Как реагировать на атаки шифровальщиков: рекомендации для CISO

Атаки вирусов-шифровальщиков остаются одной из самых серьёзных угроз для информационной безопасности компаний, независимо от уровня их защиты. Даже с комплексными системами безопасности и опытными ИБ-специалистами, корпорации могут оказаться уязвимыми перед такими атаками.

⏺В статье я расскажу, как CISO и ИБ-службы могут оперативно и эффективно реагировать на атаки программ-вымогателей. Вы узнаете о стратегиях снижения рисков, защите критичных данных, а также о том, какие меры можно предпринять, чтобы минимизировать последствия атак и повысить безопасность IT-инфраструктуры.

ZeroDay | #Статья

Основные карьерные направления в ИБ. Их задачи и необходимые умения.

⏺Пентестер: Ищет уязвимости в системах через симуляцию атак. Необходимы знания сетевых протоколов и программирования.

⏺SOC-аналитик: Мониторит безопасность компании. Важно понимать сетевую безопасность и обработку инцидентов.

⏺Bug Bounty Hunter: Находит баги в ПО за вознаграждение. Нужно знать веб-безопасность и писать отчёты.

⏺DevSecOps инженер: Интегрирует безопасность в процесс разработки. Требуются знания SDLC и DevOps-инструментов.

⏺DFIR-специалист: Расследует кибератаки. Необходимы навыки цифровой криминалистики и сетевой безопасности.

ZeroDay | #безопасность

CDN, как защита от DDoS атак

👋 Приветствую в мире цифровой безопасности!

Сегодня разберем, что такое CDN и как он помогает улучшить работу вашего веб-сайта.

⏺CDN (Content Delivery Network) — это сеть распределенных серверов, которые работают вместе для доставки контента вашего веб-сайта пользователям по всему миру. Каждый сервер в сети хранит копии вашего контента, что позволяет сократить время загрузки страниц и уменьшить нагрузку на основной сервер.

⏺Как это защищает от атак: Основная сила CDN в его архитектуре. Благодаря распределенной сети серверов, CDN может эффективно противостоять DDoS-атакам. Когда злоумышленники пытаются перегрузить ваш сервер большим количеством запросов, CDN распределяет этот трафик между своими точками присутствия (PoPs).

⏺Это снижает нагрузку на основной сервер и минимизирует риск его «падения». Кроме того, CDN скрывает ваш исходный IP-адрес, что делает атаки на ваш сервер более сложными.

ZeroDay | #безопасность

Основные преимущества CDN в защите от DDoS-Атак

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как CDN помогает защитить ваш сайт от DDoS-атак.

⏺Распределение трафика: CDN использует сеть серверов, чтобы распределять входящий трафик. Это снижает нагрузку на основной сервер и предотвращает его перегрузку.

⏺Скрытие IP-адреса: CDN скрывает исходный IP-адрес вашего сайта, делая его менее уязвимым для целенаправленных атак.

⏺Фильтрация трафика: Некоторые CDN-сервисы предлагают встроенные механизмы фильтрации подозрительного трафика, что помогает блокировать DDoS-атаки еще на ранних стадиях.

⏺Повышение доступности: Благодаря распределению трафика, даже во время атаки ваш сайт остается доступным для легитимных пользователей.

ZeroDay | #безопасность

Stateful-фильтрация для защиты от атак на TCP/IP

👋 Приветствую в мире цифровой безопасности!

Вы просили - мы делаем. Сегодня расскажу о stateful-фильтрации и её роли в защите сетей от атак на протоколы TCP/IP.

⏺Stateful-фильтрация — это метод анализа трафика, который учитывает состояние сетевого соединения. В отличие от простого фильтра, который проверяет каждый пакет отдельно, stateful-фильтр отслеживает все пакеты, относящиеся к одному соединению. Это позволяет выявлять и блокировать вредоносные пакеты, которые могут быть частью атаки.

⏺Как это работает: представьте, что stateful-фильтрация ведет журнал всех активных соединений. Если злоумышленник пытается отправить пакет, который не соответствует текущему состоянию соединения, этот пакет будет отброшен. Такой подход вполне эффективен против атак типа SYN-flood, когда отправляются многочисленные ложные запросы на установку соединения.

ZeroDay | #безопасность

REMnux: важный инструмент анализа вирусов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Remnux использует метод обратного-инжиниринга для анализа вирусов. Он может обнаруживать большинство проблем на основе браузера, скрытых в изменённых фрагментах кода JavaScript и апплетах Flash. Он также способен сканировать PDF-файлы и выполнять экспертизу памяти. Средство помогает обнаруживать вредоносные программы внутри папок и файлов, которые сложно проверить с помощью других программ обнаружения вирусов.

⏺Он эффективен благодаря своим возможностям декодирования и обратного проектирования. Он может определять свойства подозрительных программ, и, будучи легким, он в значительной степени не обнаруживается интеллектуальными вредоносными программами. Он может использоваться как на Linux, так и на Windows, а его функциональность может быть улучшена с помощью других инструментов сканирования.

ZeroDay | #Инструмент

Хакерский резюме: как венгерский взломщик хотел получить работу в Marriott

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о нестандартной «карьерной заявке» венгерского хакера Аттилы Немета.

⏺В 2010 году 26-летний венгерский хакер Аттила Немет сообщил компании Marriott, что взломал их систему и украл конфиденциальные данные.

⏺Но вместо выкупа он потребовал работу в Marriott, угрожая в противном случае передать данные конкурентам или опубликовать их.

⏺В своих требованиях Немет указал: удаленная работа, оклад $150 тысяч в год, бесплатные перелеты, право работать в любое время и возможность проживания в любом отеле Marriott.

⏺Чтобы поймать хакера, Marriott обратились к Секретной службе США. Спецслужбы предложили Аттиле фальшивое собеседование с вымышленным HR. Немет отправил копию паспорта и прилетел в Даллас, где показал, как взломал систему и какие данные похитил.

Его арестовали, и в 2012 году приговорили к 30 месяцам тюрьмы.

ZeroDay | #разное

Проблемы поколений: история уязвимостей мобильных сетей от 1G до 5G

Мобильные сети стали неотъемлемой частью нашей жизни, и даже кратковременное отсутствие связи может вызвать стресс. От первых телефонов до современных смартфонов, полностью зависящих от беспроводных сетей, технологии прошли огромный путь, но с ними пришли и новые угрозы.

⏺В этой статье я расскажу, как эволюционировали мобильные сети и какие уязвимости сопровождали каждое поколение — от 1G до 5G. Вы узнаете, какие меры защиты были разработаны, чтобы обеспечить стабильность связи и безопасность данных пользователей.

ZeroDay | #Статья

Настройка OSSEC для мониторинга и анализа событий безопасности

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, как настроить OSSEC для мониторинга и анализа событий безопасности на ваших системах.

⏺Установка OSSEC: Стартуем с установки OSSEC на ваш сервер. Для этого выполните следующие команды:

wget https://github.com/ossec/ossec-hids/archive/refs/tags/3.6.0.tar.gz
tar -xvf 3.6.0.tar.gz
cd ossec-hids-3.6.0
sudo ./install.sh

Следуйте инструкциям на экране, чтобы завершить установку. OSSEC будет установлен в директорию /var/ossec.

⏺Настройка OSSEC: Откройте файл конфигурации /var/ossec/etc/ossec.conf и настройте его для сбора логов и обнаружения угроз. Добавьте следующие секции для мониторинга:

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/auth.log</location>
</localfile>
<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/syslog</location>
</localfile>

Эти настройки позволяют OSSEC собирать логи из системных файлов. Для создания отчетов и настройки правил, откройте раздел <rules> и добавьте нужные вам правила.

⏺Создание отчетов: OSSEC включает инструменты для анализа и создания отчетов. Используйте команду для просмотра отчетов о событиях:

/var/ossec/bin/agent_control -l

Эта команда покажет вам текущий статус агентов и их активности.

Для получения более детализированных отчетов используйте команду:

/var/ossec/bin/ossec-logtest

Делать продолжение?

ZeroDay | #Инструмент

Настройка OSSEC.
Часть 2

👋 Приветствую в мире цифровой безопасности!

Сегодня разберем более продвинутую настройку OSSEC для защиты вашей системы

⏺Модуль Active Response: OSSEC поддерживает модуль Active Response, который автоматически реагирует на определенные угрозы. Откройте файл /var/ossec/etc/ossec.conf и добавьте следующую конфигурацию:

<active-response>
  <command>firewall-drop</command>
  <location>any</location>
  <level>7</level>
</active-response>

Этот модуль позволяет автоматически блокировать IP-адреса, с которых поступает вредоносный трафик, с помощью команд для настройки фаервола.

⏺Настройка агентов: Чтобы обеспечить проактивную защиту на всех серверах в сети, необходимо установить и настроить агенты OSSEC на каждом из них. Сначала установите агент, а затем добавьте его в мастер-сервер:

/var/ossec/bin/manage_agents

Затем введите IP-адрес мастера и следуйте инструкциям для подключения агента к центральному серверу OSSEC.

⏺Мониторинг целостности файлов: Для защиты критически важных файлов настройте мониторинг их целостности. Откройте файл конфигурации /var/ossec/etc/ossec.conf и добавьте секцию для отслеживания изменений файлов:

<syscheck>
  <frequency>43200</frequency>
  <directories>/etc,/bin,/sbin,/usr/bin,/usr/sbin</directories>
  <realtime>yes</realtime>
</syscheck>

Это позволит OSSEC отслеживать любые изменения в критических системных файлах и немедленно уведомлять вас о подозрительной активности.

⏺Настройка распределенной архитектуры: В крупных сетях OSSEC можно настроить в распределенной архитектуре, где один сервер выполняет роль менеджера, а другие — агентов.

Для этого на каждом агенте необходимо указать IP-адрес менеджера в файле /var/ossec/etc/ossec.conf:

<client>
  <server-ip>192.168.1.10</server-ip>
</client>

Это обеспечивает централизованное управление и анализ данных безопасности.

ZeroDay | #безопасность

Arbor Spectrum: инструмент защиты и предотвращения целевых атак

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Анализ и обнаружение: инструмент работает на границе периметра и внутри локальных сетей, обеспечивая всесторонний сбор и анализ сетевого трафика. Он выявляет аномалии и подозрительное поведение благодаря интеграции с облачными сервисами Arbor и применению передовых эвристических методов.

⏺Глобальный охват: с помощью анализа более трети интернет-трафика Arbor Spectrum оперативно выявляет новые угрозы и типичные поведения вредоносного ПО. Это позволяет быстро обновлять правила и предотвращать атаки на ранних стадиях.

⏺Проактивная защита: инструмент позволяет не только обнаруживать атаки, но и предсказывать их, что существенно повышает уровень защиты сети.

ZeroDay | #Инструмент

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.

⏺ Курс от специалиста по кибербезопасности
⏺ Кибербезопасность 2024. Теоретический курс
⏺ Полный курс по кибербезопасности
⏺ Школа ИБ от Яндекса
⏺ Курс по кибербезу

ZeroDay | #Подборка

Как хакеры взламывают ваш Wi-Fi: разбор атак на WPA2 и WPA3

В последние годы безопасность Wi-Fi сетей имеет особую важность, поскольку кибератаки на него становятся всё более изощрёнными. Протоколы WPA2-Personal и WPA2-Enterprise широко используются, но они не без уязвимостей. Даже новейший протокол WPA3, призванный усилить защиту, не является полностью защищённым.

⏺В этой статье я расскажу о самых распространённых методах взлома WPA2 и WPA3, и о том, как злоумышленники находят и используют слабые места в этих протоколах. Вы узнаете, какие инструменты применяются для атак, и как можно защитить свои сети, чтобы не стать следующей жертвой.

ZeroDay | #Статья