Крупное слияние – это как «жили долго и счастливо»: многие к этому стремятся, но не все знают, что на самом деле происходит дальше. А происходит обычно так: головной компании необходимо видеть глобальную корпоративную картину, а региональным подразделениям ИБ – управлять инцидентами своих филиалов.
Усложним задачу: что, если эти филиалы разбросаны по всей стране?
Чтобы защитить бизнес от утечек, корпоративного мошенничества и других проблем, компании недостаточно внедрить DLP-систему только в головном офисе: поиск проблем по всем филиалам практически невозможен, единые политики быстро не настроить, сквозные расследования не провести.
Если же установить систему в каждом филиале отдельно, получим локальный мониторинг нескольких разных компаний – общий срез по уровню безопасности данных в целом сформировать уже не получится.
Плюс, оценим затраты: сначала, когда нужно отправить сотрудников из штаб-квартиры в регионы, мы расходуем трудовые ресурсы, потом ИБ-специалистам приходится сводить отчеты вручную, ведь отчитаться перед руководством о ситуации во всей компании в реальном времени они не могут.
Вот почему наша DLP-система Solar Dozor снабжена всевидящим оком – модулем MultiDozor, который помогает централизованно управлять филиалами и анализировать ситуацию в каждом из них через единый интерфейс.
С помощью MultiDozor можно:
— в реальном времени получать полную картину событий и инцидентов;
— проводить сквозные расследования на распределенном архиве данных всей организации;
— настраивать единые правила политики для всей компании и кастомизированные – для конкретных филиалов.
— автоматически получать единые отчеты по всей организации.
Инсталляция MultiDozor подтверждена на 300 000+ агентах🦾
Усложним задачу: что, если эти филиалы разбросаны по всей стране?
Чтобы защитить бизнес от утечек, корпоративного мошенничества и других проблем, компании недостаточно внедрить DLP-систему только в головном офисе: поиск проблем по всем филиалам практически невозможен, единые политики быстро не настроить, сквозные расследования не провести.
Если же установить систему в каждом филиале отдельно, получим локальный мониторинг нескольких разных компаний – общий срез по уровню безопасности данных в целом сформировать уже не получится.
Плюс, оценим затраты: сначала, когда нужно отправить сотрудников из штаб-квартиры в регионы, мы расходуем трудовые ресурсы, потом ИБ-специалистам приходится сводить отчеты вручную, ведь отчитаться перед руководством о ситуации во всей компании в реальном времени они не могут.
Вот почему наша DLP-система Solar Dozor снабжена всевидящим оком – модулем MultiDozor, который помогает централизованно управлять филиалами и анализировать ситуацию в каждом из них через единый интерфейс.
С помощью MultiDozor можно:
— в реальном времени получать полную картину событий и инцидентов;
— проводить сквозные расследования на распределенном архиве данных всей организации;
— настраивать единые правила политики для всей компании и кастомизированные – для конкретных филиалов.
— автоматически получать единые отчеты по всей организации.
Инсталляция MultiDozor подтверждена на 300 000+ агентах
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍2
Говорят, кто знает противника, тот не потерпит ни одного поражения. Проверим, что вы знаете об атаках?
Какой вид атаки использует вредоносный код, внедренный в обычное приложение или процесс, чтобы получить доступ к системе?
Anonymous Quiz
5%
DDos-атака
60%
Бекдор-атака
9%
Фишинговая атака
25%
Мальварная атака
Пояснительная бригада на месте! 🚨
Даем🤚 всем, кто ответил бекдор-атака. Она внедряется в приложение или процесс через вредоносный код (вирус или червь) и создает скрытый канал связи. По нему мошенники получают удаленный доступ к системе без ведома пользователя или администратора и могут украсть данные, установить дополнительные вредоносные программы или получить полный контроль над зараженной системой.
Это точно не DDoS-атака. Она осуществляется путем одновременной отправки большого количества запросов на серверы, сети, приложения, сайты или другие ресурсы, что приводит к их перегрузке и недоступности.
И, конечно, не фишинг, когда мошенники отправляют поддельные сообщения или создают фальшивые веб-страницы, которые выглядят как реальные, чтобы перехватить пароли, реквизиты карты и т.д.
А при мальварной атаке используется вредоносное ПО для проникновения в систему и нанесения ущерба. Цель таких атак – шантаж, перехват конфиденциальных данных, разрушение или изменение программного обеспечения.
Даем
Это точно не DDoS-атака. Она осуществляется путем одновременной отправки большого количества запросов на серверы, сети, приложения, сайты или другие ресурсы, что приводит к их перегрузке и недоступности.
И, конечно, не фишинг, когда мошенники отправляют поддельные сообщения или создают фальшивые веб-страницы, которые выглядят как реальные, чтобы перехватить пароли, реквизиты карты и т.д.
А при мальварной атаке используется вредоносное ПО для проникновения в систему и нанесения ущерба. Цель таких атак – шантаж, перехват конфиденциальных данных, разрушение или изменение программного обеспечения.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2👀1
Планируя рабочие задачи на неделю, не забудьте оставить окошко для вебинара в эту среду.
Защита веб-приложений: актуальные векторы атак и реализованные кейсы
📆 2 августа, в 11:00 по мск
Покажем последнюю статистику по киберугрозам для веб-приложений, расскажем про популярные атаки на веб-ресурсы и поделимся опытом реализации проектов по защите.
Регистрируйтесь на вебинар через чат-бот: https://t.iss.one/webinar_1835472494_bot
Защита веб-приложений: актуальные векторы атак и реализованные кейсы
Покажем последнюю статистику по киберугрозам для веб-приложений, расскажем про популярные атаки на веб-ресурсы и поделимся опытом реализации проектов по защите.
Регистрируйтесь на вебинар через чат-бот: https://t.iss.one/webinar_1835472494_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤝1
Вы проголосовали – раскрываем тему.
Дисклеймер: все действия в этом кейсе выполнены профессионалами.
Инцидент
Компания, которая защищает клиента, находит, что в даркнете продают базу данных этого самого клиента. Что можно сделать? Например, купить ее первыми. Но у нас нет задачи спонсировать криминал. Наша цель – расследовать, куда уходят корни инцидента.
Следствие ведут…🕵🏻♂️
Перевод денег происходит через крипту. Считается, что чистый криптокошелек – это почти 100% гарантия анонимности, потому что связать его с конкретным человеком почти невозможно.
Но есть момент: если злоумышленнику нужно обналичить деньги с этого кошелька, то деньги с него рано или поздно попадут на биржу. И вот здесь можно попытаться его идентифицировать. А дальше начинается OSINT-расследование. Продолжение ниже.
Дисклеймер: все действия в этом кейсе выполнены профессионалами.
Инцидент
Компания, которая защищает клиента, находит, что в даркнете продают базу данных этого самого клиента. Что можно сделать? Например, купить ее первыми. Но у нас нет задачи спонсировать криминал. Наша цель – расследовать, куда уходят корни инцидента.
Следствие ведут…🕵🏻♂️
Перевод денег происходит через крипту. Считается, что чистый криптокошелек – это почти 100% гарантия анонимности, потому что связать его с конкретным человеком почти невозможно.
Но есть момент: если злоумышленнику нужно обналичить деньги с этого кошелька, то деньги с него рано или поздно попадут на биржу. И вот здесь можно попытаться его идентифицировать. А дальше начинается OSINT-расследование. Продолжение ниже.
👍5🔥2😎1
Акт 1. Вычисляем основного выгодоприобретателя
Определяем, кто получил деньги: чем он занимается, что пишет в соцсетях, с каких IP-адресов заходит на биржу. Если с двух несвязанных, возможно, это два разных человека.
Акт 2. Идентифицируем сообщника
Можно выяснить, чем занимается подельник криминального «биг босса». Выяснили, что его данные есть в утечке группы, «специализирующейся» на «сливах» персональных данных. По этим данным идентифицировали сообщника как владельца геймдев-студии Х.
Акт 3. Включаем в круг совладельца
Помимо главного выгодоприобретателя и его подельника, владельца геймдев-студии Х, в этом сюжете есть и совладелец студии Х. Его легко найти среди почт разработчиков студии. Видим, что эта почта связана с почтой подельника – бинго, это одна шайка.
И вот наши «трое в лодке». Но что еще есть у совладельца?
Его почта обнаружилась в заметках одного из аналогов pastebin, в которой есть связка этой почты с работами на некоем сервере. Смотрим связи с другим сервером и находим еще один сервер, на котором бэкапились лог-файлы сторонней «подломанной» организации для их дальнейшей продажи.
Чем это помогло?
Мы попробовали выяснить, как этот сервер связан с организацией, которую сломали. Нашли необходимый контакт и уведомили организацию. Совместно с администраторами подали жалобу хостеру, который отключил VPS-сервер. В течение полугода следили, что данные с ликвидированного сервера больше нигде не появлялись. Таким образом, слив был предотвращен.
OSINT – полноценное расследование, которое может вывести туда, куда не ждешь. Но сколько веревочке ни виться, именно оно поможет вычислить и предотвратить угрозу. Без такого расследования можно упустить гораздо более глубокие проблемы, которые в дальнейшем нанесут серьезный урон компании.
Определяем, кто получил деньги: чем он занимается, что пишет в соцсетях, с каких IP-адресов заходит на биржу. Если с двух несвязанных, возможно, это два разных человека.
Акт 2. Идентифицируем сообщника
Можно выяснить, чем занимается подельник криминального «биг босса». Выяснили, что его данные есть в утечке группы, «специализирующейся» на «сливах» персональных данных. По этим данным идентифицировали сообщника как владельца геймдев-студии Х.
Акт 3. Включаем в круг совладельца
Помимо главного выгодоприобретателя и его подельника, владельца геймдев-студии Х, в этом сюжете есть и совладелец студии Х. Его легко найти среди почт разработчиков студии. Видим, что эта почта связана с почтой подельника – бинго, это одна шайка.
И вот наши «трое в лодке». Но что еще есть у совладельца?
Его почта обнаружилась в заметках одного из аналогов pastebin, в которой есть связка этой почты с работами на некоем сервере. Смотрим связи с другим сервером и находим еще один сервер, на котором бэкапились лог-файлы сторонней «подломанной» организации для их дальнейшей продажи.
Чем это помогло?
Мы попробовали выяснить, как этот сервер связан с организацией, которую сломали. Нашли необходимый контакт и уведомили организацию. Совместно с администраторами подали жалобу хостеру, который отключил VPS-сервер. В течение полугода следили, что данные с ликвидированного сервера больше нигде не появлялись. Таким образом, слив был предотвращен.
OSINT – полноценное расследование, которое может вывести туда, куда не ждешь. Но сколько веревочке ни виться, именно оно поможет вычислить и предотвратить угрозу. Без такого расследования можно упустить гораздо более глубокие проблемы, которые в дальнейшем нанесут серьезный урон компании.
❤2🔥1
В отборочном туре международного киберчемпионата, который мы провели в рамках ПМЭФ, участвовало 40 команд из 20 разных стран. Всего было проведено более 2480 атак, и более 2000 атак достигли цели!
Популярная уязвимость, которую пропустило большинство команд, – RCE ProFTPD. Ее легко эксплуатировать, она позволяет получить доступ к вашей сети, что может привести к остановке бизнеса, потере клиентов и репутационному ущербу.
Собрали советы как действовать защитникам, чтобы не пропустить RCE ProFTPD.
1. Изучаем актуальный эксплойт, чтобы понять механизм его работы.
2. Пишем контент для противодействия или блокировки эксплуатации уязвимости. В случае с ProFTPD это IPS, WAF и защита конечных станций. Контент может содержать в себе сигнатуры для IDS/IPS/HIPS и WAF, integrity checking, сигнатуры для AV/EDR и дополнительные сегменты конфигурации для сбора телеметрии с конечных хостов.
3. Используем получившийся контент в режиме детектирования, чтобы узнать о текущих возможных атаках.
4. Проверяем контент в тестовом контуре: пентестеры или сами команды проводят эксплуатацию уязвимости и дорабатывают контент.
5. Запускаем сканирование на уязвимости, если этого еще не было сделано, и инвентаризировать активы, где RCE ProFTPD была обнаружена.
По данным сканирования можно скорректировать план для установки патчей. А по данным инвентаризации можно провести атаку и проверить качество написанного контента для верификации уязвимости. Этот шаг позволит минимизировать срабатывания True Positive, а защитники получат информацию, как можно улучшить процесс реагирования: плейбуки, планы реагирования и т. д.
В списке самых популярных уязвимостей во время отборочного этапа чемпионата также оказались Log2Shell, DrupalGeddon, SamAccountNameSpoofing и ProxyLogon.
Ставьте ❤️, если было полезно.
Популярная уязвимость, которую пропустило большинство команд, – RCE ProFTPD. Ее легко эксплуатировать, она позволяет получить доступ к вашей сети, что может привести к остановке бизнеса, потере клиентов и репутационному ущербу.
Собрали советы как действовать защитникам, чтобы не пропустить RCE ProFTPD.
1. Изучаем актуальный эксплойт, чтобы понять механизм его работы.
2. Пишем контент для противодействия или блокировки эксплуатации уязвимости. В случае с ProFTPD это IPS, WAF и защита конечных станций. Контент может содержать в себе сигнатуры для IDS/IPS/HIPS и WAF, integrity checking, сигнатуры для AV/EDR и дополнительные сегменты конфигурации для сбора телеметрии с конечных хостов.
3. Используем получившийся контент в режиме детектирования, чтобы узнать о текущих возможных атаках.
4. Проверяем контент в тестовом контуре: пентестеры или сами команды проводят эксплуатацию уязвимости и дорабатывают контент.
5. Запускаем сканирование на уязвимости, если этого еще не было сделано, и инвентаризировать активы, где RCE ProFTPD была обнаружена.
По данным сканирования можно скорректировать план для установки патчей. А по данным инвентаризации можно провести атаку и проверить качество написанного контента для верификации уязвимости. Этот шаг позволит минимизировать срабатывания True Positive, а защитники получат информацию, как можно улучшить процесс реагирования: плейбуки, планы реагирования и т. д.
В списке самых популярных уязвимостей во время отборочного этапа чемпионата также оказались Log2Shell, DrupalGeddon, SamAccountNameSpoofing и ProxyLogon.
Ставьте ❤️, если было полезно.
❤4
Центр противодействия кибератакам Solar JSOC проанализировал данные 290 организаций из госсектора, финансов, нефтегаза, энергетики, телекома, ретейла и других отраслей со штатом свыше 1000 сотрудников.
Если коротко – в I полугодии количество событий ИБ на четверть превысило показатель предыдущего полугодия. Доля критических инцидентов осталась прежней, но атаки стали более продвинутыми и опасными: хакеры в 2 раза чаще используют данные киберразведки и вредоносы, которые обходят антивирусы и не выявляются базовыми инструментами SOC.
Подробнее – в карточках.
Если коротко – в I полугодии количество событий ИБ на четверть превысило показатель предыдущего полугодия. Доля критических инцидентов осталась прежней, но атаки стали более продвинутыми и опасными: хакеры в 2 раза чаще используют данные киберразведки и вредоносы, которые обходят антивирусы и не выявляются базовыми инструментами SOC.
Подробнее – в карточках.
👍6🔥1
Вчера наши коллеги подняли интересную тему: если бы компания была человеком, то каким?
Согласимся, что в кибермире все как у людей — у каждой компании свой характер. Хорошо, что рядом с подростком всегда найдется зрелый взрослый. Именно так себя ощущает «Солар».
Набитые шишки уже превратились в опыт, а энергия и жизнелюбие при этом бьют ключом. То, чем мы занимается каждый день, вызывает восхищение.
Наш опыт, интеллект, правильно выбранное окружение друзей и партнеров позволяет браться за самые сложные задачи, которые многим кажутся невозможными, а нас драйвят. И иногда это дает возможность чувствовать себя героем и зарабатывать дополнительные очки в глазах противоположного пола.
Нам уже не нужно покорять мир, и не потому, что вера в себя потеряна, совсем наоборот… Теперь мир нуждается в нашей защите. И только мы в ответе за то, каким будет мир тех, кто доверил его нам. Таков путь.
А кем были бы другие компании в кибербезе? Кaspersky Daily, BI.ZONE, ваш ход 😉
Согласимся, что в кибермире все как у людей — у каждой компании свой характер. Хорошо, что рядом с подростком всегда найдется зрелый взрослый. Именно так себя ощущает «Солар».
Набитые шишки уже превратились в опыт, а энергия и жизнелюбие при этом бьют ключом. То, чем мы занимается каждый день, вызывает восхищение.
Наш опыт, интеллект, правильно выбранное окружение друзей и партнеров позволяет браться за самые сложные задачи, которые многим кажутся невозможными, а нас драйвят. И иногда это дает возможность чувствовать себя героем и зарабатывать дополнительные очки в глазах противоположного пола.
Нам уже не нужно покорять мир, и не потому, что вера в себя потеряна, совсем наоборот… Теперь мир нуждается в нашей защите. И только мы в ответе за то, каким будет мир тех, кто доверил его нам. Таков путь.
А кем были бы другие компании в кибербезе? Кaspersky Daily, BI.ZONE, ваш ход 😉
❤11⚡3😎2
Если вы регулярно задаетесь вопросом «Куда бежать и что делать?», то ищите ответы на вебинаре, который мы проведем совместно с коллегами из «Безопасность 360».
Утечка персональных данных: что нужно знать и как действовать
📆 24 августа, 11:00 по мск
Ведущий аналитик Solar Dozor Маргарита Филатова и практикующий юрист Денис Лукаш расскажут:
— как пошагово действовать, если произошла утечка персональных данных;
— как общаться с регуляторами;
— что делать, чтобы сократить инциденты.
Регистрируйтесь на вебинар через чат-бот: https://t.iss.one/webinar_1787246318_bot
Утечка персональных данных: что нужно знать и как действовать
Ведущий аналитик Solar Dozor Маргарита Филатова и практикующий юрист Денис Лукаш расскажут:
— как пошагово действовать, если произошла утечка персональных данных;
— как общаться с регуляторами;
— что делать, чтобы сократить инциденты.
Регистрируйтесь на вебинар через чат-бот: https://t.iss.one/webinar_1787246318_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍1
Над внедрением IdM-систем команды часто работают в условиях неопределенности: например, нет возможности воссоздать инфраструктуру заказчика, не настроены удаленные доступы или нет руководителя проекта.
Чтобы скоординировать всех участников, нужен IdM-дирижер. Кто это, и чем он занимается – спросили деливери-менеджера Центра продуктов управления доступом inRights Ксению Гырнец.
Чтобы скоординировать всех участников, нужен IdM-дирижер. Кто это, и чем он занимается – спросили деливери-менеджера Центра продуктов управления доступом inRights Ксению Гырнец.
🔥5👍3🌚1
Рубрика «Что-то пошло не так» вам понравилась, так что мы продолжаем: рассказываем, как за день пересобрали конфигурацию киберучений.
На SOC-Forum в прошлом году кроме традиционных выступлений и дискуссий случилась кибербитва. Команды красных и синих собирались из сотрудников ведущих банков, нефтегазовой и электроэнергетической отраслей, органов государственной власти и экспертов ИБ-рынка.
Для кибербитвы мы смоделировали цифровые двойники типовых инфраструктур предприятий и воссоздали на них производственные и бизнес-процессы, которые происходят в реальности. Чтобы собрать это, мы потратили 3 недели. Накануне SOC-Forum в пятницу, после генерального тестирования, ушли домой. Само мероприятие начиналось во вторник.
В понедельник утром увидели, что собранная конфигурация развалилась из-за двух багов производителей системы хранения данных и системы виртуализации. Две ошибки одновременно – вероятность падения метеорита на голову был выше. Как назло, они воспроизводились именно в той конфигурации, которую собирали на платформе.
На этом моменте мы экстренно перешли в режим «тушим пожар»🔥 : обратились к производителям, предоставили им логи и пересобрали всю конфигурацию. За день удалось пересобрать всю конфигурацию и провести мероприятие, но нервных клеток стало на порядок меньше.
Кстати, в этом году SOC-Forum пройдет в ноябре. Кибербитва тоже состоится.
А пока открыт прием докладов. Отправляйте заявку, если хотите выступить в одном из трех треков или во всех сразу.
На SOC-Forum в прошлом году кроме традиционных выступлений и дискуссий случилась кибербитва. Команды красных и синих собирались из сотрудников ведущих банков, нефтегазовой и электроэнергетической отраслей, органов государственной власти и экспертов ИБ-рынка.
Для кибербитвы мы смоделировали цифровые двойники типовых инфраструктур предприятий и воссоздали на них производственные и бизнес-процессы, которые происходят в реальности. Чтобы собрать это, мы потратили 3 недели. Накануне SOC-Forum в пятницу, после генерального тестирования, ушли домой. Само мероприятие начиналось во вторник.
В понедельник утром увидели, что собранная конфигурация развалилась из-за двух багов производителей системы хранения данных и системы виртуализации. Две ошибки одновременно – вероятность падения метеорита на голову был выше. Как назло, они воспроизводились именно в той конфигурации, которую собирали на платформе.
На этом моменте мы экстренно перешли в режим «тушим пожар»
Кстати, в этом году SOC-Forum пройдет в ноябре. Кибербитва тоже состоится.
А пока открыт прием докладов. Отправляйте заявку, если хотите выступить в одном из трех треков или во всех сразу.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2🌚1
На этот вопрос разработчики Solar SafeInspect ответят правильно, даже если их разбудить среди ночи. А вы ответите?