Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

Вчера Солар Секьюрити проводила свою очередную пресс-конференцию для СМИ и блогеров. Мне, к слову, судя по постам, очень нравится их посещать =)

В этот раз речь шла об обновлённой концепции Security Operation Center - Solar JSOC. Кстати, буква “J” в названии, ранее обозначавшая “Jet” из-за принадлежности к Инфосистемам Джет  (Jet Infosystems) теперь коллегами расшифровывается как “Jedi”.

Про саму изменившуюся сервисную модель Jedi Security Operation Center речь шла в конце, а сначала были представлены:

  • Обзор Даркнета;
  • Статистика по кибератакам в Q3 2016;
  • Опыт противодействия преступникам.

Обзор Даркнета

Про Даркнет послушать было любопытно. Эльман Бейбутов рассказал, что хакеры всё активнее занимаются рекламой и продвижением себя и своих услуг, по сути, ведя себя как любые начинающие ИБ-вендоры или интеграторы.

Создают красивые сайты, строго следят за репутацией и своим рейтингом (на соответствующих сайтах, работающих по принципу Booking.com, Rentalcars и проч.) и даже снимают промо-ролики. Пару таких роликов можно посмотреть по ссылкам ниже:

Hacker for hire - Hire a professional Hacker

Anuncio - gwapo's Второй ролик с эмоциональным пареньком рекламирует DDoS, рынок которого сейчас сильно перенасыщен, что неизбежно ведёт к снижению цен. Кстати, о ценообразовании: отдельные разработчики предлагают своё вредоносное ПО не просто в виде готового инструмента, но ещё и с сервисом подписки (несколько планов в зависимости от входящих в состав эксплойтов) и техподдержкой вплоть до режима 24x7. Популярно также разделение труда: одна группировка массово прозванивает бухгалтерии и методами социнженерии выманивает кодовые слова от банковских счетов, другая - узнаёт по этим словам остатки на счетах и продаёт информацию о самых крупных дальше по цепочке. Общий вывод, пожалуй, такой: преступники всё более квалифицированные и их методы всё более изощрённые, так что организациям противостоять им в одиночку становится всё сложнее.

Статистика по кибератакам в Q3 2016

Далее был представлен очередной ежеквартальный отчёт JSOC Security flash report Q3 2016. Подробно останавливаться на нём большого смысла не вижу - лучше прочитайте его самостоятельно. Добавлю только, что (в самом отчёте этого нет) источником послужили текущие 32 крупных коммерческих клиента JSOC. Ну, и для понимания тенденций: в самом первом подобном отчёте за Q3 2014 речь шла об анализе 18 858 событий с подозрением на инцидент, а в текущем 63 224 - рост более, чем в три раза.

Опыт противодействия преступникам

В следующем докладе Владимир Дрюков рассказывал о том, как атакуют российские компании с примерами реальных кейсов из практики. Для себя пометил несколько интересных (не всегда, впрочем, для меня новых) тезисов:
  • Штатное расписание (с полной детализацией вплоть до номеров мобильных телефонов сотрудников) средней российской компании можно купить за ~200 тыс.руб.
  • Бороться с проникновениями через периметр важно, но уже давно мало - захотят, всё равно найдут способ преодолеть защиту.
  • Платёжки лучше всего подменять в пятницу вечером или накануне праздников.
  • Поведение злоумышленника, проникнувшего во внутреннюю сеть атакуемой компании, на первых порах похоже на попытку  человека сориентироваться в тёмной незнакомой комнате. По характерным осторожным "ощупываниям" его как раз и можно выявить.
  • Solar Security тратят в год до $300K на платные подписки Threat Intelligence, но активно пользуются и бесплатными возможностями, в том числе в рамках информационного обмена.
  • Для обхода периметральной защиты вредоносное ПО с полезной нагрузкой может собираться уже непосредственно на компьютере пользователя с помощью скриптов.
  • Киберпреступники для компрометации паролей активно используют легальный инструмент ProcDump.

Solar JSOC 2.0

На закуску была представлена обновлённая сервисная модель JSOC. Основная суть сводится к тому, что теперь клиентам доступно около 40 атомарных сервисов, которые для решения конкретных бизнес-задач (например, защита web-сервисов или защита от таргетированных атак) объединяются в эдакие бандлы, при этом каждый отдельный атомарный сервис обогащён базой знаний (фиды, репутационные базы и пр.) сквозным образом. Детальнее можно почитать на сайте самого вендора: http://solarsecurity.ru/products/jsoc/ (официальный пресс-релиз тут). Мне же больше понравился (не понял, правда, новый он или нет) подход, при котором работа JSOC с заказчиком не заканчивается в момент обнаружения инцидента и передачи его в группу разбора, а продолжается вплоть до полного расследования причин его появления. Игорь Ляпунов для иллюстрации привёл "жизненный" пример, в котором обычный сантехник ставит оборудование и уходит, хороший поможет компенсировать ущерб, если вдруг случится протечка и соседи будут залиты, а лучший остаётся жить с вами и при возникновении проблем вместе с вами бегает с тряпками и тазиками, собирая воду =) Выбирайте правильных сантехников и да пребудет с вами Сила ;-)

--- === @zlonov === ---