Solar JSOC 2.0: Лучший сантехник - тот, который будет потом вместе с вами жить
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Вчера Солар Секьюрити проводила свою очередную пресс-конференцию для СМИ и блогеров. Мне, к слову, судя по постам, очень нравится их посещать =)
В этот раз речь шла об обновлённой концепции Security Operation Center - Solar JSOC. Кстати, буква “J” в названии, ранее обозначавшая “Jet” из-за принадлежности к Инфосистемам Джет (Jet Infosystems) теперь коллегами расшифровывается как “Jedi”.
Про саму изменившуюся сервисную модель Jedi Security Operation Center речь шла в конце, а сначала были представлены:
- Обзор Даркнета;
- Статистика по кибератакам в Q3 2016;
- Опыт противодействия преступникам.
Обзор Даркнета
Про Даркнет послушать было любопытно. Эльман Бейбутов рассказал, что хакеры всё активнее занимаются рекламой и продвижением себя и своих услуг, по сути, ведя себя как любые начинающие ИБ-вендоры или интеграторы.
Создают красивые сайты, строго следят за репутацией и своим рейтингом (на соответствующих сайтах, работающих по принципу Booking.com, Rentalcars и проч.) и даже снимают промо-ролики. Пару таких роликов можно посмотреть по ссылкам ниже:
Hacker for hire - Hire a professional Hacker
Anuncio - gwapo's Второй ролик с эмоциональным пареньком рекламирует DDoS, рынок которого сейчас сильно перенасыщен, что неизбежно ведёт к снижению цен. Кстати, о ценообразовании: отдельные разработчики предлагают своё вредоносное ПО не просто в виде готового инструмента, но ещё и с сервисом подписки (несколько планов в зависимости от входящих в состав эксплойтов) и техподдержкой вплоть до режима 24x7. Популярно также разделение труда: одна группировка массово прозванивает бухгалтерии и методами социнженерии выманивает кодовые слова от банковских счетов, другая - узнаёт по этим словам остатки на счетах и продаёт информацию о самых крупных дальше по цепочке. Общий вывод, пожалуй, такой: преступники всё более квалифицированные и их методы всё более изощрённые, так что организациям противостоять им в одиночку становится всё сложнее.
Статистика по кибератакам в Q3 2016
Далее был представлен очередной ежеквартальный отчёт JSOC Security flash report Q3 2016. Подробно останавливаться на нём большого смысла не вижу - лучше прочитайте его самостоятельно. Добавлю только, что (в самом отчёте этого нет) источником послужили текущие 32 крупных коммерческих клиента JSOC. Ну, и для понимания тенденций: в самом первом подобном отчёте за Q3 2014 речь шла об анализе 18 858 событий с подозрением на инцидент, а в текущем 63 224 - рост более, чем в три раза.Опыт противодействия преступникам
В следующем докладе Владимир Дрюков рассказывал о том, как атакуют российские компании с примерами реальных кейсов из практики. Для себя пометил несколько интересных (не всегда, впрочем, для меня новых) тезисов:- Штатное расписание (с полной детализацией вплоть до номеров мобильных телефонов сотрудников) средней российской компании можно купить за ~200 тыс.руб.
- Бороться с проникновениями через периметр важно, но уже давно мало - захотят, всё равно найдут способ преодолеть защиту.
- Платёжки лучше всего подменять в пятницу вечером или накануне праздников.
- Поведение злоумышленника, проникнувшего во внутреннюю сеть атакуемой компании, на первых порах похоже на попытку человека сориентироваться в тёмной незнакомой комнате. По характерным осторожным "ощупываниям" его как раз и можно выявить.
- Solar Security тратят в год до $300K на платные подписки Threat Intelligence, но активно пользуются и бесплатными возможностями, в том числе в рамках информационного обмена.
- Для обхода периметральной защиты вредоносное ПО с полезной нагрузкой может собираться уже непосредственно на компьютере пользователя с помощью скриптов.
- Киберпреступники для компрометации паролей активно используют легальный инструмент ProcDump.
Комментарии из Telegram
Комментарии ВКонтакте