Сообщения

Сообщения за Октябрь, 2016

СОИБ. Планирование. Противодействие комбинированным атакам / Kill Chain

Изображение
В комментариях к одному из блогов наткнулся на интересную свежую инфогарфику от netspi– на одном плакате подробно рассматривалась последовательность действий нарушителей или пентестеров (RedTeam) и лиц, ответственных за безопасность (BlueTeam) во время комбинированной кибератаки (KillChain).
Такой анализ с точки зрения ИБ полезен - разорвав цепочку в одном месте, мы фактически блокируем всю цепочку атак. Но учитывая вероятность пропустить атаку в одном месте, лучше реализовывать контрмеры для большинства этапов атаки.   
Так как в исходной инфографике все было подробно и просто описано, решил просто перевести и оставить тут на память. Некоторые специфические термины или наоборот, общеизвестные в ИТ сокращения не стал переводить, чтобы не усложнять текст и не вносить путаницу.


почитать - правый клик на картинке и открыть в новой вкладке или сохранить

вариант PDF по этой ссылке


Напомню, что в проекте новой методики ФСТЭК также планировалось выполнение анализа угроз, возможность выполнени…

СОИБ. Анализ. Одна DDoS атака

Изображение
После одной из предыдущих статей про DDoS атаки получил несколько ссылок на отчет NexusGuard за 2 квартал 2016 года, в котором говорится что Россия вышла на первое место по атакуемым узлам, показав рост в 1992%.  
Захотелось копнуть этот отчет подробнее.   Оказалось, что подавляющее большинство случаев выло связанно с непрерывной двухдневной DDoSатакой на все IP-адреса провайдера Starlink. Что такого интересного было размещено у Starlink-а?

Вполне можно было бы nslookup-нуть или сделать reversednsзапросы на все ipадреса. К сожалению, оказалось, что нет бесплатных сервисов, которые позволяли выполнить такие запросы для целой сети. В OSSINTсервисах типа Maltego– ограничения на reversednsзапросы в 2 тыс IPадресов. А нам надо 65 тыс.
Подходящим вариантом оказалась довольно старая утилитка FastResolver, а также возможность заскриптовать запросы к onlineсервису reversedns (за один раз не более 256 ip) for /L %i IN (0,1,255) DO curl http://api.hackertarget.com/reversedns/?q=77.50.%i.0/24 >&…

СОИБ. Анализ. Российский государственный сегмент сети Интернет или RSNet

Изображение
Неделю назад был зарегистрирован очередной документ из серии Российский государственный сегмент Интернет - Положение о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утвержденное приказом ФСО РФ №443 от 7 сентября 2016 г. (Положение)
Давайте разберем по подробнее что тут, а то возникают домыслы, что туда будет включены чуть ли не все сети на территории РФ.
Кроме указанного выше документа, учитываем ранее утвержденный Указом Президента Российской Федерации от 22 мая 2015 г. N 260 Порядок подключения информационных систем и            информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети "Интернет" и размещения (публикации) в ней информации через российский государственный сегмент информационно-телекоммуникационной сети "Интернет" (Порядок).
Российский государственный сегмент сети Интернет (далее – RSNet) – включается в себя: ·информационные системы (ИС), находящиеся в ведении ФСО России …

СОИБ. Лучшие практики уровня государств. Директива Евросоюза по повышению безопасности сетей и информационных систем (NIS Directive)

Изображение
В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный документ, устанавливающий требования по ИБ для операторов ключевых / критически важных / жизненно важных услуг (operatorsofessentialservices) и провайдеров цифровых услуг (digitalserviceproviders).
Да! Да! Требования касаются не Госов и не операторов ПДн. И не надо больше говорить, что у нас в РФ самый страшный комплаенс по ИБ. 
Сам документ очень хорош и не удивительно, ведь работа над ним велась почти 3 года. В самом же документе подробно поясняется почему приходится вводить такие требования для коммерческих компаний – ведь очень сильно современная жизнь людей стала завысить от различных сетей и информационных систем.  И вообще в документе достаточно много внимания уделено разъяснениям, определениям, правилам для определения на кого распространяются требования, разъяснениям как быть с отраслевыми требова…

СОИБ. Анализ. Новости и маркетинг о DDoS атаках

Изображение
За последний месяц вышло очень много новостей по теме DDoS. Даже если не брать во внимание Кребса и атаки западных ресурсов, можно увидеть, что за последний месяц-два произошло очень много атак на территории РФ. Сайты блокировались от 1 дня до 7 дней: ·Телеканал RT ·Двач ·aftershock.news ·ИА “Взгляд-инфо” ·ИА “Свободные новости” ·47news ·ИА «Тульские новости» ·кол-центр «Наблюдателей Петербурга» ·«Орловские новости» ·Левада-центр ·Чиновник.ру ·ОТВ-Югра ·Тульские PRяники    ......
Русскоязычная аналитика за последний месяц: ·Касперский - 77% компаний регулярно подвергаются DDoS атакам  ·Cnews опубликовал оценки IDC о росте российского рынка защиты от DDoS на  25% ·Департаментпо конкурентной политике г.Москва - про атаки площадок электронных торгов