В чем проблема Threat Intelligence

Существующие базы IoC, реально повышают безопасность корпоративных сетей. Вам не нужно покупать сложные устройства, достаточно просто узнать у сообщества что "по такому адресу сидит хакер" и просто его не пускать к себе и никого из сотрудников не пускать туда.
Под адресами сейчас понимают IP, URL, DNS имена. Отмечу, что также IoC может быть имя файла, ключ реестра, ключевые слова из кода программы и другие.

А как удаляются из этих баз адреса, которые уже стали хорошими? Ведь вчера это мог быть зараженный сайт, где хакеры размещали свой вредоносный код, а сегодня админы могли уже его "вылечить" и он уже хороший. Кто это отслеживает? Чаще всего никто.

А когда вообще адрес стал плохим? Мои сотрудники могли ходить на этот сайт всю жизнь и только с какого-то момента он стал их атаковать. Этой информации в списке IP или URL найти нельзя.

Что же делать?

К каждой базе Threat Intelligence в вашей компании прикладывается специалист, который не просто включает правило "блокировать все плохие соединения из базы", а постоянно расследует инциденты.

Если вы инциденты не расследуете, то дальше читать не нужно.

В момент расследования инцидента, у вас возникают те же самые вопросы что я задал выше. И здесь уже поставщик базы Threat Intelligence должен предоставлять полную базу почему адрес плохой, когда он стал плохой, в каких хакерских утилитах или вирусах он использовался, на кого нападали с этих адресов. По сути, при разборе инцидента важно получить все что есть о том адресе, который вдруг стал "плохим".

Такие базы правильные производители предоставляют, в них содержится подробная статистика по каждой записи базы и всегда можно посмотреть нужную информацию.

Поскольку IoC это не только адреса, а еще и другие параметры, то в таких базах поиск обычно идет по всем возможным параметрам, которые могли бы характеризовать атакующий вас вредоносный код, включая данные страны из которой идет атака, связи с другими атаками и известные аналитические отчеты и исследования по данной атаке.

Это большая информация и она реально помогает разбирать инциденты, понимать стали ли вы жертвой массовой рассылки, или же это была направленная атака на вашу организацию или даже на конкретного человека.

Техподдержка Google не может починить этот блог

В связи с тем, что техподдержка Google меня игнорирует и мой блог по-прежнему лишен многих функций редактирования, я вынужден завести второй блог, где функции редактирования нормально работают.
Новый блог будет называться safebdv.blogspot.com

Бумажная безопасность vs реальная безопасность

Интересная картинка из фейсбука сегодня, для меня она как раз отразила различие подходов бумажных и реальных безопасников, хотя понятное дело что все что справа делать, не понимая всего что слева - головотяпство

Скутер за 265$

Скутер за 265$ - как вам? Идея хороша, главное непонятно как ездить на нем по плитке и объезжать бордюры

VMware провела конференцию в Москве на отлично

Только что вернулся с конференции VMware. Давно не был на таком огромном мероприятии в Москве.

То, что на конференцию одной компании смогло прийти больше 1200 человек, говорит о невероятной популярности продуктовой линейки на ИТ рынке. Часть людей были из других городов. Причем это была "конференция без адреса"- на сайте vtrussia.ru просто нет схемы проезда к ней. Возможно она там есть, но я искал ее из автомобиля в телефоне - все что нашел это упоминание ЦМТ, хорошо что я знал где он, но там же тьма выходов/входов и два заезда с разных сторон на автомобиле.

В принципе программа была насыщенной, жалко что выступления посетить не было возможности, плюс я сам выступал и стоял на своем стенде. И тут меня радовало одно: ведется запись. Так что жду когда выложат записи.

Судя по программе, основной темой было продвижение NSX и VDI. Даже я присоседился и тоже рассказывал про защиту NSX и VDI.

Сам я тестировал свежесшитый в Гонконге пиджак, сейчас мне все-таки кажется, что рукава они сделали короткие...

Полезность обзоров в Интернете

Почему не надо ехать в Гонконге в Horizon Plaza

Однако, здравствуйте ) Поведясь на рассказ о том, что самый лучший скидочный магазин в Гонконге это Horizon Plaza, я сгонял туда сегодня. Ну и конечно прошелся по всем 28 этажам. Со мной там было на этаже 1-2 человека еще. Действительно магазин Armani там есть, но страшно было смотреть на цены. Так что несолоно хлебавши я поехал обратно.
Для примера: совершенно обычные футболки там стоят 799-999НК и это после скидки! Сейчас 6 ноября 2015 года и курс рубля 8.2. Так что цена реально заоблачная. В США можно за 35-40 долларов такие же купить. Что уж говорить про другие виды товаров. В общем я не знаю для кого там цены. Такие же цены у нас в Москве наверно в ЦУМе.
В общем обзоры читать стало опасно - можно нарваться на старые данные. 

Почему завтра надо идти на Infosecurity Russia

Я люблю Infosecurity Russia за возможность послушать интересные доклады, посмотреть новые названия должностей у коллег. В этот раз, в принципе, были такие же планы и я прибыл в 10 с чем-то утра в КРОКУС и мы скоротали время с Alexey Volkov на стойке регистрации выясняя какая надпись на бейджике круче: Exhibitor или Speaker. Поскольку у меня была возможность получить оба варианта, я выбрал себе Exhibitor. На входе нас удачно встретила Ксения Чернобай и провела нас к секретной кофе-машине, возле которой мы выпили немного вина за успех мероприятия. Ну и кофе выпили тоже. Следующим напитком был лимонад времен СССР на стенде BIS, на котором, как всегда Ксения Манахова и Kirill Manakhov со своими коллегами в пионерских галстуках продолжали традицию делать оригинальные и тематичные стенды. В этот раз тема СССР удалась. Дальше покатилось по накатанной: первые два часа я просто здоровался с коллегами и узнавал у людей как дела, затем я умудрился сесть в единственную секцию с пустыми креслами в зал К1 (стал доделывать презентацию о распознавании русских приложений современными NGFW). За это время я успел прослушать комментарий Михаила Кадера, где он меня удивил, что зашифрованного трафика стало больше в два раза - с 30% теперь он подскочил до 60%. Я вижу у заказчиков 30% SSL трафика, а вот что 60% зашифровано - это наверно перебор. Почему это важно надо понимать - там кочует неизвестная нам безопасникам информация - либо что-то утекает, либо что-то притекает. И что именно мы проверить не можем, без расшифрования. Затем я мельком посмотрел на презентацию AirWatch от английского спикера и затем презентацию ArcSight от Roman Vanerke что, впрочем, не помешало мне закончить собственную презентацию. Жалко, что не успевал уже посмотреть на презентацию Anton Karpov - будет здорово ее в виде вебинара где-то просмотреть. Мне важно было узнать, что думают по поводу импортозамещения и я убежал в зал А, где Андрей Головрассказал от имени российского вендора, что он тратит 700 миллионов рублей в год на R&D и все-равно отстает от иностранных вендоров на 5 лет по функционалу. Для меня это большие деньги и я не очень понял сколько же тогда надо денег, чтобы догнать например Palo Alto Networks, а это самая молодая компания среди Firewall вендоров и появилась даже почти вместе с Кодом Безопасности в 2007 году и при этом уже три года подряд как лидер по Gartner, легко потеснив там Checkpoint. Основным драйвером роста своей компании он назвал выход на иностранные рынки, а тут он попросил помощи у государства, но государству, как я понял из его доклада, это не нужно. Рособоронэкспорт ему интереснее выводить на иностранные рынки. В общем в ответ от Лютикова я услышал, что проблема не в государстве, а в самих компаниях. Что, в общем, коррелирует с моим мировоззрением. Касперский же не просил помощи от государства, однако на полках магазинов в Америке его коробки с антивирусами стоят. Следующей моей целью было выступить самому, я успел прийти на секцию по межсетевым экранам, которую начал Володя Лепихин, понял что у меня есть время пообедать и благополучно это сделал. Поскольку бежать в торговый центр уже не было времени, то я был одним из тех, кто купил тарелку вареной гречки за 200 рублей в кафе наверху (1500 рублей за килограмм) вложившись видимо в R&D современных способов приготовления гречки. Мои коллеги в лице Илья Осадчий и других не спешили, поэтому они сели в кафе Шоколадница, но к моменту когда я поел, я обнаружил, что им еще меню не принесли. 
На моем выступлении все прошло достаточно быстро, здесь уже не мне оценивать. И затем у меня получилось побродить по выставке. Из нового я отметил DLP от Solar Security - я раньше внимания не обращал, а тут подошел из за уникально красивого интерфейса. Был большой стенд от Сколково но его изучение я отложил на завтра. Под конец дня я еще успел зайти на выступление команды Алексея Волкова + Rustem Khairetdinov + Лев Палей. Юмор Алексея + мудрось Рустэма + энергетика Льва просто делали чудеса со зрителями, я даже включился в дискуссию, что наверно не очень было этично, каюсь. На этой радостной ноте я уже поехал радоваться этой красивой и необыкновенно теплой осени. Завтра надеюсь увидеть еще Оксана Тихонова, Roman Andreev, Andrey Beshkov, Artyom Medvedev Я чаще всего буду на стенде компании Netwell Ltd Из необычного завтра будет рассказ про новую компанию для меня Invea-Tech и много других докладов, где будут интересные темы подниматься и будут интересные докладчики.