Сообщения

Сообщения за октябрь, 2016

СОИБ. Планирование. Противодействие комбинированным атакам / Kill Chain

Изображение
В комментариях к одному из блогов наткнулся на интересную свежую инфогарфику от netspi – на одном плакате подробно рассматривалась последовательность действий нарушителей или пентестеров ( Red Team ) и лиц, ответственных за безопасность ( Blue Team ) во время комбинированной кибератаки ( Kill Chain ). Такой анализ с точки зрения ИБ полезен - разорвав цепочку в одном месте, мы фактически блокируем всю цепочку атак. Но учитывая вероятность пропустить атаку в одном месте, лучше реализовывать контрмеры для большинства этапов атаки.    Так как в исходной инфографике все было подробно и просто описано, решил просто перевести и оставить тут на память. Некоторые специфические термины или наоборот, общеизвестные в ИТ сокращения не стал переводить, чтобы не усложнять текст и не вносить путаницу. почитать - правый клик на картинке и открыть в новой вкладке или сохранить вариант PDF по этой ссылке Напомню, что в проекте новой методики ФСТЭК также планировалось выполн

СОИБ. Анализ. Одна DDoS атака

Изображение
После одной из предыдущих статей про DDoS атаки получил несколько ссылок на отчет NexusGuard за 2 квартал 2016 года , в котором говорится что Россия вышла на первое место по атакуемым узлам, показав рост в 1992%.   Захотелось копнуть этот отчет подробнее.   Оказалось, что подавляющее большинство случаев выло связанно с непрерывной двухдневной DDoS атакой на все IP -адреса провайдера Starlink . Что такого интересного было размещено у Starlink -а? Вполне можно было бы nslookup -нуть или сделать reverse dns запросы на все ip адреса. К сожалению, оказалось, что нет бесплатных сервисов, которые позволяли выполнить такие запросы для целой сети. В OSSINT сервисах типа Maltego – ограничения на reverse dns запросы в 2 тыс IP адресов. А нам надо 65 тыс. Подходящим вариантом оказалась довольно старая утилитка FastResolver , а также возможность заскриптовать запросы к online сервису reverse dns (за один раз не более 256 ip) for /L %i IN (0,1,255) DO curl http://a

СОИБ. Анализ. Российский государственный сегмент сети Интернет или RSNet

Изображение
Неделю назад был зарегистрирован очередной документ из серии Российский государственный сегмент Интернет - Положение о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утвержденное приказом ФСО РФ №443 от 7 сентября 2016 г. ( Положение ) Давайте разберем по подробнее что тут, а то возникают домыслы, что туда будет включены чуть ли не все сети на территории РФ. Кроме указанного выше документа, учитываем ранее утвержденный Указом Президента Российской Федерации от 22 мая 2015 г. N 260 Порядок подключения информационных систем и            информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети "Интернет" и размещения (публикации) в ней информации через российский государственный сегмент информационно-телекоммуникационной сети "Интернет" ( Порядок ). Российский государственный сегмент сети Интернет (далее – RSNet ) – включается в себя: ·          информационные системы (ИС), наход

СОИБ. Лучшие практики уровня государств. Директива Евросоюза по повышению безопасности сетей и информационных систем (NIS Directive)

Изображение
В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный документ, устанавливающий требования по ИБ для операторов ключевых / критически важных / жизненно важных услуг ( operators of essential services ) и провайдеров цифровых услуг ( digital service providers ). Да! Да! Требования касаются не Госов и не операторов ПДн. И не надо больше говорить, что у нас в РФ самый страшный комплаенс по ИБ.  Сам документ очень хорош и не удивительно, ведь работа над ним велась почти 3 года. В самом же документе подробно поясняется почему приходится вводить такие требования для коммерческих компаний – ведь очень сильно современная жизнь людей стала завысить от различных сетей и информационных систем.  И вообще в документе достаточно много внимания уделено разъяснениям, определениям, правилам для определения на кого распространяются требования, разъяснениям как

СОИБ. Анализ. Новости и маркетинг о DDoS атаках

Изображение
За последний месяц вышло очень много новостей по теме DDoS . Даже если не брать во внимание Кребса и атаки западных ресурсов, можно увидеть, что за последний месяц-два произошло очень много атак на территории РФ. Сайты блокировались от 1 дня до 7 дней: ·          Телеканал RT ·          Двач ·          aftershock.news ·          ИА “Взгляд-инфо” ·          ИА “Свободные новости” ·          47 news ·          ИА «Тульские новости» ·          кол-центр «Наблюдателей Петербурга» ·          «Орловские новости» ·          Левада-центр ·          Чиновник.ру ·          ОТВ-Югра ·          Тульские PRяники    ...... Русскоязычная аналитика за последний месяц: ·          Касперский  - 77% компаний регулярно подвергаются DDoS атакам  ·          Cnews  опубликовал оценки IDC о росте российского рынка защиты от DDoS на  25% ·          Департаментпо конкурентной политике г.Москва  - про атаки площадок электронных торгов ·          Imperva – число атак удвои