Заглянуть в зашифрованный мир интернета через SSL Decrypt в NGFW

Достаточно много вопросов возникает по анализу трафика, передаваемого по SSL и TLS. Этот короткий ролик показывает какие у вас будут трудности и радости при включении расшифрования SSL и анализе этого трафика движками безопасности: антивирусом, IPS, анализом приложений в NGFW. 

Посмотрите, ведь на вашем периметре 80% такого трафика. И вы не знаете что там внутри, верно? 

Другие новости в телеграм-канале Топ Кибербезопасности https://t.me/+nAJuAfwWY2o4ZDFi

В чем проблема Threat Intelligence

Существующие базы IoC, реально повышают безопасность корпоративных сетей. Вам не нужно покупать сложные устройства, достаточно просто узнать у сообщества что "по такому адресу сидит хакер" и просто его не пускать к себе и никого из сотрудников не пускать туда.
Под адресами сейчас понимают IP, URL, DNS имена. Отмечу, что также IoC может быть имя файла, ключ реестра, ключевые слова из кода программы и другие.

А как удаляются из этих баз адреса, которые уже стали хорошими? Ведь вчера это мог быть зараженный сайт, где хакеры размещали свой вредоносный код, а сегодня админы могли уже его "вылечить" и он уже хороший. Кто это отслеживает? Чаще всего никто.

А когда вообще адрес стал плохим? Мои сотрудники могли ходить на этот сайт всю жизнь и только с какого-то момента он стал их атаковать. Этой информации в списке IP или URL найти нельзя.

Что же делать?

К каждой базе Threat Intelligence в вашей компании прикладывается специалист, который не просто включает правило "блокировать все плохие соединения из базы", а постоянно расследует инциденты.

Если вы инциденты не расследуете, то дальше читать не нужно.

В момент расследования инцидента, у вас возникают те же самые вопросы что я задал выше. И здесь уже поставщик базы Threat Intelligence должен предоставлять полную базу почему адрес плохой, когда он стал плохой, в каких хакерских утилитах или вирусах он использовался, на кого нападали с этих адресов. По сути, при разборе инцидента важно получить все что есть о том адресе, который вдруг стал "плохим".

Такие базы правильные производители предоставляют, в них содержится подробная статистика по каждой записи базы и всегда можно посмотреть нужную информацию.

Поскольку IoC это не только адреса, а еще и другие параметры, то в таких базах поиск обычно идет по всем возможным параметрам, которые могли бы характеризовать атакующий вас вредоносный код, включая данные страны из которой идет атака, связи с другими атаками и известные аналитические отчеты и исследования по данной атаке.

Это большая информация и она реально помогает разбирать инциденты, понимать стали ли вы жертвой массовой рассылки, или же это была направленная атака на вашу организацию или даже на конкретного человека.

Техподдержка Google не может починить этот блог

В связи с тем, что техподдержка Google меня игнорирует и мой блог по-прежнему лишен многих функций редактирования, я вынужден завести второй блог, где функции редактирования нормально работают.
Новый блог будет называться safebdv.blogspot.com

Бумажная безопасность vs реальная безопасность

Интересная картинка из фейсбука сегодня, для меня она как раз отразила различие подходов бумажных и реальных безопасников, хотя понятное дело что все что справа делать, не понимая всего что слева - головотяпство

Скутер за 265$

Скутер за 265$ - как вам? Идея хороша, главное непонятно как ездить на нем по плитке и объезжать бордюры

VMware провела конференцию в Москве на отлично

Только что вернулся с конференции VMware. Давно не был на таком огромном мероприятии в Москве.

То, что на конференцию одной компании смогло прийти больше 1200 человек, говорит о невероятной популярности продуктовой линейки на ИТ рынке. Часть людей были из других городов. Причем это была "конференция без адреса"- на сайте vtrussia.ru просто нет схемы проезда к ней. Возможно она там есть, но я искал ее из автомобиля в телефоне - все что нашел это упоминание ЦМТ, хорошо что я знал где он, но там же тьма выходов/входов и два заезда с разных сторон на автомобиле.

В принципе программа была насыщенной, жалко что выступления посетить не было возможности, плюс я сам выступал и стоял на своем стенде. И тут меня радовало одно: ведется запись. Так что жду когда выложат записи.

Судя по программе, основной темой было продвижение NSX и VDI. Даже я присоседился и тоже рассказывал про защиту NSX и VDI.

Сам я тестировал свежесшитый в Гонконге пиджак, сейчас мне все-таки кажется, что рукава они сделали короткие...

Полезность обзоров в Интернете

Почему не надо ехать в Гонконге в Horizon Plaza

Однако, здравствуйте ) Поведясь на рассказ о том, что самый лучший скидочный магазин в Гонконге это Horizon Plaza, я сгонял туда сегодня. Ну и конечно прошелся по всем 28 этажам. Со мной там было на этаже 1-2 человека еще. Действительно магазин Armani там есть, но страшно было смотреть на цены. Так что несолоно хлебавши я поехал обратно.
Для примера: совершенно обычные футболки там стоят 799-999НК и это после скидки! Сейчас 6 ноября 2015 года и курс рубля 8.2. Так что цена реально заоблачная. В США можно за 35-40 долларов такие же купить. Что уж говорить про другие виды товаров. В общем я не знаю для кого там цены. Такие же цены у нас в Москве наверно в ЦУМе.
В общем обзоры читать стало опасно - можно нарваться на старые данные.