Верхнее

Сантехник

Solar JSOC 2.0: Лучший сантехник — тот, который будет потом вместе с вами жить

Вчера Солар Секьюрити проводила свою очередную пресс-конференцию для СМИ и блогеров. Мне, к слову, судя по постам, очень нравится их посещать =)

В этот раз речь шла об обновлённой концепции Security Operation Center — Solar JSOC. Кстати, буква «J» в названии, ранее обозначавшая «Jet» из-за принадлежности к Инфосистемам Джет  (Jet Infosystems) теперь коллегами расшифровывается как «Jedi».

Про саму изменившуюся сервисную модель Jedi Security Operation Center речь шла в конце, а сначала были представлены:

  • Обзор Даркнета;
  • Статистика по кибератакам в Q3 2016;
  • Опыт противодействия преступникам.

Обзор Даркнета

Про Даркнет послушать было любопытно. Эльман Бейбутов рассказал, что хакеры всё активнее занимаются рекламой и продвижением себя и своих услуг, по сути, ведя себя как любые начинающие ИБ-вендоры или интеграторы.

Создают красивые сайты, строго следят за репутацией и своим рейтингом (на соответствующих сайтах, работающих по принципу Booking.com, Rentalcars и проч.) и даже снимают промо-ролики. Пару таких роликов можно посмотреть по ссылкам ниже:


Hacker for hire — Hire a professional Hacker


Anuncio — gwapo’s

Второй ролик с эмоциональным пареньком рекламирует DDoS, рынок которого сейчас сильно перенасыщен, что неизбежно ведёт к снижению цен.

Кстати, о ценообразовании: отдельные разработчики предлагают своё вредоносное ПО не просто в виде готового инструмента, но ещё и с сервисом подписки (несколько планов в зависимости от входящих в состав эксплойтов) и техподдержкой вплоть до режима 24×7.

Популярно также разделение труда: одна группировка массово прозванивает бухгалтерии и методами социнженерии выманивает кодовые слова от банковских счетов, другая — узнаёт по этим словам остатки на счетах и продаёт информацию о самых крупных дальше по цепочке.

Общий вывод, пожалуй, такой: преступники всё более квалифицированные и их методы всё более изощрённые, так что организациям противостоять им в одиночку становится всё сложнее.

Статистика по кибератакам в Q3 2016

Далее был представлен очередной ежеквартальный отчёт JSOC Security flash report Q3 2016. Подробно останавливаться на нём большого смысла не вижу — лучше прочитайте его самостоятельно. Добавлю только, что (в самом отчёте этого нет) источником послужили текущие 32 крупных коммерческих клиента JSOC. Ну, и для понимания тенденций: в самом первом подобном отчёте за Q3 2014 речь шла об анализе 18 858 событий с подозрением на инцидент, а в текущем 63 224 — рост более, чем в три раза.

Опыт противодействия преступникам

В следующем докладе Владимир Дрюков рассказывал о том, как атакуют российские компании с примерами реальных кейсов из практики. Для себя пометил несколько интересных (не всегда, впрочем, для меня новых) тезисов:

  • Штатное расписание (с полной детализацией вплоть до номеров мобильных телефонов сотрудников) средней российской компании можно купить за ~200 тыс.руб.
  • Бороться с проникновениями через периметр важно, но уже давно мало — захотят, всё равно найдут способ преодолеть защиту.
  • Платёжки лучше всего подменять в пятницу вечером или накануне праздников.
  • Поведение злоумышленника, проникнувшего во внутреннюю сеть атакуемой компании, на первых порах похоже на попытку  человека сориентироваться в тёмной незнакомой комнате. По характерным осторожным «ощупываниям» его как раз и можно выявить.
  • Solar Security тратят в год до $300K на платные подписки Threat Intelligence, но активно пользуются и бесплатными возможностями, в том числе в рамках информационного обмена.
  • Для обхода периметральной защиты вредоносное ПО с полезной нагрузкой может собираться уже непосредственно на компьютере пользователя с помощью скриптов.
  • Киберпреступники для компрометации паролей активно используют легальный инструмент ProcDump.

Solar JSOC 2.0

На закуску была представлена обновлённая сервисная модель JSOC. Основная суть сводится к тому, что теперь клиентам доступно около 40 атомарных сервисов, которые для решения конкретных бизнес-задач (например, защита web-сервисов или защита от таргетированных атак) объединяются в эдакие бандлы, при этом каждый отдельный атомарный сервис обогащён базой знаний (фиды, репутационные базы и пр.) сквозным образом. Детальнее можно почитать на сайте самого вендора: http://solarsecurity.ru/products/jsoc/ (официальный пресс-релиз тут).

Мне же больше понравился (не понял, правда, новый он или нет) подход, при котором работа JSOC с заказчиком не заканчивается в момент обнаружения инцидента и передачи его в группу разбора, а продолжается вплоть до полного расследования причин его появления. Игорь Ляпунов для иллюстрации привёл «жизненный» пример, в котором обычный сантехник ставит оборудование и уходит, хороший поможет компенсировать ущерб, если вдруг случится протечка и соседи будут залиты, а лучший остаётся жить с вами и при возникновении проблем вместе с вами бегает с тряпками и тазиками, собирая воду =)

Выбирайте правильных сантехников и да пребудет с вами Сила ;-)

, , , ,