Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 33 сообщений
Cообщения с меткой

viruses - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

1.Check Point на максимум. Человеческий фактор в Информационной безопасности

Вторник, 25 Июля 2017 г. 10:42 (ссылка)



Ни для кого не секрет, что 2017 год выдался весьма “жарким” для всех специалистов по информационной безопасности. WannaCry, Petya, NotPetya, утечки данных и многое другое. На рынке ИБ сейчас небывалый ажиотаж и многие компании в ускоренном порядке ищут средства защиты. При этом многие забывают про самое главное — человеческий фактор.



Согласно отчетам компании Gartner за 2016 год, 95% всех успешных атак можно было предотвратить при грамотной настройке существующих средств защиты. Т.е. компании уже обладали всеми средствами для отражения атак, однако серьезно пострадали из-за невнимательности или халатности сотрудников. В данном случае компания теряет деньги дважды:


  1. В результате атаки;

  2. Выброшены деньги на средства защиты, которые не используются даже на 50%.





Если вспомнить тот же WannaCry, то жертвами данного шифровальщика стали компании, которые вовремя не обновили операционные системы и не закрыли “лишние” порты на межсетевых экранах. На самом деле здесь много и других факторов, такие как отсутствие централизованного управления, системы централизованного мониторинга, сбора и корреляции событий (т.е. SIEM, который тоже нужно “правильно” настроить). Подобных примеров можно привести очень много. Взять то же сетевое оборудование. По работе мне часто приходилось участвовать в очень крупных проектах, где ставилась задача по защите сети в 5-10 тысяч пользователей. Закупалось огромное количество дорого оборудования — межсетевые экраны, системы предотвращения вторжений, прокси-сервера и т.д. Бюджет проектов исчислялся десятками миллионов рублей. Представьте мое удивление, когда после внедрения таких “дорогущих” проектов обнаруживалось, что на обычном сетевом оборудовании использовались пароли вроде “admin” или “1234” (и эти пароли не менялись годами, даже после смены системных администраторов). Для подключения к коммутаторам использовался незащищенный протокол “Telnet”. В офисах стояли хабы, которые принесли сами пользователи, “потому что им так удобнее”. В корпоративную сеть подключались личные ноутбуки сотрудников. В ИТ инфраструктуре была полная анархия. Т.е. несмотря на потраченные миллионы, такую сеть мог бы “положить” даже школьник в течении 5 минут.



Что уж говорить о настройке таких “сложных” средств защиты как межсетевые экраны следующего поколения (NGFW) или UTM-устройства. И не важно на сколько дорогой фаервол вы купили и какое место он занимает в ежегодном рейтинге того же Gartner.



Нужна грамотная настройка и администрирование! Довольно часто можно встретить жесткую критику того или иного решения со стороны администраторов. Однако, при проверке конфигурации понимаешь, что кроме списка доступа “permit ip any any” ничего больше и не настраивалось. Результат в таком случае закономерен. Cisco, Fortinet, Check Point, Palo Alto, без разницы. Без правильной настройки это деньги на ветер (и зачастую весьма большие деньги). Кроме того, нужно понимать, что информационная безопасность это непрерывный процесс, а не результат. Выполнив настройку один раз, вам обязательно придется вернуться к ее актуализации через какое-то время.



В связи со всем выше описанным, мы анонсируем новый мини-курс по настройке Check Point, в котором мы постараемся показать, как “выжать” из него максимум защиты. Да, наличие Check Point-а не гарантирует хорошую защиту без адекватной настройки, собственно как и для любых других решений. Это всего лишь инструмент, которым нужно правильно пользоваться. Ранее мы уже публиковали статью по лучшим практикам в части настройки блейда Firewall, теперь же мы сосредоточимся на таких блейдах как Anti-Virus, IPS, Threat Emulation, Application Control, Content Awareness и т.д. Также мы обязательно рассмотрим блейд Compliance, который призван минимизировать ошибки и опасности в конфигурации Check Point-а (т.е. уменьшить влияние человеческого фактора).

При этом мы не будем ограничиваться лишь теоретическими данными и опробуем все на практике. Все настройки мы осуществим в новейшей версии Check Point — R80.10. Уроки будут в формате “Оружие — Защита”. В целом, наш макет будет выглядеть следующим образом:



Для тестов мы будем использовать дистрибутив Kali Linux (Hacker PC), генерируя вирусы различных видов и пытаясь “протащить” их через Check Point различными способами (доставка почтой или через браузер). Мы рассмотрим способы обхода антивирусов и систем предотвращения вторжений с помощью различных механизмов обфускации кода. Т.е. по сути мы будем заниматься чем-то вроде pentest-а, что в принципе и является лучшим методом проверки качества защиты и качества настройки.



Как вы понимаете, в рамках одного мини-курса невозможно объять необъятное, поэтому мы рассмотрим защиту от атак только на примере Check Point (возможно в будущем затронем и других вендоров). Однако, даже если вы не используете Check Point, то с помощью данных уроков, в последствии вы сможете самостоятельно протестировать эффективность своих текущих средств защиты. Мы сформируем некий чек-лист обязательных проверок. В крайнем же случае (если вам лень) воспользуйтесь хотя бы базовыми проверками, которые мы публиковали ранее.



На этом наше введение заканчивается. Надеюсь что данный курс вас действительно заинтересовал, а в следующем уроке мы поговорим о https инспекции.




Используете ли вы Pentest для проверки защищенности своей сети?
















































Проголосовал 1 человек. Воздержавшихся нет.





Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/334052/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Check Point Security CheckUP — R80.10. Часть 3

Понедельник, 05 Июня 2017 г. 23:53 (ссылка)



Третья и заключительная часть, касающаяся возможности проведения бесплатного аудита безопасности сети с помощью Check Point Security CheckUP. Если вы пропустили прошлые части:



Закончив установку и инициализацию мы можем приступить к самой настройке. Далее будет следовать большое кол-во картинок. Если же вам лень читать, то можете подписаться на наш YouTube канал, где в скором времени появится видео инструкция по CheckUP.



Первым делом необходимо поправить топологию сети, как это показано на рисунке ниже. У нас должно появится два интерфейса.



Далее мы должны определить первый интерфейс (который используется для управления и выхода в интернет) как Internal, включить антиспуфинг в режим detect и отключить логирование (дабы не захламлять отчет):



Второй же интерфейс мы обязательно определяем как External с аналогичными настройками антиспуфинга.



В итоге должно получиться следующее:



Теперь можно переходить к включению блейдов. Для этого двойным кликом открываем свойства шлюза и начинаем галочками отмечать нужные блейды (Application Control, URL Filtering, IPS...):



Если же вы попытаетесь включить Threat Emulation



то обнаружите ошибку:



К сожалению Trial режим на 15 дней не включает функцию облачной песочницы (Threat Emulation). Если данная функция очень нужна, то можно запросить демо-лицензию на месяц.



Для идентификации пользователей (именно username, а на ip-адреса) необходимо настроить интеграцию с AD с помощью блейда Identity Awareness



Для этого используется учетная запись с админскими правами. Фактически Check Point подключается к серверу AD и выгребает логи связанные с аутентификацией пользователей, после чего он может сопоставить пользователя и его ip-адрес. Указав домен, учетные данные и ip-адрес AD сервера мы должны успешно подключиться:



Включив нужные фаервольные блейды (Network Security) мы можем перейти на вкладку Management и включить блейд Smart Event:



Именно этот блейд позволяет генерировать комплексные отчеты.



После этого не забудьте нажать Ok, а не просто закрыть окошко. Теперь можно перейти к настройки некоторых блейдов. Начнем с Application Control. Укажите настройки в соответствии с картинкой ниже:



Тоже самое сделайте для блейда Threat Prevention:



Теперь можно перейти к настройкам политик. Начнем с обычных фаервольных. Естественно разрешаем весь трафик и ВЫКЛЮЧАЕМ логирование. Данные логи абсолютно не интересны в отчете и лишь увеличивают нагрузку на устройство при их обработке:



Теперь Application Control и URL filtering. По умолчанию данная политика отсутствует (в отличии от R77.30) и чтобы это исправить, нужно сначала их включить. Делается это следующим образом:



Добавляем новый Layer:



с именем Apllication и отмечаем только один блейд:



Должно получиться следующее:



Теперь в политиках появилось Application. Разрешаем весь трафик:



И обязательно включаем Detaild Log и Accounting:



Затем можем попробовать обновить базы:



Процесс обновления будет отображаться в левом нижнем углу. Дождитесь его окончания:



Теперь можно перейти к настройкам политики Threat Prevention. По умолчанию устанавливается дефолтная политика с профилем Optimized:



Необходимо поправить настройки. Двойным кликом открываем свойства профиля и выставляем все в режим Detect (нет смысла в Prevent на копии трафика):



В настройках Ативируса включаем «глубокое» сканирование и проверку архивов:



В настройках Threat Emulation (если вы получили лицензию) включаем эмулирование для всех поддерживаемых файлов:



При нажатии Ok, нам предложат сохранить профиль под новым именем:



Сохранив, выставляем его в политиках Threat Prevention (правой кнопкой мыши по профилю):



Теперь можно перейти в раздел Updates и попробовать обновить IPS и другие блейды:



Кроме того, нужно зайти в глобальные свойства Check Point:



И отключить Drop-ы, как на картинке ниже:



Теперь необходимо проинсталлировать политики. Нажимаем Install Policy:



И сначала отмечаем только Access Control (Threat Prevention не установится без этой политики):



После успешной установки еще раз нажимаем Install Policy и выбираем уже только Threat Prevention:



Готово! Если вы правильно настроили SPAN-порт, то Check Point уже должен начать обрабатывать трафик. Чтобы убедиться в этом можно перейти во вкладку Logs & Monitor и отфильтровать логи например по блейду Apllication Control:



Если все хорошо, то оставьте логирование хотя бы на один день, после чего можно будет посмотреть статистику нажав на New Tab — Reports — Security CheckUP Advanced



Должно получиться следующее:



Данный отчет вы сможете скачать в PDF формате, при этом есть возможность сделать отчет анонимным, т.е. исключить параметры, по которым можно идентифицировать вашу организацию.



Желательное время для сбора статистики — две недели. Пример отчета можно посмотреть здесь.



Вот таким «нехитрым» образом можно провести экспресс анализ безопасности вашей сети. Искренне надеемся, что данная информация кому-то пригодится. Если возникнут вопросы то можете смело обращаться. Повторюсь, в скором времени на нашем канале будет выложена видео инструкция.
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/330074/

Комментарии (0)КомментироватьВ цитатник или сообщество
sgg

вот тебе и корректор... о вредном трояне

Среда, 30 Сентября 2009 г. 04:04 (ссылка)

Это цитата сообщения rss_drweb_viruses Оригинальное сообщение

«Корректор», распространяющий Trojan.Encoder, шифрует данные пользователей







28 сентября 2009 года


Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о новой волне распространения Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41). Вирусы данного семейства шифруют данные на компьютерах пользователей и требуют деньги за расшифровку. Последние модификации Trojan.Encoder принадлежат перу одного автора, иногда называющего себя «Корректор».


Модификации данного семейства вирусов шифруют большинство документов на компьютере, делая невозможной работу с ними. Исключение составляют файлы, относящиеся к системе и установленным в ней программам. Заражению они не подвергаются, а компьютер продолжает работать, позволяя жертве мошенничества связаться со злоумышленником и перечислить ему требуемую сумму денег.


Особенностью последних модификаций Trojan.Encoder является то, что они добавляют к зараженным файлам окончание vscrypt — к примеру, вместо pic.jpg файл получает имя pic.jpg.vscrypt.


Trojan.Encoder в настоящее время распространяется посредством ссылок на вредоносный сайт в почтовых сообщениях. Пользователю предлагается просмотреть открытку, якобы присланную от имени сервиса открыток Мail.ru. При открытии соответствующей страницы предлагается установить кодек, который на самом деле оказывается троянской программой.





После окончания процесса шифрования файлов Trojan.Encoder выводит на Рабочий стол Windows сообщение о том, что документы зашифрованы, а также приводит контактные данные злоумышленника. На изображении показан один из вариантов отображения контактной информации.








Ежедневно в службу технической поддержки «Доктор Веб» обращаются десятки пользователей с симптомами заражения этой вредоносной программой. Общее же число жертв может быть в разы большим. Все, кто использует антивирусные решения Dr.Web, надежно защищены от данной угрозы.





Напомним, что в декабре, августе и сентябре 2008 года «Доктор Веб» уже сообщал о других модификациях этого семейства троянцев — Trojan.Encoder.33, Trojan.Encoder.20 и Trojan.Encoder.19. Большинство модификаций Trojan.Encoder предлагают пользователю воспользоваться дешифровщиком, для чего требуют перевести на счет киберпреступников от 10 до 89 долларов. Аппетит «Корректора» сопоставим с запросами авторов предыдущих модификаций — в настоящий момент пользователи-жертвы сообщают о цене в 600 рублей за один экземпляр расшифровщика.



Компания «Доктор Веб» категорически не рекомендует платить злоумышленникам выкуп. Кроме того, мы настоятельно просим пользователей не пытаться переустановить систему и восстанавливать ее из резервных копий, а обратиться за помощью в техподдержку компании «Доктор Веб», либо в специальный раздел официального форума. Для расшифровки данных можно воспользоваться специальными утилитами, разработанными специалистами компании «Доктор Веб». Доступ к этим утилитам предоставляется по запросу пользователей, выславших образцы зашифрованных файлов, которые позволят определить версию Trojan.Encoder.




http://feedproxy.google.com/~r/drweb/viruses/~3/9kqW2hFLbZE/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
JaguarFiend

Reformat

Суббота, 27 Декабря 2008 г. 08:44 (ссылка)

Here's the update I promised. I have reformatted my computer. This is something that I hate doing since when I set my computer up I really 'dig in' and try to make it permanent. This was long overdue anyway, but I was clearly infected with something. When Internet Explorer started using more and more memory by the minute, and eventually crashed (taking the start menu with it) I'd had enough. All my files were recently backed up, which is something I did as soon as I realized that my computer had developed serious issues (the rogue software 'MS Antispyware 2009' popped up). I made a list of programs and items that I would need to replace and did the deed. I've spent Wednesday night and a good portion of Thursday getting things back to how I like them, and I still have a bunch left to go...

My father, it had turned out, had also reformatted his laptop, but not before we had some success in dealing with the threats. With the help of my friend Mike I found out that the hard drive was quite easy to remove from the laptop. Upon inspecting it, we realized that it was a SATA harddrive. Most drives inside of computers these days use SATA connections, as opposed to the old IDE. Turns out that SATA is a true testament to modern technology. We simply connected that harddrive from my dad's laptop to my big desktop PC (which I use almost exclusively for games) and we were able to see its contents. It is like plugging in a USB drive; you seriously don't even have to turn the computer off to do it. I copied the entire harddrive to my big computer, and so none of my dad's files are lost. In the process, my big computer's AVG Antivirus scanned the laptop harddrive and cleaned out a whole bunch of trojans and other bad things. When the hard drive was put back into the laptop, it was a whole new machine. The rogue software no longer popped up and things started slowly coming back to normal (internet worked, usb drives worked, just about everything). The only issue was that after a while, when we were able to get online, we realized that something still plagued the computer. When trying to go to msn.com, for example, Internet Explorer would instead open a new window with amazon.com. When trying to go to Amazon.com it would open a new window with recommended Anti-spyware products (many of which are known to be malicious rogue software), etc. This was obviously very bad. I do not know if these things found their way into the computer AFTER the harddrive was taken out or if they were already there and the AVG on my big computer did not find them. I wish my dad would have waited to reformat because the computer was in a very functional state and I wanted to try and fight these problems and see if I could stop them. It would have been a valuable experience...

All of this was a very important learning exprience, though. It is a great comfort to know that if you have a SATA harddrive and you are having problems, no matter how screwed your computer is, even if it won't boot, you can connect the harddrive from it to another computer and save your files. The second computer won't need to boot from this drive so it should be able to show you its contents no matter what. Regrettably, after checking, I have to say that my laptop is not SATA based but infact IDE... This is strange since, while old, my laptop is quite a bit newer than my dad's and both were bought as some of the cheapest options of their respective times. His Compaq must have been an early adopter of SATA...

As you can see from the comments of my previous entry, this website's creator and main moderator has linked to me in one of his journal entries giving me a lot of traffic on my page. I should note that he seems like a very nice guy, but he was not correct in thinking that I use this website by doing everything through Google Translate. No, sorry: I read Russian and understand everything...

(For the record, Google Translate, while having the most languages and the nicest interface, does a terrible job of translating. I have tried tranlating some of the things that I've written in English into Russian using it and it is very wrong a lot of the time. It has a terrible sense of context. If you need to translate I have found much better results with www.freetranslation.com.)

...I should have seen it coming. I got a lot of grief for suggesting that the rogue software and virus infections that plagued mine and my dad's computers originated from liveinternet.ru, but I stand by my suspicions. I will once again clarify that I am not necessarily saying that the site's owners have done anything wrong (Valez seems like a great guy), but that the problems originated via Drive-by download from advertisements or through some sort of exploited scripts on the site (see my last journal entry). Of course HTML and pictures alone aren't going to do these sorts of things! When Janet Jackson's breast fell out of her outfit during the 2004 Superbowl half-time show thousands of people phones ABC (the broadcasting company) to express their outrage. Of course none of this was ABC's fault.. they were simply broadcasting the signal when the accident happened. Did I make my point? By the way the lesson learned from that was to put everything on a longer delay (at least 10 seconds, probably more), giving the signal controllers time to edit out questionable content.



Please see the picture below. It was taken briefly before I reformatted. Don't even suggest that I doctored the picture. Yes, I do have Photoshop and I know how to work with images to potentially fake it but I have no motive for that and, frankly, I have better things to do with my time.

The trial version of Spyware doctor warns that liveinternet.ru is listed as a known bad site. I have never visited the other Russian site that is listed below it, so it must have been connected to advertisements from li.ru. While this spyware detection program is known for being a bit overzealous at times, and those ARE just cookies, it is still saying that liveinternet.ru is on a known bad-list. I still suspect that the rogue software and virus programs that affected my father and I originated from li.ru, or, more precisely, by drive-by download from some sort of ads or scripts on the site.

I'll say again: Keep Windows current with Windows Update and keep your antivirus/software applications updated!







Useful information: When trying to battle the infestation before removing the harddrive, my friend and I did the following things that seemed to help: After terminating all known processes related to the rogue software (see my last entry) we changed all of the files in its folder to read-only status, and set the executables to run in compatability mode with Windows 95, as well as checking all the other dumb-down compatability options. This stopped the annoying bogus program from popping up every two minutes. Another suggestion that a user reported as effective was to make empty, fake files and rename them to the same names as files in the rogue software's directory. Then after terminating the processes simply replace the files. We did not do this since the first-described method worked for us.

Комментарии (12)КомментироватьВ цитатник или сообщество

Следующие 30  »

<viruses - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda