Информационная безопасность?.. Кибербезопасность?..

Positive Technologies:

MaxPatrol SIEM выявляет попытки закрепления атакующих по модели MITRE ATT&CK

В MaxPatrol SIEM загружен новый пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.

MITRE ATT&CK — база знаний с описанием тактик, техник и процедур атак злоумышленников. Специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center) создадут специальную серию пакетов экспертизы для MaxPatrol SIEM, каждый из которых выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Первый пакет из серии включает 15 правил корреляции событий ИБ, помогающих выявить наиболее актуальные техники атак, присущие тактикам «Выполнение» и «Обход защиты». В тактику «Выполнение» входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Они используются, среди прочего, для горизонтального перемещения, чтобы расширить доступ к удаленным системам в сети. Тактика «Обход защиты» объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты.

«Классические SIEM-системы не способны выявлять атаки злоумышленников, в которых используются эксплойты нулевого дня, поэтому их целесообразнее "ловить" на последующих этапах атаки, — комментирует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Классическим шагом злоумышленников является выполнение вредоносного кода и попытки обхода средств средств защиты для успешного достижения своих целей. Поэтому в первую очередь мы подготовили пакет экспертизы, покрывающий тактики "Выполнение" и "Обход защиты" по модели MITRE ATT&CK. Как правило, эти тактики используются на этапах проникновения злоумышленника в инфраструктуру».

Правила корреляции, среди прочего, выявляют техники с применением метода living off the land (LOTL): когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Такой метод все чаще используют APT-группировки; например, группировки Cobalt Group и MuddyWater использовали встроенную в Windows утилиту «Установщик профилей диспетчера подключений» для запуска вредоносного ПО. Метод LOTL позволяет действовать под видом легитимной работы системного администратора, что снижает вероятность обнаружения атаки традиционными средствами безопасности и, следовательно, ее блокировки.

До конца 2019 года в MaxPatrol SIEM будут загружены пакеты экспертизы для выявления тактик получения первоначального доступа (Initial Access), закрепления (Persistence), получения учетных данных (Credential Access) и горизонтального перемещения (Lateral Movement). Все пакеты экспертизы будут пополняться правилами по мере обнаружения новых техник, тактик и процедур атак.

Безопасность переговоров

Андрей Когтев "Hi-Tech Media"

"Cambridge" - крупнейший, как вы видите, производитель и поставщик решений по аудио маскировке помещений. То есть это что-то там шумит, где-то там – разборчивость встречи теряется. Соответственно, у них 2 линейки всего: аналоговая и цифровая. Аналоговая – это, понятно, аналоговая; цифровая – адресная, IP-шная.

Это коробочное решение, на самом деле. То есть, вы покупаете какое-то количество громкоговорителей. У вас в комплекте 2 вот таких кнопочки: они показывают, что включена аудиомаскировка или не включена: горит-не горит.

А через вот этот центральный блок и интерфейс вы активируете: шумит-не шумит.

Это система прямого поля, то есть у вас громкоговорители висят над вами.

САПУИБ – система автоматизации процессов управления информационной безопасности

Олег Марков, "Газинформсервис"

Мы предлагаем предприятиям, ну, естественно, крупным систему автоматизации процессов управления ИБ, которая предназначена, в качестве основной цели – это, конечно, повышение эффективности системы обеспечения информационной безопасности в целом за счет автоматизации некоторых процессов управления.

Ну, а задачи я уже отчасти оговорил в процессе своего спича: это и унификация деятельности подразделений ИБ (особенно это важно, если много филиалов у нас), это обеспечение информационного взаимодействия подразделений ИБ и IT и, в том числе, взаимодействие с бизнес-подразделениями, это агрегация данных по различным направлениям ИБ – информационной безопасности

Стащил из Facebook:

Информационная безопасность. Структура и модули САПУИБ

Олег Марков, "Газинформсервис"

Ну, если говорить об интеграционном объеме, в качестве примера, вот смотрите – модуль управления инцидентами, самый такой простой и понятный, потому что вам переде этим только что рассказывали вот об этой системе SIEM.

Что она нам дает на вход в наш модуль управления инцидентами?

После срабатывания коррелятора система эта не инцидент выдает. А что? Подозрение.

Потому что это только подозрение. Оно поступает сюда, и вот тут оператор принимает решение – является это подозрение инцидентом, и следует ли его в задачу на проработку. Ну, и дальше там задачу распределять IT, внутри решить. Или это ложное срабатывание?

Требуется поставить что? Задачу на, например, доработку корреляционного правила, загрубить его.

Безопасность виртуального мира - Utopia ecosystem 100%. Недавно тестил её, очень понравилось, немного доработки и все переключатся на неё.

Юрий Основский "Атом Безопасность"

Самый важный фактор утечки информации, вообще контроля любой работы, это человек, как известно.

Наш программный комплекс предназначен для контроля пользователей. Иными словами, если вы как работодатель хотите знать, что делают ваши пользователи на ваших компьютерах в рабочее время – это к нам.

Основная задача нашего программного комплекса – это предотвратить потери финансов предприятия. Давайте посмотрим, каким образом предприятия теряют деньги.

Предприятия теряют деньги из-за утечек информации, различного рода злоупотреблений сотрудников и мошенничества, нецелевого и неэффективного использования рабочего времени.

Чуть позже мы рассмотрим именно вот этот фактор, потому что, я его, например, считаю самым важным.

Отсутствие сотрудников на рабочем месте – с этим сталкивались вы все, когда звоните в колцентр: "Ваш звонок очень важен для нас, все операторы заняты".

На самом деле, в одном из московских колцентров с помощью нашего софта было выяснено, что из 10 операторов дежурной смены, как правило, работают 2 - 3.

https://www.security-bridge.com/video/videonablyudenie_idis_bezopasnost_sistem_bezopasnosti/

Константин Кошелев "IDIS"

Мы в принципе постарались стать основоположниками тренда, направленного на безопасность систем безопасности. Многие настоящие крупные вендоры, особенно европейские, подхватили эту идею и в принципе сейчас стараются производить то, что действительно защищено.

Тем не менее, в отличие от всех на рынке мы можем смело заявлять, что оборудование IDIS – это единственный вендор, который никогда не фигурировал ни в каких скандалах, связанных с обнаружением уязвимостей, крупными утечками информации, взломами и иже с ними.

Мы предлагаем целый комплекс технологий обеспечения защищенности, подробно не будем останавливаться. Но все это, в первую очередь – поставляется бесплатно, позволяет фильтровать все подключения, пробрасывать порты на базе самого регистратора, позволяет организовывать шифрование между всеми устройствами без использования дополнительных каких-то устройств.