Show content

Информационная безопасность?.. Кибербезопасность?..

Форум Системы безопасности / Форум по информационной безопасности /

04.06.2019 16:05:37

Positive Technologies:

MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK

В MaxPatrol SIEM загружен новый пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.

MITRE ATT&CK — база знаний с описанием тактик, техник и процедур атак злоумышленников. Специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center) создадут специальную серию пакетов экспертизы для MaxPatrol SIEM, каждый из которых выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Первый пакет из серии включает 15 правил корреляции событий ИБ, помогающих выявить наиболее актуальные техники атак, присущие тактикам «Выполнение» и «Обход защиты». В тактику «Выполнение» входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Они используются, среди прочего, для горизонтального перемещения, чтобы расширить доступ к удаленным системам в сети. Тактика «Обход защиты» объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты.

«Классические SIEM-системы не способны выявлять атаки злоумышленников, в которых используются эксплойты нулевого дня, поэтому их целесообразнее "ловить" на последующих этапах атаки, — комментирует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Классическим шагом злоумышленников является выполнение вредоносного кода и попытки обхода средств средств защиты для успешного достижения своих целей. Поэтому в первую очередь мы подготовили пакет экспертизы, покрывающий тактики "Выполнение" и "Обход защиты" по модели MITRE ATT&CK. Как правило, эти тактики используются на этапах проникновения злоумышленника в инфраструктуру».

Правила корреляции, среди прочего, выявляют техники с применением метода living off the land (LOTL): когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Такой метод все чаще используют APT-группировки; например, группировки Cobalt Group и MuddyWater использовали встроенную в Windows утилиту «Установщик профилей диспетчера подключений» для запуска вредоносного ПО. Метод LOTL позволяет действовать под видом легитимной работы системного администратора, что снижает вероятность обнаружения атаки традиционными средствами безопасности и, следовательно, ее блокировки.

До конца 2019 года в MaxPatrol SIEM будут загружены пакеты экспертизы для выявления тактик получения первоначального доступа (Initial Access), закрепления (Persistence), получения учетных данных (Credential Access) и горизонтального перемещения (Lateral Movement). Все пакеты экспертизы будут пополняться правилами по мере обнаружения новых техник, тактик и процедур атак.

13.06.2019 08:38:23

Безопасность переговоров

Андрей Когтев "Hi-Tech Media"

"Cambridge" - крупнейший, как вы видите, производитель и поставщик решений по аудио маскировке помещений. То есть это что-то там шумит, где-то там – разборчивость встречи теряется. Соответственно, у них 2 линейки всего: аналоговая и цифровая. Аналоговая – это, понятно, аналоговая; цифровая – адресная, IP-шная.

Это коробочное решение, на самом деле. То есть, вы покупаете какое-то количество громкоговорителей. У вас в комплекте 2 вот таких кнопочки: они показывают, что включена аудиомаскировка или не включена: горит-не горит.

А через вот этот центральный блок и интерфейс вы активируете: шумит-не шумит.

Это система прямого поля, то есть у вас громкоговорители висят над вами.

08.08.2019 08:18:29

САПУИБ – система автоматизации процессов управления информационной безопасности

Олег Марков, "Газинформсервис"

Мы предлагаем предприятиям, ну, естественно, крупным систему автоматизации процессов управления ИБ, которая предназначена, в качестве основной цели – это, конечно, повышение эффективности системы обеспечения информационной безопасности в целом за счет автоматизации некоторых процессов управления.

Ну, а задачи я уже отчасти оговорил в процессе своего спича: это и унификация деятельности подразделений ИБ (особенно это важно, если много филиалов у нас), это обеспечение информационного взаимодействия подразделений ИБ и IT и, в том числе, взаимодействие с бизнес-подразделениями, это агрегация данных по различным направлениям ИБ – информационной безопасности

20.08.2019 10:34:22

Стащил из Facebook:

Информационная безопасность