Бюджет на ИБ солидной компании. Per aspera ad astra

Что такого есть в большой компании, чего нет больше нигде?

Вымышленный разговор.

IXIA ThreatArmor для SOC: экономическая эффективность

И снова анализ решения, предлагаемого IXIA. Не для рекламы, а для общего развития. На этом месте мог оказаться любой вендор, и еще окажется неоднократно. Хотя, учитывая количество постов, сгенерированное семинаром IXIA, могут закрасться подозрения.

IXIA предлагает ThreatArmor как некоторое устройство, которое топологически может быть установлено в двух местах корпоративной сети: на входе из Интернет (стык с пограничным роутером или firewall), и на входе в инфраструктуру ИБ с "внутренней" стороны.

Более подробно и официально рассказано на сайте производителя и дистрибьютора. Кроме того, я в своем блоге также описывал некий блиц-анализ работы этого решения с моей точки зрения.

Вкратце: ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир). База IP-адресов категоризируется по странам, видам вредоносных воздействий и т. п. командой Application and Threat Intelligence Team. Обновление происходит каждые 5 минут.

Попробуем вычислить экономическую эффективность подобного решения.

Bug Bounty: сканер против человека

Прочитал недавно новость на securitylab. Основой для нее была статья на csoonline.

Оспаривается эффективность программ Bug Bounty. Не то, чтобы я большой фанат этой программы или багхантер, который тянет одеяло в свою сторону, но с некоторыми утверждениями не полностью согласен.

Посмотрим, какие используются аргументы.

SNMP в мире ШПД как источник DDoS: найти и обезвредить

Ради интереса решил посмотреть, что расскажет шодан об устройствах мира, на которых стоят значения SNMP community по умолчанию (public, private etc).

Построил отчет, благо несложно и бесплатно.

Что радует - России в Top 10 нет. В ней на момент формирования отчета шодан насчитал 55 тысяч SNMP по умолчанию, что на 14.5 тысяч меньше, чем у Ирана, который на 10 месте.

Из 3.75 млн дырявых устройств 1.43 млн держит Бразилия - больше, чем остальной Top 10 вместе взятый.

PHDays CTF: "Противостояние" глазами "защитника" в журнале "Системный администратор"

Агрегировав весь свой поток подсознания по результатам участия в соревнованиях PHDays "Противостояние", я перевел его на более-менее официальный язык и описал смысловое наполнение в одной статье для журнала "Системный администратор". С текстом статьи можно ознакомиться в июньском выпуске по ссылке.

PHDays CTF: "Противостояние" глазами "защитника". Часть 7. Выводы

Итак, описав в шести частях наше участие в противостоянии, неплохо было бы сделать выводы по результатам соревнований. Несмотря на то, что нас не победили, я понял, что нам еще есть куда расти как защитникам. Противостояние дало возможность поработать в считающихся нереальными условиях абсолютного админского косяка: default permit на пограничном firewall и неконтролируемое появление дырявых серверов в DMZ. Как некоторый итог, для проверки степени защищенности инфраструктуры необходим определённый checklist, с которым нужно сверяться.

DNS как источник DDoS: динамика латания дыры по миру

Ни для кого не секрет, что открытые резолверы DNS с неконтролируемой рекурсией - неиссякаемый источник DDoS-атак типа amplification (усиление).

В связи с желанием сделать мир чище, в частности, в противодействии DDoS без особых затрат, решил недавно поинтересоваться статистикой наличия открытых DNS-резолверов по странам и динамикой их закрытия.

ENOG 11. Доклады по защите от DDoS и моя статья в журнале

Сегодня был на конференции ENOG 11, организованной RIPE NCC.

Логично, что меня как инженера по защите информации в большей части интересовала часть программы, посвященная защите от DDoS. На мероприятии, организованном RIPE, я был в первый раз, поэтому у меня были на счет содержимого докладов определенные ожидания. Но я нашёл, в том числе, и свою ошибку.

PHDays CTF: "Противостояние" глазами "защитника". Часть 6. Нестандартный метод защиты SSH

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 6. Нестандартный метод защиты SSH
С частью 5 (описание хода сражения)  можно ознакомиться постом ранее.

- Почему нам нельзя перенастраивать сетевое оборудование, если мы его защищать должны? Без этого никак.
- А, вы телеком-защитники. Тогда вам можно, но сервисы должны быть доступны и чтобы не терялось управление. Иначе мы подойдем к вам и спросим: "Что за дела?". Если не сможете быстро починить - вернем к настройкам до начала соревнований, а вам выставим штрафные баллы. Поэтому с изменением сетевых настроек будьте аккуратны.
- Это не проблема. А если для обеспечения безопасности нам нужно будет развернуть трафик по-другому, завязать узлом, но при этом все будет работать?
- Тогда мы придем к вам с бумажкой - записать, что и как вы делали, интересно ведь.

- А зачем ты на Positive Hack Days решил Balabit использовать? Чем он там поможет?
- Будем админов мониторить. Они обещали периодически на серверах взводить дырявые сервисы.
- Ну, как знаешь.

Это два реальных разговора при подготовке к PHDays. До определенного момента я сам не думал, что они будут настолько плотно взаимосвязаны. Естественно, после разговора с организаторами я подумывал, что надо бы и удивить, раз грозился. По ходу соревнований вектор настроения потихоньку сдвинулся от первоначального желания в сторону "забетонироваться". Но чудесным образом получилось так, что в итоге они слились. И об этом пойдет рассказ.