Beshkov Andrey Голосов: 1 Адрес блога: http://blogs.technet.com/abeshkov/default.aspx Добавлен: 2008-12-17 12:15:56

Так ли страшна Advanced Persistent Threat (APT) как её малюют?

2012-05-02 23:28:50 (читать в оригинале)

Любой, кто читает новости информационной безопасности заметит, что новостные ленты пестрят сообщениями об успешных атаках крупнейших компаний ИТ-индустрии. Sony, Google, Nortel, RSA были вынуждены во всеуслышание заявить о неслыханном ранее. Кроме них множество других компаний заявило о том, что они подверглись атакам в стиле APT. Термин APT последние несколько лет на слуху у всех. Переводят его по-разному:

· изощренные постоянные угрозы

· постоянные прицельные атаки

· продвинутые постоянные угрозы

Видя разброд и шатание в дискуссиях об APT, а иногда и использование APT как нового способа продавать дорогостоящие товары и услуги в сфере ИБ я написал статью о том, что же такое APT и чем они отличаются от привычных нам атак.

Многие говорящие об атаке в стиле APT предполагают использование сложных средств или ранее неизвестных уязвимости. Другие верят, что если вы не гигантская корпорация, то вам нечего опасаться. Оба утверждения ошибочны. Чаще всего во время атаки применяются очень простые средства, известные каждому специалисту ИБ, такие как Windows Credential Editor, minkatz, pwdump.

Раньше было принято считать, что достаточно построить защиту, отражающую атаки случайных злоумышленников, и они уйдут атаковать соседа, то теперь так просто отделаться не удастся. С приходом APT модель атакующего кардинально изменилась. Теперь они отличаются чрезвычайной усидчивостью, настойчивостью и наличием больших ресурсов. Никаких технологически продвинутых приемов в APT не используется, поэтому Microsoft предлагает применять новый термин Determined Adversaries – настойчивые противники (атакующие). Это позволит более точно отразить происходящее в ИБ индустрии и вписать в единую картину такие явления как Stuxnet.

Если ваша компания работает над инновационными решениями, владеет ценной интеллектуальной собственностью, выполняет правительственные заказы или связана с политическими партиями, то скорее всего вам нужно тщательно проверить свою инфраструктуру и готовиться к отражению настойчивых и прицельных атак. Корпоративный шпионаж был всегда, но сейчас мы вошли в новую эру.

Как защищаться от атак в стиле APT рассказывается во второй статье. В ней я рассматриваю мифы, связанные с уязвимостями, рассказываю о быстром развертывании обновлений, говорю об инструментах проведения аудита инфраструктуры, таких как MSAT, MBSA и заканчиваю вариантами сегментирования сети с помощью IPsec.

Даже если вы не считаете, что ваша организация подвержена APT рекомендую посмотреть вебкаст про Advanced Persistent Threat с конференции Teched Russia. Он поможет вам научиться защищаться от наиболее часто применяемых атак актуальных для Windows инфраструктуры.

---

Так ли страшна Advanced Persistent Threat (APT) как её малюют?

2012-05-02 16:28:50 (читать в оригинале)

Любой, кто читает новости информационной безопасности заметит, что новостные ленты пестрят сообщениями об успешных атаках крупнейших компаний ИТ-индустрии. Sony, Google, Nortel, RSA были вынуждены во всеуслышание заявить о неслыханном ранее. Кроме них множество других компаний заявило о том, что они подверглись атакам в стиле APT. Термин APT последние несколько лет на слуху у всех. Переводят...

---

Новый подкаст о тенденциях информационной безопасности

2012-02-15 14:06:38 (читать в оригинале)

 

Решили с Алексеем Голдбергсом поэкспериментировать с новым для нас форматом общения с вами, дорогие читатели. То есть стали записывать подкаст о том, что происходит в мире ИБ. В нем мы делимся своим взглядом на происходящее сфере ИБ и стараемся давать некоторую долю аналитики. Называется сие начинание Russian Security Audioblog. Предполагается, что будут как новостные подкасты, так и целиком посвященные обсуждению одной темы из сферы ИБ. В общем, должно получаться интересно и разнообразно. На данный момент готово два пилотных выпуска. Планируем записывать новые выпуски каждые две недели. Впрочем, если вы захотите слушать нас чаще, можем перейти и на еженедельный график. Надеюсь, вы послушаете, о чем мы рассказываем. А в ответ хотелось бы получить ваши мысли и предложения о том, что стоит добавить, изменить или улучшить. Так же любопытно будет узнать, о каких темах вам интересно слушать и кого из экспертов вы хотели бы видеть у нас в гостях. Пожелания и комментарии можно оставлять тут, писать в твиттер или в группу RSA Blog на Facebook. Вот RSS лента подкаста для желающих подписаться и QR код для мобильных устройств.

---

Новый подкаст о тенденциях информационной безопасности

2012-02-15 06:06:38 (читать в оригинале)

  Решили с Алексеем Голдбергсом поэкспериментировать с новым форматом общения с вами, дорогие читатели. Cтали записывать подкаст о том, что происходит в мире ИБ. В нем мы делимся своим взглядом на происходящее сфере ИБ и стараемся давать некоторую долю аналитики. Называется сие начинание Russian Security Audioblog. Предполагается, что будут как новостные подкасты, так и целиком...

---

Вебинар “За кулисами Windows Update. От уязвимости к обновлению.”

2012-02-09 16:15:00 (читать в оригинале)

Сегодня провел вебинар “За кулисами Windows Update. От уязвимости к обновлению.” Рассказал о близких каждому ИТ специалисту и разработчику вещах, о том, как Microsoft ищет уязвимости в своих и чужих продуктах. Как организовано взаимодействие Microsoft с исследователями безопасности и брокерами уязвимостей? Как классифицируются и обрабатываются уязвимости, выявленные сотрудниками Microsoft и партнерами?

Насколько сильно влияют 0-day уязвимости на общий ландшафт безопасности продуктов Microsoft?

Поговорили, как организован SSIRP — процесс реагирования на инциденты ИБ в сфере разработки программного обеспечения. Каким образом тестируются и выпускаются обновления. Обсудили почему они выпускаются ежемесячно, а не еженедельно или ежедневно.

Затем  я рассказал о тех уроках, которые Microsoft извлек в процессе построения и поддержки сервиса Windows Update обслуживающего 1 миллиард клиентов.

Мы посмотрели на типичные пути появления эксплоитов, атакующих уязвимости в первые 30 дней после выхода обновлений. Затем узнали как Microsoft обменивается данными об уязвимостях и зловредном коде с крупнейшими производителями систем безопасности. Это позволяет им с помощью обновлений к IDS/IPS и антивирусов защищать тех клиентов, кто не успевает обновиться за первый месяц.

Получилась увлекательная экскурсия на внутреннюю кухню Microsoft.

Так же для всех желающих доступна презентация для просмотра и скачивания.

Для резервирования я выложил презентацию на Slideshare.

 

Если вам захочется обсудить то что вы увидели в вебинаре, задавайте вопросы здесь.