Show content

Информационная безопасность?.. Кибербезопасность?..

Форум Системы безопасности / Форум по информационной безопасности /

04.06.2019 16:05:37

Positive Technologies:

MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK

В MaxPatrol SIEM загружен новый пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.

MITRE ATT&CK — база знаний с описанием тактик, техник и процедур атак злоумышленников. Специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center) создадут специальную серию пакетов экспертизы для MaxPatrol SIEM, каждый из которых выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Первый пакет из серии включает 15 правил корреляции событий ИБ, помогающих выявить наиболее актуальные техники атак, присущие тактикам «Выполнение» и «Обход защиты». В тактику «Выполнение» входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Они используются, среди прочего, для горизонтального перемещения, чтобы расширить доступ к удаленным системам в сети. Тактика «Обход защиты» объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты.

«Классические SIEM-системы не способны выявлять атаки злоумышленников, в которых используются эксплойты нулевого дня, поэтому их целесообразнее "ловить" на последующих этапах атаки, — комментирует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Классическим шагом злоумышленников является выполнение вредоносного кода и попытки обхода средств средств защиты для успешного достижения своих целей. Поэтому в первую очередь мы подготовили пакет экспертизы, покрывающий тактики "Выполнение" и "Обход защиты" по модели MITRE ATT&CK. Как правило, эти тактики используются на этапах проникновения злоумышленника в инфраструктуру».

Правила корреляции, среди прочего, выявляют техники с применением метода living off the land (LOTL): когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Такой метод все чаще используют APT-группировки; например, группировки Cobalt Group и MuddyWater использовали встроенную в Windows утилиту «Установщик профилей диспетчера подключений» для запуска вредоносного ПО. Метод LOTL позволяет действовать под видом легитимной работы системного администратора, что снижает вероятность обнаружения атаки традиционными средствами безопасности и, следовательно, ее блокировки.

До конца 2019 года в MaxPatrol SIEM будут загружены пакеты экспертизы для выявления тактик получения первоначального доступа (Initial Access), закрепления (Persistence), получения учетных данных (Credential Access) и горизонтального перемещения (Lateral Movement). Все пакеты экспертизы будут пополняться правилами по мере обнаружения новых техник, тактик и процедур атак.

13.06.2019 08:38:23

Безопасность переговоров

Андрей Когтев "Hi-Tech Media"

"Cambridge" - крупнейший, как вы видите, производитель и поставщик решений по аудио маскировке помещений. То есть это что-то там шумит, где-то там – разборчивость встречи теряется. Соответственно, у них 2 линейки всего: аналоговая и цифровая. Аналоговая – это, понятно, аналоговая; цифровая – адресная, IP-шная.

Это коробочное решение, на самом деле. То есть, вы покупаете какое-то количество громкоговорителей. У вас в комплекте 2 вот таких кнопочки: они показывают, что включена аудиомаскировка или не включена: горит-не горит.

А через вот этот центральный блок и интерфейс вы активируете: шумит-не шумит.

Это система прямого поля, то есть у вас громкоговорители висят над вами.

08.08.2019 08:18:29

САПУИБ – система автоматизации процессов управления информационной безопасности

Олег Марков, "Газинформсервис"

Мы предлагаем предприятиям, ну, естественно, крупным систему автоматизации процессов управления ИБ, которая предназначена, в качестве основной цели – это, конечно, повышение эффективности системы обеспечения информационной безопасности в целом за счет автоматизации некоторых процессов управления.

Ну, а задачи я уже отчасти оговорил в процессе своего спича: это и унификация деятельности подразделений ИБ (особенно это важно, если много филиалов у нас), это обеспечение информационного взаимодействия подразделений ИБ и IT и, в том числе, взаимодействие с бизнес-подразделениями, это агрегация данных по различным направлениям ИБ – информационной безопасности

20.08.2019 10:34:22

Стащил из Facebook:

Информационная безопасность

29.08.2019 07:11:39

Информационная безопасность. Структура и модули САПУИБ

Олег Марков, "Газинформсервис"

Ну, если говорить об интеграционном объеме, в качестве примера, вот смотрите – модуль управления инцидентами, самый такой простой и понятный, потому что вам переде этим только что рассказывали вот об этой системе SIEM.

Что она нам дает на вход в наш модуль управления инцидентами?

После срабатывания коррелятора система эта не инцидент выдает. А что? Подозрение.

Потому что это только подозрение. Оно поступает сюда, и вот тут оператор принимает решение – является это подозрение инцидентом, и следует ли его в задачу на проработку. Ну, и дальше там задачу распределять IT, внутри решить. Или это ложное срабатывание?

Требуется поставить что? Задачу на, например, доработку корреляционного правила, загрубить его.

26.09.2019 20:28:46

Безопасность виртуального мира - Utopia ecosystem 100%. Недавно тестил её, очень понравилось, немного доработки и все переключатся на неё.

04.03.2020 08:26:45

Юрий Основский "Атом Безопасность"

Самый важный фактор утечки информации, вообще контроля любой работы, это человек, как известно.

Наш программный комплекс предназначен для контроля пользователей. Иными словами, если вы как работодатель хотите знать, что делают ваши пользователи на ваших компьютерах в рабочее время – это к нам.

Основная задача нашего программного комплекса – это предотвратить потери финансов предприятия. Давайте посмотрим, каким образом предприятия теряют деньги.

Предприятия теряют деньги из-за утечек информации, различного рода злоупотреблений сотрудников и мошенничества, нецелевого и неэффективного использования рабочего времени.

Чуть позже мы рассмотрим именно вот этот фактор, потому что, я его, например, считаю самым важным.

Отсутствие сотрудников на рабочем месте – с этим сталкивались вы все, когда звоните в колцентр: "Ваш звонок очень важен для нас, все операторы заняты".

На самом деле, в одном из московских колцентров с помощью нашего софта было выяснено, что из 10 операторов дежурной смены, как правило, работают 2 - 3.

17.07.2020 20:25:16

Владимир Безмалый
Грабители могут узнавать, есть ли кто-то дома, путем пассивного анализа трафика IP-камер
Для распознавания активности в доме злоумышленникам даже не нужно анализировать видеоконтент.
Международная группа специалистов из Китайской академии наук и Лондонского университета королевы Марии провела исследование потенциальных рисков, представляемых домашними камерами видеонаблюдения.
В частности, ученые попытались выяснить, может ли злоумышленник получить конфиденциальную информацию о владельце IP-камеры путем пассивного отслеживания трафика без анализа его содержимого. Как оказалось, с помощью мониторинга трафика, генерируемого камерами видеонаблюдения, можно определить, находится ли кто-то дома. Более того, можно также предугадать будущую активность в доме, чем могут воспользоваться грабители.
Исследователи выяснили, что злоумышленник может определять, когда камера загружает движение в доме, и даже отличать один тип движения от другого, например, сидение от бега. Для этого не нужно изучать сам видеоконтент, достаточно лишь видеть частоту, с которой камера загружает видео через интернет.
«Считавшиеся ранее устройствами класса «люкс» камеры видеонаблюдения в настоящее время являются обычным делом в домах по всему миру. Поскольку они становятся все более вездесущими, очень важно продолжать изучение их активности и потенциальных рисков. В то время как множество исследований посвящены потоковому online-видео наподобие YouTube и Netflix, насколько нам известно, это первое исследование, посвященное изучению трафика потокового видео, генерируемого камерами, и определению связанных с ними рисков. Понимая риски, мы теперь можем предложить способ их минимизации и защиты приватности пользователей», - сообщил один из авторов исследования, профессор Лондонского университета королевы Марии Гарет Тайсон (Gareth Tyson).
#новости securitylab