Необходимые доступы к корпоративным ресурсам всегда находятся у сотрудника под рукой: «Пассворк» представлен не только в виде удобной веб-платформы, но и в качестве мобильного приложения (Android, iOS), а также расширения для браузера (поддерживаются Chrome, Firefox, Edge, Safari).Когда будет полезен менеджер паролей «Пассворк»Допустим, компанию покинул работник — службе безопасности необходимо знать, какие пароли к каким сервисам необходимо изменить. Если, наоборот, в компанию поступил новый человек, то необходимо оперативно выдать доступ к ресурсам с учётом рисков испытательного срока. Менеджер паролей для бизнеса «Пассворк» позволяет экономить время в рутинных делах, удобно организовывая безопасную работу с паролями в компании.Зачастую доступ к самым ценным данным есть у ограниченного круга сотрудников. В случае когда важный работник отдела не на связи, а логин и пароль к нужному ресурсу по той или иной причине находятся только у него, корпоративные данные рискуют оказаться заблокированными. «Пассворк» позволяет организовать контролируемый доступ к важным данным компании без задержек для бизнеса, при этом снижая риски в информационной безопасности.В случае роста компании и увеличения штата администраторов в «Пассворк» безопасно устроена совместная работа с базой паролей, что усиливает киберзащиту, исключая утечки данных из внешних облачных хранилищ.Рабочих сценариев, когда «Пассворк» экономит время и оказывается полезным, множество. Помимо корпоративной безопасности парольный менеджер ориентирован на удобство в рутинных задачах, что делает его важным инструментом сотрудников на каждый день.Предлагаем рассмотреть возможности и взглянуть на интересные решения актуальной на этот момент версии корпоративного менеджера паролей «Пассворк» — 6.0.Функциональные возможности «Пассворк»Сейфы и папкиИспользуя принцип защищённых контейнеров (сейфов), «Пассворк» хранит пароли в зашифрованном виде на сервере организации. Рисунок 1. Зашифрованное хранилище паролей (сейф) Сейф может содержать как пароли, так и вложенные папки. Папка тоже является контейнером и позволяет структурировать пароли в рамках сейфа, объединяя тематически схожие кодовые слова в удобные иерархические структуры.«Пассворк» поддерживает два типа сейфов: доступ в личный сейф есть только у его владельца, доступ к сейфам организации определяется политикой доступа.256-битный мастер-пароль ограничивает доступ к каждому сейфу и автоматически генерируется случайным образом при создании хранилища. Криптографический алгоритм (ГОСТ или AES-256, на выбор администратора) отвечает всем современным требованиям по безопасности. Рисунок 2. Импорт данных в сейф «Пассворк» Поддерживается возможность импортировать пароли в сейф из файлов CSV, JSON или в формате KeePass XML.Администратор может создать, переименовать, удалить сейф или просмотреть историю действий с ним, а также добавить или удалить пользователя, просмотреть права доступа к сейфу. Рисунок 3. Добавление пользователя в папку Ролевая модель позволяет удобно разграничить права доступа работников компании к сейфам на этапе добавления пользователя.Работа с паролямиПароли можно редактировать, копировать в буфер или отправлять другому пользователю системы. Есть история действий с паролями для отслеживания всех редакций. Рисунок 4. Добавление нового пароля в «Пассворк» При добавлении новых реквизитов доступа необходимо заполнить ряд стандартных полей, а также активировать дополнительные опции, если нужно — например, добавить поле для секрета двухфакторной аутентификации или указать тег для дополнительной категоризации.Нельзя не отметить, что разработчики удобно внедрили опцию генерации паролей в одноимённое поле. По щелчку можно быстро сгенерировать пароль с учётом всех требований по сложности и безопасности.История изменений пароля отображается на вкладке «История действий», рядом на вкладке «Редакции» можно откатиться к предыдущим версиям пароля.Поле «Поиск» позволит найти строки во всей базе с учётом прав доступа. Рисунок 5. Поиск по базе доступов в «Пассворк» Здесь же можно быстро отфильтровать данные по цветовым меткам или тегам.«Пассворк» позволяет безопасно поделиться паролем с конкретным сотрудником напрямую, отправив пароль в личные сообщения. Рисунок 6. Личные доступы в «Пассворк» У владельца сохраняется контроль над паролем, все изменения будут отображаться у всех сотрудников, с кем пользователь поделился данными.Также возможно безопасно передать пароль в виде URL любому человеку за пределы «Пассворк» (но в пределах периметра сети компании), создав одноразовую ссылку или ссылку со сроком жизни.Управление пользователями и безопасностьКак мы отметили выше, в «Пассворк» реализована гибкая ролевая модель: каждому пользователю назначаются определённые уровни доступа к паролям. Рисунок 7. Управление пользователями в «Пассворк» По каждому пользователю представлено своего рода досье: роль, сейфы, активные доступы, статус, настройки, последние действия. Здесь же можно деактивировать, отредактировать и удалить учётную запись, сбросить её пароль, настроить права и применить роль. В один щелчок деактивированный пользователь лишается доступа ко всем паролям организации.Для регистрации нового пользователя в системе администратор в ручном режиме создаёт новый аккаунт или генерирует ссылку-приглашение для самостоятельной регистрации, после которой потребуется подтверждение от администратора (лично или через специальный код). Рисунок 8. Панель безопасности в «Пассворк» В сводной панели администраторы могут обзорно оценить текущее состояние системы. «Пассворк» собирает все события и метаданные, которые связываются с паролями, и на базе анализа даёт заключения и рекомендации.Панель интерактивна, можно по наведению курсора получить подсказку о рисках и статусе, быстро внести необходимые изменения, по щелчку переходя в соответствующий раздел. Рисунок 9. История действий в «Пассворк» Полезная функция для проведения аудита безопасности или расследований — запись всех действий пользователей и администраторов в системе. История действий может быть экспортирована по протоколу Syslog в комплексы управления событиями (SIEM).Прочие возможности и особенностиОбзорно отметим наиболее важные особенности «Пассворк»:Устанавливается на локальные серверы, все данные шифруются, доступ и контроль осуществляет только заказчик.Гибкое управление пользователями и правами.Поддержка Active Directory / LDAP позволяет проводить авторизацию в среде «Пассворк» по соответствующему протоколу.Поддержка прикладного интерфейса (API) для более богатого обмена данными с инфраструктурой компании.Поддержка сквозного входа (SAML SSO) и двухфакторной аутентификации благоприятна для безопасности и экономит время.Открытый исходный код позволяет провести аудит на предмет уязвимостей или нелегитимных функций.Полностью российский продукт, входит в единый реестр российского ПО.Поддерживает кластеризацию и позволяет организовать отказоустойчивую инфраструктуру.Гибкое лицензирование удовлетворит потребности компании на любом этапе роста.Сертифицированный партнёр Astra Linux и «РЕД СОФТ».Простой интерфейс и быстрая интеграция в любую ИТ-инфраструктуру.Поддержка алгоритмов шифрования ГОСТ открывает возможности для внедрения «Пассворк» в государственном секторе и отвечает политике импортозамещения.Качественный портал с документацией и оперативная техподдержка.Расширение «Пассворк» для браузера является полноценным приложением для работы с паролями, которое включает в себя следующие функции: доступ ко всем паролям, автоматическое сохранение данных и заполнение форм аутентификации, добавление и редактирование паролей, поиск, генератор паролей, блокировка расширения ПИН-кодом. Рисунок 10. Вид мобильной версии менеджера паролей «Пассворк» Мобильная редакция «Пассворк» поддерживает все ключевые возможности настольной версии и гарантирует, что важные данные компании защищены и находятся всегда под рукой у сотрудника.Новые возможности «Пассворк 6.0»В «Пассворк 6.0» расширены возможности совместной работы с паролями, усилена безопасность действий администраторов, улучшено управление LDAP, добавлены новые уведомления и в целом оптимизирован интерфейс, что делает взаимодействие с программным комплексом ещё более удобным в повседневной корпоративной рутине.ЯрлыкиЕщё один способ быстро предоставить дополнительный доступ к паролю — создать ярлык. Теперь нет необходимости дублировать пароли в разных сейфах, достаточно создать несколько ярлыков в нужных директориях, и команда получит доступ к паролю. Рисунок 11. Дополнительный доступ к паролю через ярлык в «Пассворк» В случае смены пароля коллеги будут в курсе всех изменений: в зависимости от настроек ролевой модели пользователи имеют возможность просматривать или редактировать данные через ярлык.Безопасная отправка паролейТеперь, когда администратор выдаёт доступ к паролю (через «Входящие» или ярлык), пользователю предоставляется доступ непосредственно к кодовому слову без выдачи «частичного доступа» в сейф. Рисунок 12. Отправка пароля сотруднику в «Пассворк» Такой подход повышает общую безопасность системы и усиливает контроль доступа как к сейфам, так и к определённым паролям.Оптимизация работы с LDAPРазработчики изменили интерфейс раздела LDAP в «Пассворк» и переосмыслили логику управления пользователями: добавлять новые учётные записи посредством протокола LDAP стало проще и безопаснее, особенно если активировано клиентское шифрование.Теперь при первом входе в систему работник самостоятельно устанавливает мастер-пароль и после этого администратор подтверждает добавление нового пользователя. Рисунок 13. Добавление нового пользователя из LDAP в «Пассворк» Добавление новых пользователей из AD происходит через отдельное модальное окно, а зарегистрированные ранее представлены на вкладке «Пользователи». Все данные обновляются в фоновом режиме.Важно отметить, что «Пассворк 6.0» отображает больше данных о группах безопасности: те, которые связаны с ролями или не подгрузились после обновления, помечаются соответствующими тегами. Так администратор видит, что необходимо изменить настройки поиска или удалить группу из списка, плюс это даёт информацию о том, какие именно пользователи входят в состав каждой группы безопасности.Управление настройкамиВендор доработал раздел настроек: переосмыслил логику и привёл всё к единому визуальному стилю. Рисунок 14. Оптимизированные системные настройки в «Пассворк» В настройках системы на вкладке «Глобальные» все, у кого есть соответствующий уровень доступа к сейфу (права на редактирование и выше), могут создавать ссылки на пароли и отправлять их другим пользователям «Пассворк».В «Пассворк 6.0» любые изменения в настройках необходимо подтверждать для устранения рисков от случайных действий; для этого добавлены кнопки «Сохранить» и «Отменить изменения» в системных настройках.Также сотрудники теперь могут самостоятельно настроить индивидуальный тайм-аут для выхода из системы; администраторы задают только максимальную длительность сеанса при неактивности.Администраторы могут разрешить пользователям самостоятельно выбирать язык интерфейса.Прочие улучшенияВ контексте оптимизации интерфейса в «Пассворк 6.0» доработали перетаскивание: теперь система предлагает действия на выбор (переместить, копировать или создать ярлык). Рисунок 15. Улучшенный интерфейс при перетаскивании Также выделим из улучшений:Отдельные окна для доступа в сейф и дополнительного доступа. Информация о доступе теперь отображается в двух окнах: в одном — пользователи и роли, у которых есть доступ в сейф, в другом — доступ к паролям из сейфа через ярлыки, ссылки или отправленные пароли.Кнопки действий с паролем. Для оптимизации работы с паролем добавлена кнопка «Редактировать», а для дополнительного доступа к паролю — кнопки для ярлыка, ссылки или отправки лично пользователю.Дополнительные поля при импорте и экспорте паролей. «Пассворк 6.0» позволяет перенести не только логин и пароль, но и дополнительную информацию, которая хранится внутри карточки пароля.Новые уведомления. Администраторы теперь получают уведомления о новых неподтверждённых пользователях, а сотрудники — о новых паролях во «Входящих».Более полная информация о «Пассворк 6.0» представлена на официальном ресурсе вендора.Разработчик отмечает, что для обновления до версии 6.0 необходимо выполнить несколько шагов по инструкции: сначала обновиться до версии 5.4, пройти миграцию данных и подтвердить это на клиентском портале «Пассворк».ВыводыКорпоративный менеджер паролей «Пассворк» — программный комплекс от российского разработчика, минималистичный удобный продукт для безопасной совместной работы с паролями в компании.«Пассворк» функционирует на базе защищённых хранилищ (сейфы), которые могут содержать парольные данные от любых систем (веб-ресурс, сервер, приложение, накопитель и т. д.), файлы ключей или сертификатов.Браузерное расширение и мобильное приложение, удобная иерархическая структура, полная интеграция с Active Directory / LDAP, авторизация с помощью SSO и 2FA, собственный API, ролевая модель доступа и отслеживание действий сотрудников обеспечивают безопасность, гибкость и комфорт в рутинных процессах организации каждый день.Программный комплекс разворачивается на мощностях компании-заказчика, данные хранятся в зашифрованном виде согласно требованиям регуляторов (ГОСТ или AES-256), что в контексте импортозамещения последних лет добавляет платформе веса. Кроме того, «Пассворк» поставляется с открытым исходным кодом, зарегистрирован в реестре отечественного ПО, имеет гибкую схему лицензирования, которая подойдёт как крупной состоявшейся корпорации, так и начинающей свой путь компании.«Пассворк» востребован на рынке РФ, ему доверяет множество организаций с 2014 года, продукт постоянно развивается и растёт. В свежем релизе «Пассворк 6.0» оптимизирован интерфейс, совместная работа стала ещё более гибкой и удобной, переработаны и расширены настройки, усилены безопасность и контроль за действиями пользователей, что увеличивает возможности специалистов по безопасности при расследовании инцидентов и предотвращении утечек конфиденциальных данных. Всё это делает «Пассворк» важным инструментом в корпоративном арсенале для продуктивной и безопасной совместной работы с данными доступа.Читать далее
  16. Домашние антивирусы для macOS были обновлены до версии 6.11.414. Добавлена поддержка macOS Sonoma (версия 14).
  17. SpaceVM — корпоративная облачная платформа, предназначенная для создания виртуальной инфраструктуры на базе универсальных серверных платформ с архитектурой х86-64. ВведениеФункциональные возможности системы SpaceVMАрхитектура и системные требования SpaceVMСценарии использования SpaceVMВыводыВведениеООО «ДАКОМ М» — российский разработчик программного обеспечения и исследовательский (R&D) центр, создающий инновационные решения на основе облачных технологий для построения распределённых инфраструктур коммерческих и корпоративных предприятий различных масштабов.Space — это марка линейки решений, разрабатываемых компанией «ДАКОМ М». Среди них — облачная платформа SpaceVM, предназначенная для развёртывания корпоративных облачных сред и оснащения центров обработки данных, а также Space VDI — решение для организации виртуальных рабочих столов. Есть примеры реализации системы у таких заказчиков, как ОСК, «Якутскэнерго», «Россети Сибири», Росфинмониторинг.SpaceVM — инструмент серверной виртуализации для эффективного управления ИТ-инфраструктурой. Представляет собой комплексную платформу для развёртывания полноценного частного облака в корпоративной среде с необходимыми дополнительными инструментами для автоматизации и оркестровки работы облачных сервисов. Система работает на базе серверов стандартной архитектуры x86-64 и не только позволяет перенести в облако веб-сайты, порталы и бизнес-приложения, но и обеспечивает работу телекоммуникационных сервисов, виртуальных маршрутизаторов, межсетевых экранов, почтовых и прокси-серверов. SpaceVM — полнофункциональный российский аналог систем серверной виртуализации иностранного производства (VMware и Microsoft).Рассмотрим систему SpaceVM, её функциональные возможности и задачи, которая она поможет решить, более подробно.Функциональные возможности системы SpaceVMОтметим основные функциональные возможности системы SpaceVM:полноценное развёртывание частного корпоративного облака;весь набор для автоматизации и оркестровки виртуальных сервисов;позволяет перенести на свою платформу что угодно: веб-сайты, бизнес-приложения, внутренние сервисы;обеспечивает развёртывание иной ИТ-инфраструктуры: межсетевых экранов (МСЭ), почтовых и прокси-серверов;предоставляет возможность работы с технологией Grid от NVIDIA — высоконагрузочные математические вычисления;есть возможность переноса диска при миграции с ESXi на SpaceVM;обеспечивает микросегментацию сети.В продуктовой линейке экосистемы Space присутствует отдельное направление для аппаратных платформ на базе процессора «Эльбрус». Из уже заложенных в актуальную версию SpaceVM возможностей также необходимо отметить подключение внешних хранилищ данных по NFS, iSCSI и FС, встроенный МСЭ, интеграцию с LDAP и SSO, журналирование событий и встроенную систему резервного копирования. Из стандартных для систем этого класса возможностей присутствуют визуализация нагрузки на виртуальную машину (ВМ), кластеризация (до 96 серверов), живая миграция между узлами кластеров и снимки состояний ВМ (снапшоты). Рисунок 1. Архитектурное сравнение SpaceVM и SpaceVDI с платформой VMware SpaceVM развивается не только как система виртуализации. Среди прочего в план её совершенствования заложены такие доработки, как интеграция с комплексами управления информацией и событиями (SIEM) MaxPatrol и ArcSight, внедрение политик ИБ и взаимодействие с защитными решениями Kaspersky Light Agent и Kaspersky SVM. Рисунок 2. Совместимость системы SpaceVM с ПО и оборудованием российских производителей Архитектура и системные требования SpaceVMSpaceVM предназначена для использования на серверных платформах с архитектурой x86-64. Рисунок 3. Структурная схема SpaceVM Менеджер конфигурации (МК) представляет собой программный комплекс, предназначенный для управления SpaceVM. Управление ВМ обеспечивается модулем-гипервизором «qemu-kvm», входящим в состав технологической ОС. Гипервизор не требует отдельной установки. Таблица 1. Минимальные технические требования для системы SpaceVMКомпонентыТребованияМатеринская плата и процессорДолжны поддерживать технологию аппаратной виртуализации: VT-d и VT-х для Intel, AMD-v для AMD или другую аналогичную технологиюЦПНе менее 4 ядерОЗУНе менее 8 ГБСетевые интерфейсыНа каждом сервере должно быть не менее одного сетевого интерфейса Ethernet с пропускной способностью не менее 1 Гбит/cДисковое пространствоКаждый сервер должен иметь не менее одного запоминающего устройства объёмом не менее 32 ГБ (рекомендуется 120 ГБ) Лицензирование — по количеству физических хостов, не по сокетам. Также в лицензию входит возможность установки консоли управления (аналог VMware vCenter). Лицензии являются бессрочными.Сценарии использования SpaceVMSpaceVM предназначена для решения следующих задач:Повышение эффективности использования вычислительных ресурсов путём запуска нескольких виртуальных серверов (машин) на одном физическом сервере.Обеспечение выполнения несовместимых приложений на одном физическом сервере.Организация общего виртуального пространства с возможностью объединять физические серверы в кластер единого управления.Повышение доступности и обеспечение непрерывности работы приложений, когда ВМ переносятся на другой сервер кластера без прерывания выполнения пользовательского приложения и самовосстанавливаются на резервных серверах в кластере.Повышение удобства управления вычислительными ресурсами с помощью централизованного веб-интерфейса с повышенной степенью автоматизации для сокращения времени администрирования и снижения порога вхождения персонала.Пользователями системы могут быть компании государственного сектора, топливно-энергетического комплекса, промышленности и производства, частные финансовые компании и банки, организации в сфере здравоохранения и образования, научные центры.Рассмотрим основные возможности SpaceVM наглядно.Войти в систему можно как с локальной учётной записью, так и с доменной. Главная страница представляет собой окно мониторинга основных метрик гипервизора. Рисунок 4. Интерфейс главной страницы консоли управления SpaceVM Есть возможность определить локации, куда сразу будут перемещаться все виртуальные машины при их создании, задать выделенные мощности и ресурсы. Рисунок 5. Вкладка локаций SpaceVM По аналогии с VMware в системе SpaceVM используется понятие кластера. Из соответствующего раздела в интерфейсе ведутся распределение ВМ и управление ими, мониторинг их статуса, нагрузки и ресурсов, перенос хостов с кластера на кластер. Здесь возможно управлять такими сущностями, как хранилища ВМ, параметры высокой доступности, пул ресурсов, настройки DRS и пределы ресурсов кластера, а также логированием событий. Рисунок 6. Вкладка кластеров SpaceVM Внутри кластера возможно увидеть список ВМ и далее совершать с ними весь набор стандартных рабочих процедур: изменение ресурсных мощностей, добавление внешних дисков и медиаустройств, создание снапшотов, подключение через консоль гипервизора, применение vGPU для высоконагрузочных вычислений. Рисунок 7. Интерфейс меню виртуальных машин кластера Рисунок 8. Интерфейс меню управления ВМ в SpaceVM Вкладка «Серверы» открывает меню управления серверными мощностями и нодами гипервизора. Рисунок 9. Вкладка «Серверы» системы SpaceVM Рисунок 10. Интерфейс меню управления сервером гипервизора SpaceVM Управление и настройку также возможно осуществлять через стандартный интерфейс командной строки. Рисунок 11. Интерфейс командной строки гипервизора SpaceVM Кроме того, в SpaceVM выделен особый раздел под настройки безопасности, включая управление администраторами и их ролевой моделью в системе, ограничениями по сессиям, ключами шифрования и логированием событий.Среди прочего SpaceVM обеспечивает фильтрацию пакетов сетевого трафика, поступающего из внешней сети, по IP-адресу / порту / имени сетевого интерфейса источника и назначения, а также по протоколу. Рисунок 12. Вкладка «Безопасность» в SpaceVM Рисунок 13. Журнал событий в SpaceVM В журнал вносятся записи о следующих событиях:авторизация пользователя в интерфейсе управления;ошибка аутентификации пользователя;изменение состояния физического сервера (доступен, недоступен);добавление нового физического сервера;удаление физического сервера;время создания ВМ;запуск ВМ;остановка ВМ;уничтожение ВМ;миграция ВМ;создание копии состояния ВМ (снапшота);создание резервной копии.Добавим, что SpaceVM прошла испытания по интеграции и подтвердила совместимость с системой резервного копирования «Кибер Бэкап», благодаря чему появляется возможность обеспечить защиту данных и образов ВМ. Безагентная технология взаимодействия позволяет системе «Кибер Бэкап» производить резервное копирование всех элементов виртуализации на уровне ядра системы и гарантировать быстрое восстановление любых сервисов или данных в случае сбоя.На декабрь 2023 года запланирован релиз системы для совместимости с vGate — универсальной платформой безопасности облака, которую мы ранее обозревали.ВыводыSpaceVM — система виртуализации от российского разработчика, которая помогает снизить расходы на ЦОД, повысить время бесперебойной работы систем и приложений, а также значительно упростить работу ИТ-отдела в период импортозамещения.Облачная платформа SpaceVM — полнофункциональный российский аналог систем серверной виртуализации иностранного производства (VMware, Microsoft). Построение ИТ-инфраструктуры предприятия с использованием SpaceVM позволит обеспечить санкционную устойчивость и технологический суверенитет.Достоинства:Включена в реестр отечественного ПО.Собственная разработка.Поддержка на базе сервисных центров.Наличие авторизованных центров обучения.Совместимость с серверами из реестра Минпромторга (поддерживает работу на базе серверной инфраструктуры от российских производителей Delta Computers и YADRO).Индивидуализация и доработка по запросам заказчиков.Лицензируется по количеству хостов (физических серверов), а не сокетов.Недостатки:SpaceVM ещё развивается и пока не может на 100 % заменить продукты иностранных производителей систем виртуализации. В то же время большая часть аналогичных функциональных возможностей уже реализована: так, по заявлению разработчика, обеспечено замещение 80 % функций VMware vSphere 7 Enterprise Plus.РЕКЛАМА. Рекламодатель ООО «ДАКОМ М», ИНН 7734235312, ОГРН 1027739141649LdtCK9uphЧитать далее
  18. Ideco UTM (Unified Threat Management) — это комплексная система безопасности (российский межсетевой экран), предназначенная для защиты информационных ресурсов и сетей организаций от различных угроз и атак. Узнайте, что нового в свежей версии 15. ВведениеФункциональные возможности Udeco UTM 15Архитектура Ideco UTM 15Новые возможности Ideco UTM 15Системные требования Ideco UTM 15Основные направления применения Ideco UTM 15ВыводыВведениеВ июле 2023 года компания «Айдеко» анонсировала релиз межсетевого экрана Ideco UTM 15. Ранее, в 2022 году, мы делали обзор предыдущей версии этого продукта. Сейчас в основе Ideco UTM лежит концепция объединения нескольких функций безопасности в одной системе. Это позволяет организациям контролировать различные аспекты защиты с помощью целостного интегрированного решения.Разработчик продолжает поддержку версии 14, забрав часть новых функций в 15-ю версию, и, наоборот, часть возможностей версии 15 будут интегрированы в 14-ю для более плавного обновления у заказчиков. Поддержка Ideco UTM 12.11 закончилась 20 июня, а версия 13.12 будет поддерживаться до 6 ноября 2023 года; в связи с этим компания рекомендует всем, кто ещё не перешёл на 14-ю версию, сделать это и далее провести плавное обновление на версию 15 по факту её выхода в 2023 году.Функциональные возможности Udeco UTM 15Назовём некоторые из основных функций и возможностей Ideco UTM. Рисунок 1. Основные возможности Ideco UTM 15 Межсетевой экран. Обеспечивает контроль и фильтрацию сетевого трафика на основе правил. Может блокировать нежелательный трафик и предотвращать несанкционированный доступ к сети. Также предоставляет защиту для корпоративных внутренних и внешних сетей, обеспечивая безопасную связь и контроль доступа к ресурсам организации.Антивирусная защита. Обнаруживает и блокирует вирусные, троянские, шпионские программы и другие подобные угрозы. В версии 15 появилась возможность интеграции сигнатур от «Лаборатории Касперского». Стандартная проверка осуществляется с помощью антивируса ClamAV.VPN (виртуальная частная сеть). Позволяет создавать защищённые соединения через общедоступные сети, обеспечивая конфиденциальность и целостность данных при передаче между удалёнными местоположениями. Есть собственный VPN-агент.Защита от DDoS-атак. Помогает предотвращать и смягчать атаки типа «отказ в обслуживании» (DDoS) путём мониторинга трафика и применения различных методов противодействия.Веб-фильтрация. Обеспечивает фильтрацию веб-содержимого для контроля доступа к определённым сайтам или категориям веб-ресурсов. Может быть использована для повышения производительности сети и предотвращения доступа к вредоносным или нежелательным ресурсам. Контент-фильтр охватывает 145 категорий сайтов, от развлекательных до фишинговых.Контроль приложений. Возможен запрет торрентов, онлайн-игр, криптомайнеров (в общей сложности — более 250 приложений).Контроль на уровне L7. Осуществляется контроль веб-трафика в отношении доступа к облачным хранилищам, соцсетям и форумам. Есть возможность задать определённый набор действий: к примеру, запретить выгрузку данных, но разрешить их загрузку в сеть организации.IPS / IDS (обнаружение и предотвращение вторжений). Можно настроить сигнатурный анализ веб-трафика на предмет сетевых атак, в том числе исходящих от вредоносных ботов, с последующей блокировкой.Почтовый релей (промежуточный узел). Сервер Ideco UTM 15 можно использовать в качестве первого рубежа защиты почтового трафика. Доступны все функции фильтрации писем, включая многоуровневую проверку на вирусы, спам и фишинговые ссылки. Применяются базы от «Лаборатории Касперского».Журналирование и мониторинг. События регистрируются и анализируются в настоящем времени. Это помогает выявлять потенциальные угрозы, обнаруживать аномалии и проводить аудит безопасности. В версии 15 появилась возможность логировать действия администраторов системы.Отчётность. Составление разовой или плановой отчётности по использованию трафика, веб-атакам и прочей статистике.Архитектура Ideco UTM 15Ideco UTM 15 является масштабируемой системой, которая может быть настроена и адаптирована под конкретные требования. Если у вас распределённая филиальная сеть, вы можете использовать консоль Ideco CENTER для централизованного управления настройками нескольких межсетевых экранов Ideco UTM.Продукт динамически развивается в ответ на внешние факторы, такие как пандемия или уход иностранных вендоров. Дополнительный акцент делается на эффективной и быстрой техподдержке и умеренной ценовой политике.Помимо основной линии разработки компания ведёт альтернативную — с использованием DPDK / VPP для маршрутизации и обработки трафика в пользовательском пространстве и освобождения сетевого стека ядра. В дальнейшем эта технология должна стать основной. Также предполагается развитие следующих прогрессивных направлений:протокол DPDK / VPP — увеличение скорости передачи данных;межсетевой экран на основе технологии eBPF — возможность работы со 100 000 правил на скорости до 20 Гбит/с;аутентификация посредством «КриптоПро NGate»;разработка ПАК Ideco UTM на 96-ядерных процессорах.Новые возможности Ideco UTM 15В Ideco UTM 15 появились следующие изменения и дополнения:Обновлённая платформа на базе ядра Linux 6.0.5.Балансировка трафика на несколько серверов с помощью обратного проксирования (reverse proxy).Обработка мультикаст-трафика (IGMP proxy), трафика WCCP (Web Cache Communication Protocol) L2 / L3.Интеграция с Aladdin ALD Pro и BaseALT (ранее — Alt Linux).Взаимодействие с сервисом «Мультифактор» для обеспечения двухфакторной аутентификации.Обработка NTP-запросов ко внешним серверам.Ускорение обработки трафика модулями глубокой инспекции (DPI) во многоядерных конфигурациях.Отрицание в правилах файрвола: например, теперь вместо пары правил «Россию разрешить» и «все остальные страны запретить» можно сделать одно правило вида «всё, что не Россия, запретить».За счёт перехода на новую СУБД ClickHouse удалось значительно сократить размер журналов событий.Выгрузка отчётов из раздела «Трафик» в формате CSV.Рисунок 2. Примеры крупных нововведений Ideco UTM 15 Обозначим отдельно улучшения по части информационной безопасности:Сигнатуры для антивируса и IPS от «Лаборатории Касперского» (дополнительные опции, тарифицируются отдельно).Аудит действий администраторов.Обновлён модуль системы предотвращения вторжений (повышены производительность и надёжность определения трафика).Добавлены правила безопасности по GeoIP и по спискам НКЦКИ.В контроль приложений добавлены протоколы ADSAnalytic (рекламные трекеры), AdultContent (сервисы распространения порнографии), SRTP. Улучшено определение приложений.Системные требования Ideco UTM 15Ideco UTM распространяется как виртуальное устройство или программно-аппаратный комплекс. Требования к аппаратному обеспечению варьируются в зависимости от сетевой нагрузки и используемых сервисов. Минимальные требования Ideco UTM приведены в таблице ниже. Таблица 1. Минимальные рекомендованные требования для установки Ideco UTM 15 в виде отдельного виртуального устройстваТехнические характеристикиТребованияЦПIntel i3 / i5 / i7 / i9 / Xeon с поддержкой SSE 4.2Дисковое пространствоSSD, 150 ГБ или больше, с интерфейсом SATA, mSATA, SAS, NVMe. При использовании почтового сервера нужен дополнительный SSDОЗУОт 16 ГБСетевые адаптерыДве сетевые карты (или два сетевых порта) 100 / 1000 Мбит/с. Рекомендуется использовать карты на чипах Intel. Поддерживаются Realtek, D-Link и другиеГипервизорVMware, Microsoft Hyper-V (2-го поколения), VirtualBox, KVM, Citrix XenServerДополнительноОбязательна поддержка UEFI. Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет). Для виртуальных машин необходимо использовать фиксированный, а не динамический размер жёсткого диска Для установки и работы продукта не требуется предустановленной ОС и дополнительного ПО. Ideco UTM устанавливается на выделенный сервер с загрузочного образа, компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты.Основные направления применения Ideco UTM 15Если ранее система рассматривалась на рынке в большей степени как продукт для небольших компаний (до 1000 сотрудников), то теперь есть примеры развёртывания на крупных площадках (5000–10000 работников) и интеграции с иными СЗИ. Имеется комплекс модулей для защиты периметра и полноценного функционирования в качестве NGFW. Система готова работать «из коробки», предлагается множество предустановленных правил фильтрации.Покажем нововведения Ideco UTM 15 на иллюстрациях. Начнём с логирования действий системных администраторов. Рисунок 3. Журнал логирования действий системных администраторов В новой версии появилось меню онлайн-проверки подозрительных доменов и IP-адресов. Рисунок 4. Меню проверки доменов Реализована поддержка протокола WCCP. Рисунок 5. Настройка работы с протоколом WCCP Добавлена возможность обработки IGMP-трафика. Рисунок 6. Проброс мультикаст-трафика ВыводыМежсетевой экран Ideco UTM 15 может по праву называться полноценной системой класса NGFW, поскольку в нём реализован целый ряд функций безопасности: межсетевой экран, контентная фильтрация, модуль предотвращения вторжений, антивирусная защита и т. д. Система продолжает развиваться, на выпуск новой версии производителю понадобилось лишь 100 дней. Компания «Айдеко» старается поддерживать возможности своего программного продукта в актуальном состоянии, чтобы отвечать новым требованиям рынка и глобальным угрозам информационной безопасности.Читать далее
  19. Хакеры использовали политику Microsoft для изменения даты подписи вредоносных драйверов https://habr.com/ru/news/747692/ Open Source Developer, William Zoltan, Luca Marcone, HT Srl, Beijing JoinHope Image Technology Ltd., Shenzhen Luyoudashi Technology Co., Ltd., Jiangsu innovation safety assessment Co., Ltd., Baoji zhihengtaiye co.,ltd, Zhuhai liancheng Technology Co., Ltd., Fuqing Yuntan Network Tech Co.,Ltd., Beijing Chunbai Technology Development Co., Ltd, 绍兴易游网络科技有限公司, 善君 韦, NHN USA Inc.
  20. Последние несколько лет компании активно развивают тему мониторинга событий в своих инфраструктурах для выявления компрометации и компьютерных атак. Цена коммерческих платформ такого рода порой весьма высока, поэтому заслуживают рассмотрения системы с открытым исходным кодом. ВведениеОсновные возможности WazuhВзаимодействие компонентов WazuhУстановка WazuhРабота с событиями в WazuhВыводыВведениеИметь системы класса SIEM для специалистов по информационной безопасности уже стало необходимостью, поскольку они позволяют собирать события в одном месте и выполнять их анализ — не вручную, конечно, а при помощи написанных правил корреляции. Правила применяются ко всему потоку событий и при срабатывании дают специалистам инцидент, который уже можно расследовать. В качестве источников к SIEM-системам могут быть подключены средства защиты информации, сетевое оборудование, серверы и рабочие станции на любых операционных системах — в общем, все сущности, которые способны отправлять события в подходящем для SIEM формате.Существует несколько проблем, которые необходимо будет решить компании, если она решила вести мониторинг в интересах информационной безопасности. Во-первых, продукты этого класса очень дорогостоящи. Далеко не во всех компаниях выделяется достаточный бюджет на информационную безопасность, да ещё и на постоянной основе. Во-вторых, на рынке труда очень мало специалистов, умеющих обслуживать SIEM, писать для него правила корреляции и обнаруживать компьютерные атаки на инфраструктуру.Более доступный способ — воспользоваться услугами коммерческого центра мониторинга (SOC). Коммерческие SOC занимаются обнаружением и предотвращением компьютерных атак, а также реагированием на инциденты и их расследованием. Если у вас ещё нет SIEM из-за скромного бюджета, есть интересное решение этой проблемы — платформа Wazuh с открытым исходным кодом.Основные возможности WazuhПроект появился в 2015 году, сейчас его постоянно поддерживают около 200 человек, живущих по всему миру. Wazuh используется в более чем ста тысячах организаций и имеет десятки миллионов скачиваний ежегодно.Главные функциональные возможности Wazuh связаны с мониторингом событий, написанием правил корреляции и созданием панелей мониторинга (дашбордов) для анализа. Много правил уже есть в готовом виде, но с ними нужно будет поработать, потому что иначе вам будет обеспечено большое количество ложноположительных срабатываний. Правила пишутся вполне просто, есть механизм их тестирования перед сохранением.После установки агента вы получаете полноценный аудит конечной точки: сведения о системе, об установленных программах, о процессах и сетевых настройках. Это весьма полезно для команд автоматизации (DevOps) и администраторов. Отображаются уязвимости хостов и оценка безопасности их конфигураций с рекомендациями. Есть возможность посмотреть соответствие хостов нормативным требованиям PCI DSS, GDPR и др. Можно реализовать контроль целостности, указав, изменение каких файлов или веток реестра нужно отслеживать (и оповещать вас, если с ними что-то произошло). В модуле MITRE ATT&CK все события распределяются по тактикам и техникам одноимённой матрицы, представляются в виде графиков. Рисунок 1. Модуль MITRE ATT&CK Агенты можно настроить не только для отправки событий и аудита, но и для работы в режиме EDR. В частности, могут быть реализованы функциональные возможности по блокировке вредоносных IP-адресов, выявлению атак методом перебора (брутфорс), обнаружению подозрительных исполняемых файлов, вредоносных программ (с помощью YARA-правил или интеграции с VirusTotal), атак с использованием SQL-инъекций. Доступен также мониторинг выполнения потенциально вредоносных команд. Взаимодействие компонентов WazuhПринцип работы системы заключается в установке агентов на конечные точки и управлении ими из серверной части. Агенты выполняют сбор событий и их отправку, отправлять можно любые журналы по работе системы или приложений. Сервер Wazuh может получать события от источников и без агента — по протоколам Syslog, SSH или с использованием прикладного программного интерфейса (API). Это позволяет подключать разнообразные источники событий, например Kaspersky Security Center, OpenVPN, Suricata и др. Сервер Wazuh разбирает журналы с помощью декодеров, большое их количество предустановлены; если для нужного вам журнала или источника нет декодера, его можно написать самостоятельно. С правилами корреляции всё обстоит так же: есть много готовых правил от сообщества, но в конкретной инфраструктуре придётся их дорабатывать и писать собственные. Для высоконагруженных систем есть возможность создать кластер, состоящий из ведущей и ведомых нод («Master» и «Worker»). После сбора, декодирования и анализа событий сервер Wazuh передаёт их в индексатор; там данные записываются в индексы, с которыми взаимодействует оператор. Индексатор Wazuh представляет собой полнотекстовое аналитическое ядро на базе OpenSearch. Раньше использовался стек ELK, но после того как в январе 2021 года Elastic NV изменила политику лицензирования, сообщество перешло на OpenSearch. Рисунок 2. Архитектура Wazuh За представление данных в веб-интерфейсе отвечает компонент «Wazuh dashboard», аналог Kibana в ЕLK. Там находятся средства мониторинга агентов, вкладки по срабатываниям правил корреляции, соответствию нормативным требованиям, найденным уязвимостям и др. Интерфейс интуитивно понятен. Рисунок 3. Веб-интерфейс «Wazuh dashboard» Резюмируем: устройства с агентами или без них отправляют события на сервер Wazuh, он их декодирует, анализирует и передаёт в компонент «Wazuh indexer», где события индексируются, после чего появляется возможность выполнять полнотекстовый поиск средствами OpenSearch. «Wazuh dashboard» нужен для визуализации и удобства использования всей системы. Установка WazuhУстановка центральных компонентов, описанных в предыдущем разделе (сервер, индексатор и дашборд), может быть выполнена как на одном сервере, так и на нескольких отдельных (для высоконагруженных систем). Установить агенты Wazuh на конечные точки можно централизованно с использованием Ansible, Puppet, групповых политик Microsoft Active Directory. Рисунок 4. Минимальные системные требования для центральных компонентов Рассчитать объём памяти (в ГБ) для хранения логов можно по приведённым далее таблицам. Он зависит от типа конечной точки и количества оповещений в секунду (APS). Период хранения событий принят за 90 дней. Рисунок 5. Объём памяти для журналов (индексатор) Рисунок 6. Объём памяти для журналов (сервер) Система может быть развёрнута в виде виртуальных машин (OVA, AMI), контейнеров Docker и Kubernetes и в облачном варианте (есть 14-дневный бесплатный период).Работа с событиями в WazuhМониторинг событий осуществляется в веб-интерфейсе компонента «Wazuh dashboard», модуль «Security events». Рисунок 7. Модуль «Security events» Здесь можно посмотреть события за выбранный интервал времени, приведено несколько графиков для аналитика, есть возможность добавить свои. Правила корреляции в Wazuh классифицируют события по уровням критической значимости от 0 до 16, для событий с уровнем 12 и выше есть отдельная кнопка с фильтром. При написании правил корреляции особо важным правилам тоже можно присваивать такие уровни для удобного отображения наиболее значимых.Кнопка «Events» открывает полнотекстовый поиск. События здесь представлены в более развёрнутом виде. Допустим, сработало правило корреляции по добавлению учётной записи в группу доменных администраторов; в поле поиска можно ввести логин этой учётной записи и посмотреть все связанные с нею события. Фильтровать можно по строкам и при помощи запросов с использованием Query DSL. Рисунок 8. Полнотекстовый поиск ВыводыПосле установки и длительной работы с OSSEC Wazuh осталось много положительных впечатлений. Компоненты системы изначально вполне легко устанавливаются и настраиваются, существует множество вариантов развёртывания в зависимости от ваших потребностей. Агенты никак не нарушают работу конечных точек, то есть можно централизованно устанавливать их на большое количество устройств, не боясь, что всё сломается. Вполне просто построен и процесс написания собственных правил корреляции.В то же время нужно понимать, что использование продуктов с открытым кодом в своей инфраструктуре — занятие не для малодушных: очень многое придётся искать самостоятельно, плюс практически полностью отсутствуют русскоязычные статьи и сообщество. Всё больше компаний используют Wazuh в России, но специалисты не слишком активно группируются для обсуждений — автору, например, известно об одном телеграм-чате менее чем на 100 человек. Также компании должны быть готовы к тому, что разбирающихся в подобных системах людей очень мало на рынке, поэтому могут быть проблемы при уходе знающих сотрудников и поиске людей на замену им.Мы знаем, что новые уязвимости и методы компрометации появляются ежедневно и вендоры коммерческих СЗИ вполне быстро выпускают детектирующие правила. При использовании Wazuh этого, конечно, не будет, команде мониторинга придётся самостоятельно следить за новыми угрозами и писать детектирующие правила. При этом в OSSEC Wazuh очень много функциональных возможностей — мало в каких вендорских продуктах есть столько всего в одном, скорее всего, придётся приобретать несколько. При правильной настройке, хорошей команде инженеров и выстроенном процессе работы эта система может сэкономить вашей компании очень солидный бюджет.Достоинства:Лёгкость установки.Много различных вариантов развёртывания.Агенты не нарушают работоспособность серверов и рабочих мест.Простота написаний правил корреляции.Большое количество функциональных возможностей.Экономия средств при грамотном подходе.Недостатки:Работа с продуктом с открытым исходным кодом.Отсутствие русскоязычных материалов.Отсутствие поддержки.Сложности с поиском людей для администрирования.Отсутствие быстрых обновлений правил детектирования угроз, нужно всё писать самим.Читать далее
  1. Load more activity
×