31 мар. 2011 г.

Next Generation Firewalls и DPI

Сегодня решил посмотреть, кто сколько протоколов может обнаружить в трафике.

Это общедоступно

Check Point 4332 приложения: http://appwiki.checkpoint.com/appwikisdb/public.htm

Palo Alto Networks 1229 приложений: http://ww2.paloaltonetworks.com/applipedia/

23 мар. 2011 г.

Резкое снижение сканирований на порт 1434

Внезапно уменьшилось число зараженных SQL серверов в Мире.
По сообщениям нескольких источников число сканирований на порт 1434 уменьшилось чуть ли не в 10 раз. ISC это подтверждает и тоже не понимает в чем загвоздка. А вы догадываетесь?

Пока, все что могу связать с этим событием, это закрытие ботнета Rustock. Но связи не должно было быть, если только этот ботнет не маскировался под MS SQL портом для управления и распространения.

22 мар. 2011 г.

День противника ленивых почтовых админов

Вот говорят, что в безопасности ничего нового, а вот и неправда. Много случилось за последнее время, что приводит к тому, что пора пересмотреть свою политику ИБ.
Причем с совершенно простыми вещами: парольной политикой, новыми средствами защиты, изменениями в скоростях и объемах, приводящих к потребностями пользователей во все больших корпоративных почтовых ящиках, репутационным движкам, которые спотыкаются об Akamai и, боюсь, скоро начнут об IPv6, антиспам программы появились новые и которые пора бы проапгрейдить и т.д.


Но начну с почты. Тем более, что параллельный пост Алексея Лукацкого навеял воспоминания о наболевшем :)

Итак, приведу пример как это выглядит: корпоративному сотруднику звонит заказчик или партнер или корреспондент и говорит:
- Мои письма к вам не доходят - скорее всего ваш антиспам их режет.
- Не могу прислать вам текст - приходит ответ, что он больше 10 мегабайт.

Что делает сотрудник уважаемой компании? :)
Думаю, что ответ вы предполагаете: он просит прислать то же самое ему на его личный gmail :)
В итоге, порою, конфиденциальная информация складывается в личном почтовом ящике, пароль к которому может быть не только у вас, а у злоумышленника. Доступ к которому никак не контролируется корпорацией, для которой вы так стараетесь, используя публичные почтовые сервера.
Что бы тут могли сказать CISO? Они бы расплакались, вспомнив, что забыли на прокси сервере отключить доступ к бесплатным почтовым серверам. Или вспомнили что у них вообще нет прокси сервера - все ходят напрямую. Или вспомнили что знают несколько лазеек как обойти свою же собственную защиту - запустить TOR или обыкновенный SSL VPN на свой домашний сервер (уж не говоря про другие туннели). И работы тут непочатый край. Так может тогда проще заюзать Google Apps и просто сделать уже ящик в облаке Google для корпоративной почты и не париться? :) Так нет же, платим каждый день за поддержку сервера, стораджей, почтовой программы, архивируем почту, чистим в ней вирусы и спам и т.д. потому что это ведь не только почта - это Exchange или Lotus, которые интегрированы с календярами, бронированиями переговорок, корпоративными мгновенными сообщениями да и вообще удобнее обычного почтового сервиса.
Так может все-таки пересмотреть политику? Разрешить, наконец, большие письма, поставить нормальный антиспам, который может дать человеку возможность заходить в свой собственный карантин и править репутационные списки, или умеет интегрироваться в Exchange и Lotus? Все это давно уже есть на рынке. А вы говорите - ничего нового. Даже корпоративную почту уже пора поставить на новые рельсы.

20 мар. 2011 г.


RSA узнало об успешной атаке APT на саму себя

В своем открытом письме своим клиентам компания сообщает, что обнаружила, что были скомпрометированы данные ее клиентов, и даже более того всех 40 000 000 токенов проданных в мире. Они отнесли эту атаку к категории Advanced Persistent Threat, она была очень профессиональной и скрытной. Так что теперь те компании, которые используют RSA SecurID токены должны задуматься о том как усилить свою защиту. Использование токенов для двухфакторной аутентификации активно используется продвинутыми в ИБ компаниями и тут такой удар. Ведь эта компания и ее разработки считались самыми надежными.

Так что вывод после этой новости (в совокупности с другими аналогичными новостями) в общем-то простой: надежно защититься не может никто. На сегодняшний день ВСЕ компании должны осознавать, что вопрос в войне между ИТ злоумышленниками не стоит в том "какая система защиты лучше", а в том "когда и как вы узнаете, что вас взломали?". Ну и, естественно, "знаете ли вы что после этого что нужно делать?"...

И проблема обычно не в конкретных устройствах и их настройке, а в наличии профессионально обученных людей в каждой компании, которые ежедневно следят за безопасностью. Как правило в компаниях есть один безопасник (дай бог), который еле успевает отмахиваться от проблем связанных с ФЗ-152, куда уже ему следить за реальными взломами.