demkd

Новые функции в Universal Virus Sniffer (uVS)

В этой теме 1449 сообщений

В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

Сообщения не относящиеся непосредственно к теме обсуждения будут удаляться.

Принятые к реализации:

1. отображать дополнения браузеров [v?.??]

2. очистка кэша java [v?.??]

3. добавить в лог uVS информацию о состоянии функции восстановления системы, наличие последних точек восстановления, если есть. [v?.??]

4. расширение функционала в окне установленных прогамм: поиск, копирование имени, оторбражение попадающих под критерии. [v?.??]

5. выводить в лог список установленных антивирусов [v?.??]

6. доработка критериев: белые, назначение действия [v?.??]

7. выводить информацию о том упакован ли исполняемый файл [v?.??]

8. добавить поддержку utf16/uft8 для отображения содержимого текстовый файлов в окне информации о файле [v?.??]

(в скобках указана версия в которой будет реализована данная функция, если указано ?.?? то реализация функции отложена на неопределенный период времени)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

может стоит добавить команду SCAN dir? сканировать каталоги, подкаталоги с возможностью использования сокращенных путей, отключением или включением рекурсии по сигнатурам, добавленным в базу юзера, эффектвно будет при заражении папок жесткого или съемного диска однотипными файлами червя или трояна.

---

или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

Добавить то не трудно, но я думаю adddir - это пока наиболее правильный вариант, особенно если получить образ с уже добавленными каталогами то можно держать лечение под полным контролем. Бесконтрольное же лечение черевато массовыми чистками безвинных файлов. :) Лучше уж тогда оставить _неактивные тела вирусов дожидаться всплеска гиперактивности обновившегося антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть немного необычная задумка, которая рассчитана для не очень опытных пользователей uvs, ну и для тех у кого нет возможности зайти под live-cd:

Попался заблокированный комп, с баннером, на win 7, 32х. Антивирусник спокойно «жил» с ним, не вопил. Ни запускалось ничего, но заходило в безопасном режиме. В безопасном uvs ничего подозрительного не находил, в автозапуске глазами лишнего не увиделось. В последствии оказалось что он каждый раз меняет фирму-производителя. (тут вот видимо сказывается неопытность в использовании программы).

В общем помыкавшись туда-сюда, убил в безопасном режиме стандартный таск-менеджер (тут хорошо что оказался файловый менеджер, а то вроде по другому никак не удалить защищенный файл?), скинул все файлы uvs в папку, переименовал start.exe в taskmgr.exe, поставил что бы было поверх окон, и запустился в обычном режиме. Там вызвал таск, вылез uvs, начал выгружать по-одиночке все незнакомые процессы, так в общем и нашёл. Ну а дальше все подчистилось в общем то.

Вот отсюда и возникла мысль – можно ли добавить конфиг/параметр, что бы автоматом ставилось в автозагрузку, или заместо стандартного таск-менеджера? Ну или еще какие-либо варианты?

Понимаю что мысль полностью дилетантская, но однако помогло :) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

hitman_007

Никогда не требуется включать uVS в автозапуск, смысла в этом нет.

Лучше изучить способы фильтрации информации в uVS, начинающим хватит фильтра по примерной дате заражения и проверки по базе проверенных (F4), проверки эцп (F6)... впрочем даты почти всегда достаточно.

Но если таки очень хочется включить в автозагрузку uVS то можно воспользоваться следующим файлом.

uVS будет доступен по Win+U там же можно настроить автозапуск.

winu.zip

winu.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для uVS выделен отдельный подфорум

постепенно буду добавлять справочные темы, а эту тему со временем постараяюсь превратить в FAQ убрав все лишнее и добавив рубрикатор. smile.gif

Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

-----------------------------------------------------------------------------------------------------------------------

1.

В SYSTEM.INI и Загрузчики.

IPL NTFS ( SHA1 79D7DA3273882A67F5131AF99C1D7AB22950B693)

MBR (SHA1 DA38B874B7713D1B51CBC449F4EF809B0DEC644A )

VBR NTFS (SHA1 A9523B6CBA7954202BC72A605250C1819BB64424)

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Правда предложение спорное...

2. Если, моё предложение по сравнению по SHA1 & Сигнатурам не проходит...

То, предлагаю другой более простой подход/вариант.

Последовательность действий:

1.Очистить Temp*

2.Добавить, все восстановленные исполняемые файлы в список/категорию.

"Файлы Temp"

Получаем, одну команду с двумя действиями.

* Исполняемые файлы добавляются после очистки всех временных каталогов с 65-й секундной задержкой по времени.

** Если, есть вирус тело которого было удалено в результате этой операции - то оно будет восстановлено, и с вероятностью 70% эта процедура будет связанна с Temp* объектами...

*** Соответственно, мы сможем просмотреть/проверить данную категорию и принять решение по добавлению сигнатур

данных объектов в базу.

Для, чего ?

Например, если нет связи и доступа к VT. или есть сомнение, или для изучения зловреда.

В любом случае это дополнительная опция - хуже от которой точно никому не будет.

Отредактировал demkd
Перенес сообщение

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

Именно так чтоб все предложения были в одной теме и я их не забывал.

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Можно добавить, но я таки рекомендую обратить внимание на возможность полного извлечения загрузчиков из образа и соотв. возможность залить их на VT... другое дело что не каждый антивирус поймет что это дампы загрузчиков.

2.

Смысл действий от меня ускользнул.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

довольно часто в последнее время в темах заражений встречается подмена системной сервисной dll на левую. удаление левой dll приводит к очистке значения параметра реестра, в итоге не работает какая либо служба системы. Может добавить восстановление значения параметра из копии реестра, если она будет найдена?

например:

в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll

значение

C:\Program Files\Common Files\msdao23.tlc

заменить на

%SystemRoot%\System32\srvsvc.dll

если будет найдено значение в копии реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
добавить восстановление значения параметра из копии реестра, если она будет найдена?

Надо посмотреть как оно выглядит в разных версиях windows, возможно и не нужна будет копия, реализую восстановление дефолтного значения, хотя можно и в 20-й твик добавить, подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При проверке Одиночного файла по SHA1 на Vir.Total при отдаче команды Esc прерывать операцию проверки немедленно.

*При невозможности получить ответ от сервера операция чрезмерно затягивается.

Способствует, ли тому низкая скорость соединения, или перегрузка сервера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
при отдаче команды Esc прерывать операцию проверки немедленно

да, надо бы доделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

Соотв. будет реализовано:

проверка загрузчика по хэшу и возможность заливать его на VT без предварительного извлечения из образа.

К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили, впрочем по скорости пополнения баз они очень заметно (в последнее время по данным shadowserver-а) уступают авире, так что проблем быть с опознанием не должно, хватит одной авиры :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

А, в случае, если производители антивирусов решат стать хорошими ( т.е. исправить свои недоработки ) тогда в одной из последующих версий uVS можно будет внести соответствующее дополнение.

2.Цитата:

; Автоматически проверять список по базе проверенных файлов при открытии образа

ImgAutoF4 = 1 (1 по умолчанию)

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Данная функция может быть не менее полезна и при работе с реальной системой.

3.Идеальный вариант, если максимальное число загрузчиков будут добавлено в базу SHA1

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

*Это, такой тонкий намёк для читателей форума. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Зачем же так, а вдруг начнутся подвижки в этом плане :) в любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Потому что при работе с образом это всегда имеет смысл, при работе с активной системой не всегда и забытый флаг будет мягко говоря... раздражать, вполне возможно был нужен лишь твик или очистка от мусора или... а тут понимаешь на 5 минут встала проверка, в случае же с удаленной системой автоматика всегда вредна.

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

Мне мое свободное время дорого, поэтому я добавляю только то что нужно мне лично то с чем я работаю, в принципе 0.5 хэшей в базе даже для меня много, поддержание базы в актуальном виде и так отнимает огромное количество времени.

Не стоит приравнивать возможности одного человека к возможностям антивирусной компании с десятками специалистов. Хочется добавить что-то добавляйте в свою личную базу, выкладывайте ее, поддерживайте ее и если народу понравится то базу будут качать и использовать наряду с моей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

уточняющие вопросы:

Принятые к реализации:

3. Поддержка сигнатур для MBR/VBR/IPL [v3.69]

допустим я ранее добавил сигнатуры MBR (mbrlock) или VBR (cidox), и она сработала при проверке последующих образов, полученных от юзеров из под winpe.

Какие действия uVS может сделать по данным сигнатурам?

chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

если нет,

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

для VBR в случае сигнатурного детекта, например cidox - добавлять команду fixvbr.

mbrlock.jpg

post-1135-1312909581_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

Просто ложное срабатывание.

Зачем пугать мирное гражданское население, оно и так запуганное и пугливое. ;)

*Просто может быть путаница...

Раз... и нашёл Malware !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

Всякая лишняя активность с загрузчиками может иметь негативные последствия.

Фильтр предлагаю встроенный в uVS.

Без дополнительных vFilter...

И пусть программа сама отсевает лишнее из данной категории.

* Ложные детекты, явно тут не нужны - А всегда помнить, какой антивирус может корректно отработать, а какой нет...

Это точно путаница может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всякая лишняя активность с загрузчиками может иметь негативные последствия.

надо просто помнить, что детект ВТ - это как помощь друга в "кто хочет стать миллионером", помощь квалифицированная, но решение все равно принимать тебе. (Я уже запомнил, что детект загрузчиков будет отличаться от детекта tr/worm/virus. Скажем, для меня всегда важен результат проверки DrWeb, Kaspersky, Eset NOD32, Avira.) Два списка настраиваемых фильтров - это перебор. Встроенный в UVS фильтр чреват претензиями к разработчику - почему моего любимого антивируса нет в списке. Настраиваемый фильтр - это то, что соответствует концепции uVS: гибкость, адаптивность программы чрезвычайна важна для исследователя, для заинтересованного пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

Ничего.

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

Я думаю что пока стоит оставить подобные действия на усмотрение хелпера, захочет вылечить выберет соотв. команду, автоматика тут может оказаться вредной.

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

А не известно не способен или просто не хочет, фолс может быть у каждого, соотв. не вижу ни малейших причин ограничивать полезный функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили,

В проверке дампа MBR (mbrlock) отметились все таки Dr.Web & Kaspersky

http://www.virustotal.com/file-scan/report...389-1312917558#

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

santy

А я про MBR и не говорил с ним у них проблем нет, ибо считай это обычный com файл :) я говорил про IPL, скорее всего они с ним не работают в отрыве от vbr, надо будет попробовать скормить все в месте возможно и будет эффект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.Если в скрипт добавлена сигнатура.

Однако скрипт НЕ содержит команд/ы:

chklst

delvir

Дать - соответствующее предупреждение при сохранении скрипта.

* Периодически подобная ошибка имеет место быть порядка 2% от всех скриптов.

2. При открытии образа.

При автоматическом добавлении сигнатур/ы в скрипт!

( В случае, когда речь идёт о ложном сигнатурном детекте на файл.)

Получается, что Ложная сигнатура уже автоматически добавляется/добавлена в текст скрипта...

*При соответствующей настройке.

И даже, если при работе с объектом увеличить длину сигнатуры и тем самым избежать ложного детекта...

То, скрипт по прежнему будет содержать ошибочные команды на удаление!

Соответственно - при коррекции длинны сигнатуры необходимо Автоматически переписывать текст скрипта

с учётом обновлённых данных.

Выдавать предупреждение в лог, или же при сохранении скрипта:

"Вами была произведена коррекция длинны сигнатуры - Что привело к исключению файла из списка "Подозрительные и вирусы" Все команды скрипта будут отменены"

*Да в uVS есть команда "Отменить всё"

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

А, с учётом того, что команды были отданы/записаны автоматически вероятность ошибки резко возрастает.

В связи с чем считаю, необходимым скорректировать данную операцию.

Также скорректированный вариант предложения №1 от:

"Santy:

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

как тяжко прорываться сквозь дебри предложений RP55!

------------------------

предлагаю перенести проверку скрипта в тестовый режим с разбором завершающих конструкций....

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

только проверку делать не из файла, а из того, что попало в буфер обмена (или то, что отображается по alt+S) по ходу автоматического составления скрипта.

---------

результат проверки выводлить в лог uVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1.Если в скрипт добавлена сигнатура.

Если учесть осбенности работы uVS с образом то наличие такого скрипта означает что именно такой скрипт хелпер и хотел получить, а вот склероз тут явно не причем. Доплнительное предупреждение будет лишь раздражать.

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

Тут уже он сам себе злобный буратино, вполне логично сперва выявить всех зловредов, снять сигнатуры, убрать фолсы, а затем лечить все скопом и уже потом делать твики и прочее. Короче не вижу смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • sharyga777
    • AM_Bot
      Генеральный директор компании «Аванпост» Андрей Конусов поделился с Anti-Malware.ru своим видением ситуации на российском рынке систем IDM. О том, что нужно российским заказчикам IDM , по каким критериям сегодня они выбирают такие системы, каковы сроки окупаемости внедрения — об этом и многом другом читайте в интервью. Читать далее
    • AM_Bot
      Тематика платформ реагирования на инциденты (Incident Response Platforms, или IRP) набрала популярность в последние несколько лет — что подтверждает экспертная оценка. В этой статье мы определим, что такое IRP, и посмотрим, какое предложение IRP существует на рынке на начале 2018 года.     ВведениеОпределение предметной области и рынка платформ реагирования на инцидентыРоссийские поставщики платформ реагирования на инциденты3.1. Jet Signal3.2. R-Vision Incident Response Platform3.3. Security Vision Incident Response PlatformЗарубежные поставщики платформ реагирования на инциденты4.1. CyberBit4.2. IBMOpen-Source-платформы реагирования на инциденты5.1. Fast Incident Response (FIR)5.2. The HiveВыводы ВведениеРост популярности IRP вызван как видимыми бизнесу атаками (WannaCry, Petya, большие DDoS-атаки на российские банковские и государственные структуры), так и постепенным уменьшением объема доступной на рынке труда экспертизе по ИБ. Демографический кризис в сочетании с «клиповым» мышлением приводят к обмелению ранее обманчиво кажущегося безбрежным кадрового моря ИБ-талантов, и заставляет организации искать пути повышения КПД имеющегося персонала, а именно через разработку, внедрение и автоматизацию процессов ИБ, управления инцидентами и реагирования на инциденты, в частности.Особую актуальность тематика автоматизации реагирования приобрела из-за точности и скорости процедур и процессов реагирования. Ведь именно в этот момент счет идет на секунды — организации стремятся снизить время реагирования (а значит, понесенный ущерб) до минимального значения. Определение предметной области и рынка платформ реагирования на инцидентыОпределения IRP в зависимости от источника существенно различаются, но в целом IRP — это класс технологий, направленных на автоматизацию и повышение эффективности процессов управления, реагирования и расследования инцидентов ИБ. Иногда поставщики называют IRP технологической основой для SOC — и с точки зрения рыночных практик с ними трудно спорить, ведь историческая основа для SOC SIEM потихоньку сходит с рынка, а понимание центральной роли log management (и концепции data lake в целом) на рынок еще не проникло в полной мере.Определяющими характеристиками IRP являются наличие функций по автоматизации жизненного цикла управления инцидентами (Incidents management & investigations) и определенная база знаний (Security Knowledge Base), ценятся также функции проведения киберучений (Wargames), автоматического реагирования на инциденты определенного типа (Active Response) и интеграции с различными источниками данных об угрозах (например, платформами управления информацией об угрозах — Threat Intelligence Management Platforms),  что позволяет определить IRP как пересечение четырех множеств на рисунке 2. Рисунок 1. Модель IRP аналитического центра Anti-Malware.ru версии 1.0  Каждое из направлений  IRP имеет свою специфику, например, автоматизация процессов ИБ (incident workflow management & orchestration) предназначена и имеет функции для поддержки достижения трех целей:Контроль качества работы аналитиков в части классификации инцидентов и определениях их статуса (false positive) — архив инцидентов и кастомизируемые карточки инцидентов.Контроль оперативности работы аналитиков — контроль выполнения SLA.Повышение полезной нагрузки на аналитика — автоматическое распределение и назначение инцидентов.На рисунке 2 приведен пример функциональности IRP, что поддерживает процессы реагирования на инциденты ИБ: Рисунок 2. Пример функциональности IRP, поддерживающей процессы реагирования на инциденты ИБ  Рынок IRP включает в себя российских и зарубежных поставщиков решений, а также возможно использовать различные Open-Source-решения. Российские поставщики платформ реагирования на инцидентыРынок IRP в России представлен в первую очередь российскими поставщиками. Особой специфики в российском рынке IRP автору не удалось найти, но локальные игроки традиционно ведут более гибкие продуктовые и ценовые политики.Jet SignalОдним из наиболее молодых игроков на рынке IRP стала компания «Инфосистемы Джет». Компания давно известна своей способностью создавать продукты ИБ — на ее счету Dozor Jet, Jet InView, «Тропа» и много других, и несмотря на выделение вендорского ИБ-бизнеса в компанию Solar Security в 2015, «Джет» продолжает создавать новые продукты ИБ.Вендор позиционирует Jet Signal как систему класса IRP — технологическую платформу для создания SOC, основные задачи которой — управление инцидентами ИБ на всех этапах жизненного цикла: сбор событий ИБ от подсистем ИБ, SIEM, неавтоматизированных источников, управление планами реагирования, автоматизация расследования, организация работы дежурных смен, ведение базы знаний, систематизация данных Threat Intelligence и т. д.Достоинства:Архитектура — как новое на рынке решение, система не имеет legacy-кода.Киберучения — система позволяет проводить киберучения для подразделения мониторинга ИБ (нет отдельного модуля но можно создать синтетический инцидент).Сертификация — система имеет сертификат соответствия требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны и поддерживает комплекс средств защиты Astra Linux. Рисунки 3, 4, 5. Возможности модулей Jet Signal и интерфейс Jet Signal  R-Vision Incident Response PlatformR-Vision IRP стал результатом развития R-Vision GRC в сторону автоматизации процессов мониторинга и реагирования на инциденты ИБ, поэтому в решении традиционно сильны компоненты работы с активами, а за счет длинного присутствия на рынке R-Vision GRC многие функции решения достигли промышленной зрелости и решение разворачивается из коробки — вендор готов проводить пилотные проекты для многих клиентов.Однако стоит отметить, что любая кастомизация предполагает затраты с каждой из сторон, поэтому запросы на добавление функциональности решения определенно будут учтены, но могут быть не приняты вендором без дополнительной оплаты.Достоинства:Опыт проектов в России — источники в индустрии и публичные выступления (например, кейс МТС-банка на Сколково CyberDay 2017) свидетельствуют о значительном опыте вендора по автоматизации процессов реагирования на инциденты ИБ в России в организациях разного масштаба — например, банки топ-50, банки топ-10, государственные структуры.Интеграция — R-Vision инвестировал миллионы в интеграцию с самыми разными средствами защиты информации, некоторые консоли управления от вендоров интегрируемых систем отображают меньше информации, чем R-Vision.Наличие готовых скриптов реагирования (cmd, sh script, Power Shell) и возможность добавления собственных (cmd, sh script, Power Shell , а также в средах python, java и perl).Динамические playbooks. Возможность включения в цепочку действия, результат которого будет зависеть от результата предыдущего.Наличие функциональности по управлению активами и уязвимостями — редкий функциональный блок для классических, прежде всего, западных IRP-решений. Благодаря взаимосвязи указанных блоков с блоком управления реагированием на инциденты значительно повышается эффективность работы аналитиков SOC при расследовании инцидентов, устранении их последствий, установлении причин или оценке ущерба. Рисунки 6, 7, 8, 9. Архитектура и интерфейс R-Vision IRP    Security Vision Incident Response PlatformКомпания Security Vision работала над базовыми функциями IRP, когда аббревиатуры IRP не существовало на российском рынке, одни из первых автоматизировали жизненный цикл управления инцидентами на примере Сбербанка России, где решение находится в промышленной эксплуатации более 3 лет.Для реагирования на инциденты (Active Response) решение использует автоматические планы реагирования и отдельное приложение «Агент реагирования», который является логическим продолжением и развитием собственной системы управления инцидентами ИБ (системы SGRC).  База знаний накапливает знания и позволяет проводить автоматический анализ ранее случившихся инцидентов безопасности и помогает в принятии решений. Функции проведения киберучений (Security Awareness), используется для повышения осведомленности сотрудников компании об информационной безопасности. Агентная и безагентная интеграция с различными источниками данных с поддержкой более 2000 источников (форматы CSV, email, STIX, XML, JSON, и др.) Интеграция для получения фидов на примере IBM X-Force и GIB, GovCERT.Достоинства:Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.Развитые средства визуализации и карта инцидентов ИБ (геоинформационная подсистема с проекцией 3D).Полноценный Ticketing workflow (впервые реализован в Сбербанке в 2016 году) с редактором процессов, обеспечивающий работу с любой сущностью «заявки». Имеется автоматическое реагирование в соответствии с runbook/playbook/use case.Высокая надежность, подтвержденная проектами федерального значения (крупнейший SOC в Восточной Европе, SOC госорганов). Наличие агентов для инвентаризации, контроля целостности, доступности и реагирования, что позволяет дополнять функции классической IRP.SIEM-система Security Vision имеет конструктор простых правил корреляции.Наличие функций управления активами, в том числе ИТ-активами.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений.Ожидается получение сертификата ФСТЭК России. Рисунки 10, 11, 12, 13. Интерфейс Security Vision    Зарубежные поставщики платформ реагирования на инцидентыНесколько лет назад приобрести IRP от зарубежного игрока в России было непросто. Продвигая IRP, еще в 2014 году автор сталкивался как с малым интересом вендоров к России, так и с отсутствием у нас представительств и дистрибуторов. Приходилось выкручиваться с помощью ITSM\BPM-игроков, но с той поры стало легче — на рынок вышло 2 полноценных игрока.При этом до конца неясно, появился ли у зарубежных игроков реальный интерес к рынку — их в стране всего два, в том числе ни одного представительства специализированной (pure play) IRP-компании. Сегмент представлен эксклюзивным дистрибутором CyberBit (IITD Group) и IBM, что ранее приобрела Resilient Systems.CyberBitИзраильская компания CyberBit была основана в 2015 году для защиты корпоративных и критичных (АСУ ТП) инфраструктур от наиболее продвинутых угроз, возможно, ранее являясь внутренним подразделением израильского оборонного концерна Elbit (сейчас его дочерняя компания). Кроме IRP (CyberBit SOC3D) в портфеле решений компании возможно найти EDR, SCADA Security и даже решение класса Cyber Range, что предназначено для имитации корпоративной инфраструктуры при проведении упражнений RedTeam — BlueTeam.Вендор декларирует наличие ключевых для IRP-решения функций автоматического реагирования на инциденты ИБ и управления и контроля обработки инцидентов и тикетов ИБ (подозрений на инциденты), но вынес функциональность киберучений в отдельное решение Cyber Range.Вендор не разглашает своих клиентов, несколько неожиданно комбинируя на своем сайте клиентов с партнерами, поэтому при оценке решения желательно запросить истории успеха.Достоинства:Специализированный портфель решений — вероятна синергия при условии приобретения пакетом.Глобальный опыт — офисы в Израиле, США, Великобритании, Германии и Сингапуре позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Новый на российском рынке бренд и молодая компания — позволяет надеяться на ценовую лояльность производителя.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений. Рисунки 14, 15, 16. Интерфейс IRP-решения компании CyberBit   IBMВ 2016 году известная своим широким портфелем ИБ-решений компания IBM приобрела самого известного IRP-вендора — Resilient Systems. Компания реализует, возможно, наиболее функционально полное на рынке решение, однако рыночные и открытие источники (например, нашумевший тендер в Пенсионном фонде России) свидетельствуют о соответствии цены функциональным возможностям. Видимо, цена не смущает действительно крупные организации — вендор заявляет о присутствии решения в 100 организациях из списка Fortune 500.      Достоинства:Широкий портфель решений — вероятна синергия при условии приобретения пакетом или наличия ранее приобретенных решений IBM.Глобальный опыт — многочисленные офисы IBM по миру позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Сильный бренд — «еще никого не уволили за то, что он купил IBM».Функциональное лидерство на российском рынке. Рисунки 17, 18. Схемы работы Resilient Systems компании IBM   Open-Source-платформы реагирования на инцидентыБесплатные решения с открытым исходным кодом (Free Open Source Solutions, FOSS^ или открытые решения) набирают популярность в разных категориях — от операционных систем и виртуализации до прикладных задач безопасности. Ввиду разработки небольшими коллективами энтузиастов FOSS могут развиваться и решать определенные задачи ИБ даже более полно, чем традиционные коммерческие решения от забюрократизированных гигантов — например, тесно интегрируются с TIMP, нативно поддерживают .Fast Incident Response (FIR)В 2014 году CERT Societe Generale (команда быстрого реагирования на инциденты ИБ глобальной банковской группы французского происхождения) выложила в открытый доступ платформу Fast Incident Response для учета и управления инцидентами ИБ.FIR является наиболее функционально простым решением из решений обзора и даже может быть исключен из класса IRP по формальным основаниям. Фактически в решении реализованы лишь процессы управления инцидентами. Однако такой набор функциональности востребован многими организациями среднего размера, которые еще не осознали пользу от развитых процессов и технологий для оптимизации реагирования на инциденты. Вместе с этим в наличии и продвинутая функция — интеграция с TIMP YETI.Открытые IRP-решения несколько концептуально противоречивы — IRP предназначены для повышения эффективности работы аналитиков, однако перед выбором открытого решения стоит определиться, кто из аналитиков (инженеров) будет поддерживать такое решение, неизбежно отвлекаясь тем самым от мониторинга угроз ИБ.Достоинства:Простота — решение быстро разворачивается и обучать его использованию просто.Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Технологическая гибкость — открытый код, распространенный язык программирования (Python) и небольшой размер кодовой базы позволяют подправить код самостоятельно при наличии соответствующих компетенций. Рисунки 19, 20, 21. Интерфейс платформы Fast Incident Response     The HiveВ 2016 году CERT Banque de France (команда быстрого реагирования на инциденты ИБ Центрального банка Франции) выложила в открытый доступ платформу The Hive для поддержки расследований инцидентов ИБ.The Hive плотно интегрирована с целым рядом смежных решений для поддержки расследования инцидентов ИБ — платформой по управлению информацией об угрозах MISP, специализированным поисковиком Cortex и агрегатором информации об угрозах Hippocampe.Достоинства:Развитие — решение быстро развивается и обрастает новыми сервисами в рамках единой экосистемы.Расследования — за счет плотной интеграции с техническими средствами расследования The Hive оптимален для Threat Hunting (поиска и расследования сложных угроз).Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Интеграция с любым внешним источником (SIEM, IPS, DLP и т. д.) через TheHive4py. Рисунки 22, 23, 24. Платформа The Hive      ВыводыСегодняшний рынок IRP находится еще в своем младенчестве — в России пока лишь десятки клиентов, кому тема интересна и кто готов за нее платить. Однако спрос в основном еще не квалифицирован, а решений мало, поэтому поставщики решений получают премиальную маржу, а развитие функциональности за счет такой маржи идет впечатляющими темпами.Несмотря на молодость рынка на нем уже есть 7 решений с достаточной для выполнения базовых задач функциональностью. Российские поставщики решений обладают уникальными функциями (управление активами и сканирование сети, собственные агенты) либо лучшими функциями на уровне мировых конкурентов (киберучения), зарубежные пока только присматриваются к рынку, а открытые решения угрожают забрать рынок среднего бизнеса у коммерческих — они проще в использовании, разворачиваются быстрее, чем некоторые коммерческие, и не требуют закупки программного обеспечения или обоснования приобретения ПО не из реестра Минкомсвязи.Отдельная тема — контентные базы и референсные библиотеки процессов из коробки. Архитектура и функциональные возможности решений во многом формируются стихийно, и даже мировые лидеры не в состоянии принести клиентам детальный стек проработанных процессов управления инцидентами — процессы «допиливаются» прямо на клиенте. Качественные процессные модели неминуемо станут конкурентным преимуществом для тех игроков, что будут в состоянии их разработать. Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:   Jet SignalАндрей Янкин, заместитель директора Центра ИБ ЗАО «Инфосистемы Джет»R-VisionИгорь Сметанев, коммерческий директор ООО «Р-Вижн»Security VisionРуслан Рахметов, генеральный директор ООО «Интеллектуальная безопасность»Роман Овчинников, инженер ООО «Интеллектуальная безопасность» Читать далее
    • Openair
      подниму темку
    • IgorIgorev
      На ставках не пробовал поднимать денег, как то не сильно интересует. Вот игровые автоматы более интересны, сейчас и в онлайн режиме можно поиграть не выходить из дома. Моей маленькой дочурке тоже нравиться нажимать на клавиши, хотя ничего не понимает главное, что сказочные картинки скачут в экране. Играю в основном на автомате Fairy Gate, все что одобрил мой ребенок. Почитать обзор этой игры  можно тут http://casinofreebonuses3.info/slots/fairy-gate .