Рубрика «threat intelligence»

в 12:15, , рубрики: cybersecurity, cyberthreat, hacking, information security, social engineering, threat intelligence, training, взлом, ИБ, информационная безопасность, кибербезопасность, компьютерная безопасность, Сетевые технологии, социальная инженерия, тренинг, угрозы, угрозы безопасности, угрозы иб, Учебный процесс в IT, хакерские атаки

Обмани меня, если сможешь: особенности проведения социотехнического пентеста - 1

Представьте себе такую ситуацию. Холодное октябрьское утро, проектный институт в областном центре одного из регионов России. Кто-то из отдела кадров заходит на одну из страниц вакансий на сайте института, размещенную пару дней назад, и видит там фотографию кота. Утро быстро перестает быть скучным…

В этой статье Павел Супрунюк, технический руководитель департамента аудита и консалтинга Group-IB, рассказывает о том, какое место занимают социотехнические атаки в проектах по оценке практической защищенности, какие необычные формы они могут приобретать, а также о том, как защититься от таких атак. Автор уточняет, что статья носит обзорный характер, однако, если какой-то аспект заинтересует читателей, эксперты Group-IB с готовностью ответят на вопросы в комментариях.
Читать полностью »

в 10:01, , рубрики: ioc, threat intelligence, Блог компании Инфосистемы Джет, информационная безопасность

Эпичная сага о сведениях Threat Intelligence - 1

На определенном этапе зрелости ИБ многие компании начинают задумываться о том, как получить и использовать сведения об актуальных для них киберугрозах. В зависимости от отраслевой специфики организации, интерес могут вызывать разные типы угроз. Подход к применению таких сведений был сформирован ещё компанией Lockheed Martin в материале Intelligence Driven Defence.

Благо сейчас у служб ИБ есть масса источников для их получения и даже отдельный класс решений – Threat Intelligence Platform (TIP), который позволяет управлять процессами их получения, генерации и интеграции в средства защиты.

Для нас как центра мониторинга и реагирования на инциденты ИБ крайне важно, чтобы сведения о киберугрозах, которые мы получаем и генерируем, были актуальными, применимыми и, что немаловажно, управляемыми. Ведь от этого зависит безопасность организаций, вверивших нам защиту своей инфраструктуры.

Мы решили поделиться своим видением TI в Jet CSIRT и рассказать о попытках адаптации различных потенциально полезных подходов к управлению сведениями о киберугрозах. Читать полностью »

в 10:49, , рубрики: SoC, solar jsoc, threat intelligence, Блог компании Ростелеком-Solar, информационная безопасность, управление проектами

В течение всего прошедшего года в гонке кибервооружений между атакующими и защитниками все большую популярность набирала тема киберразведки или Threat Intelligence. Очевидно, что превентивное получение информации о киберугрозах — очень полезная штука, однако само по себе оно инфраструктуру не обезопасит. Необходимо выстроить процесс, который поможет грамотно распоряжаться как информацией о способе возможной атаки, так и имеющимся временем для подготовки к ней. И ключевым условием для формирования такого процесса является полнота информации о киберугрозе.

Как работать с данными киберразведки: учимся собирать и выявлять индикаторы компрометации систем - 1

Первичные данные Threat Intelligence можно получать из самых разных источников. Это могут быть бесплатные подписки, информация от партнеров, группа технического расследования компании и пр.
Читать полностью »

в 13:13, , рубрики: Cisco, ioc, open source, security operation center, SoC, TALOS, threat intelligence, Блог компании Cisco, индикатор компрометации, информационная безопасность

Одной из горячих тем в кибербезопасности в последнее время стали SOCи (Security Operations Center), которые не очень удачно переводят на русский язык как «центры мониторинга безопасности», умаляя тем самым одну из важных функций SOC, связанную с реагированием на инциденты ИБ. Но сегодня мне не хотелось бы вдаваться в терминологические споры, а вкратце рассказать об одном из проектов, который был реализован в нашем внутреннем SOCе — системе управления индикаторами компрометации (IoC) GOSINT. На самом деле служба ИБ Cisco не использует термин «Security Operations Center», заменяя его более приземленным CSIRT (Cisco Security Incident Response Team). Так вот GOSINT — это один из многочисленных наших проектов open source, который предназначен для сбора и унификации структурированной и неструктурированной информации об угрозах (threat intelligence). Я уже рассказывал о том, как мы мониторим безопасность нашей внутренней инфраструктуры, теперь пришел черед рассказать о том, что помогает нам это делать наиболее эффективно.

Cisco CSIRTЧитать полностью »

в 18:51, , рубрики: lampyre, OSINT, rtm, threat intelligence, информационная безопасность, реверс-инжиниринг, троян, хакеры

image

Вдохновившись статьей Group-IB о масштабной хакерской атаке на банки и предприятия от лица госучреждений решил разузнать про RTM немного больше.

Цель – не только найти причастных к данной атаке, но и показать насколько доступно проведение такого расследования при наличии хороших инструментов и некоторого технического бэкграунда.
Читать полностью »

в 11:41, , рубрики: SoC, TH, threat hunting, threat intelligence, TI, информационная безопасность

Представьте, что Вы пришли на работу, включаете компьютер и видите, что сайт Вашей компании не работает, груз застрял на таможне и не может дойти до склада. И даже на заставке компьютера незнакомая кем-то поставленная смешная картинка. К Вам приходит бухгалтер и сообщает, что со счетов выведены все средства, и Ваши персональные данные радуют своим наличием весь интернет. Вы берете чашку кофе и подходите к окну, а через дорогу соседнее предприятие уже выпускает Вашу когда-то уникальную продукцию. Вот и Ваша красавица жена упорхнула с более удачливым конкурентом. На этом моменте приходит понимание – Вас взломали.

А ведь Вас предупреждали – надо было ставить  TI. Но сначала давайте разберемся, как он работает и защищает.

Читать полностью »

в 13:09, , рубрики: data science, threat intelligence, антифишинг, Блог компании «Group-IB», информационная безопасность

image

В последнее время фишинг является наиболее простым и популярным у киберпреступников способом кражи денег или информации. За примерами далеко ходить не нужно. В прошлом году ведущие российские предприятия столкнулись с беспрецедентной по масштабу атакой — злоумышленники массово регистрировали фейковые ресурсы, точные копии сайтов производителей удобрений и нефтехимии, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей, не говоря уже про репутационный ущерб, который понесли компании. В этой статье мы поговорим о том, как эффективно детектировать фишинговые сайты с помощью анализа ресурсов (изображений CSS, JS и т.д.), а не HTML, и как специалист по Data Science может решить эти задачи.Читать полностью »

в 9:04, , рубрики: Feeds, solar jsoc, threat intelligence, Блог компании Ростелеком-Solar, информационная безопаность, информационная безопасность, управление проектами, фиды

Страх и ненависть Threat Intelligence или 8 практических советов по работе с TI - 1

У нас было две коммерческих APT-подписки, десять информационных обменов, около десяти бесплатных фидов и список exit-node Тора. А еще пяток сильных реверсеров, мастер powershell-скриптов, loki-scanner и платная подписка на virustotal. Не то чтобы без этого центр мониторинга не работает, но если уж привык ловить сложные атаки, то приходится идти в этом увлечении до конца. Больше всего нас волновала потенциальная автоматизация проверки на индикаторы компрометации. Нет ничего более безнравственного, чем искусственный интеллект, заменяющий человека в работе, где надо думать. Но мы понимали, что с ростом количества заказчиков мы рано или поздно в это окунемся.
Читать полностью »

в 11:15, , рубрики: Cisco, malware analysis, TALOS, threat intelligence, VPNFilter, антивирусная защита, Блог компании Cisco, вредоносное программное обеспечение, информационная безопасность, Сетевое оборудование, Сетевые технологии

image

Введение

Аналитическое подразделение Cisco Talos, совместно с технологическими партнерами, выявило дополнительные подробности, связанные с вредоносным ПО «VPNFilter». С момента первой публикации по данной тематике мы обнаружили, что вредоносное ПО VPNFilter нацелено на большее количество моделей устройств и расширили список компаний, продукция которых может быть инфицирована. Кроме того, мы установили, что вредоносное ПО обладает дополнительными функциями, включая возможность реализации атак на пользовательские оконечные устройства. В недавней публикации в блоге Talos рассматривалась крупномасштабная кампания по распространению VPNFilter на сетевые устройства для дома или малого офиса, а также на ряд сетевых систем хранения данных. В той же публикации упоминалось, что исследование угрозы продолжается. После выпуска первой публикации несколько отраслевых партнеров предоставили нам дополнительные сведения, которые помогли нам продвинуться в расследовании. В рамках данной публикации мы представляем результаты этого расследования, полученные в течение последней недели.Читать полностью »

в 13:03, , рубрики: SaaS / S+S, SoC, solar jsoc, threat intelligence, Блог компании Solar Security, информационная безопасность, киберугрозы, управление проектами, центр мониторинга

В предыдущих статьях «SOC for beginners» мы рассказали, как устроен и как организовать базовый мониторинг инцидентов и контроль защищенности инфраструктуры. Сегодня речь пойдет о Threat Intelligence — использовании внешних источников данных об угрозах.

При всей кажущейся простоте, запуск работы с Threat Intelligence — чуть ли не самый длительный и болезненный процесс. Исключение, наверное, составляют только те случаи, когда у вас на рабочих станциях эталонные образы ОС с включенным Application Control, пользователи — без прав администратора, а доступ в интернет — исключительно по белым спискам. К сожалению, мы за все время работы таких компаний пока не встречали. В связи с этим все интересующиеся темой Threat Intelligence – добро пожаловать под кат.

SOC for beginners. Глава 3. Использование внешних источников данных об угрозах для Security Operation Center - 1
Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js