Ответы пользователя по тегу Информационная безопасность
  • Кто проходил российские ИБ-курсы,тренинги? Где хорошо учат?

    box4
    @box4
    суть вопроса не понятен
    Ответ написан
    Комментировать
  • Что даст дополнительное обучение по информационной безопасности системному администратору?

    box4
    @box4
    вы путаете IT Sec c InfoSec
    ITSec выполняет ИТшники, например безопасная конфигурация итд.
    InfoSec это управление рисками.
    то что вы будете токены выпускать это типичный ITsec, это роль.
    Ответ написан
    Комментировать
  • Чеклист по безопасности сайта? Что еще посоветуете?

    box4
    @box4
    Owasp top10
    Cis benchmark
    Vulnerability auditing
    Kali gathering
    Ответ написан
    Комментировать
  • Как сделать или где скачать регламент по безопастности для IT отдела?

    box4
    @box4
    исходите из того что хочет владелец бизнеса + ваша ДИ.
    Напишите концепцию
    ISMS,
    Суб-Политики,
    Стандарты,
    Процедуры,
    Инструкции.

    securitypolicy.ru/%D1%88%D0%B0%D0%B1%D0%BB%D0%BE%D...
    Ответ написан
    Комментировать
  • Как постепенно развиваться в сфере ИБ?

    box4
    @box4
    на самом деле то что написали выше относиться к ИТ секюрити.
    согласно исаке ИБ это в первую очередь governance, а настройки фаерволов это задача ИТ секюрити, считай ИТ персонала. Сами custodian должны обеспечивать нужный уровень безопасности, а департамент ИБ производить мониторинг и делать оценку рисков.
    можете почитать RACI из Кобит5
    Ответ написан
    Комментировать
  • Где посмотреть примеры правил корреляции (use cases) для SIEM?

    box4
    @box4
    для начало:

    Events of Interest

    User Authentication Rules and Alerts
    1. Repeat Attack-Login Source
    Goal: Early warning for brute force attacks, password guessing, and misconfigured applications.
    Trigger: Alert on 3 or more failed logins in 1 minute from a single host.
    Event Sources: Active Directory, Syslog (Unix Hosts, Switches, Routers, VPN), RADIUS, TACACS, Monitored Applications

    2. Repeat Attack-Login Target
    Goal: Early warning for brute force attacks, password guessing, and misconfigured applications.
    Trigger: Alert on 3 or more failed logins in 1 minute on a single user ID
    Event Sources: Active Directory, Syslog (Unix Hosts, Switches, Routers, VPN), RADIUS, TACACS, Monitored Applications.

    Attacks Detected on the Network
    3. Repeat Attack-Firewall
    Goal: Early warning for scans, worm propagation, etc
    Trigger: Alert on 15 or more Firewall Drop/Reject/Deny Events from a single IP Address in one minute.
    Event Sources: Firewalls, Routers and Switches

    4. Repeat Attack-Network Intrusion Prevention System
    Goal: Early warning for scans, worm propagation, etc
    Trigger: Alert on 7 or more IDS Alerts from a single IP Address in one minute.
    Event Sources: Network Intrusion Detection and Prevention Devices

    Attacks and Infections Detected at the Host Level
    5. Repeat Attack-Host Intrusion Prevention System
    Goal: Find hosts that may be infected or compromised (exhibiting infection behaviors).
    Trigger: Alert on 3 or more events from a single IP Address in 10 minutes
    Event Sources: Host Intrusion Prevention System Alerts

    Virus Detection/Removal
    6. Virus or Spyware Detected
    Goal: Alert when a virus, spyware or other malware is detected on a host.
    Trigger: Alert when a single host sees an identifiable piece of malware
    Event Sources: Anti-Virus, HIPS, Network/System Behavioral Anomaly Detectors

    7. Virus or Spyware Removed
    Goal: Reduce alerts and warnings, if after detection, anti-virus tools are able to remove a known piece of malware.
    Trigger: Alert when a single host successfully removes a piece of malware
    Event Sources: Anti-Virus, HIPS, Network/System Behavioral Anomaly Detectors

    8. Virus or Spyware Detected but Failed to Clean
    Goal: Alert when >1 Hour has passed since malware was detected, on a source, with no corresponding virus successfully removed.
    Trigger: Alert when a single host fails to auto-clean malware within 1 hour of detection.
    Event Sources: Anti-Virus, HIPS, Network/System Behavioral Anomaly Detectors

    Attacks from Unknown/Untrusted Sources
    The use of periodic automatically updated lists of known attackers and malware sources applied to these correlations is highly preferred.
    9. Repeat Attack-Foreign
    Goal: Identify remote attackers before they make it into the network. Identify "back scatter" pointing to attacks that may have not been detected by other sources.
    Secondary Goal: This rule also identifies new networks with active hosts that have been added to the internal network, but not reported or configured within the SIEM and/or other security tools.
    Trigger: Alert on 10 or more failed events from a single IP Address that is not part of the known internal network.
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events

    10. Known Attacker Allowed in Network
    Goal: Identify allowed traffic form known "Black listed" sources. If the source is known to be a source of malware or an attack, identify and alert if that source is every allowed into the network,
    while conversely filtering out/ignoring "drop/reject/deny" events from these sources when our defenses properly block the traffic.
    Trigger: Alert on ANY Allowed (i.e. Firewall Accept, Allowed Login), events from an IP Address that is not part of the known network and is known to have/use malware.
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events

    11. Traffic to Known Attacker
    Goal: Identify traffic from an internal address to known "black listed" destination is known to be a source of malware or an attack, identify and alert if traffic is ever allowed to that destination, or if repeat attempts (>5) are detected even when the traffic is blocked. This may indicate an infected host trying to call home.
    Trigger: Alert on ANY Allowed (i.e. Firewall Accept, Allowed Login), event to an IP Address that is not part of the known network and is known to have/use malware.
    Alternate Trigger: Alert on 5 or more drops from an internal source to any known attacker, or 1 Accept/Allow.
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events.

    High Threat
    12. High Threat Targeting Vulnerable Asset
    Goal: Identify threats in real time that are likely to compromise a host. Vulnerability data has shown the host to be vulnerable to the inbound attack being detected by NIPS.
    Trigger: Any event from a single IP Address targeting a host known to be vulnerable to the attack that`s inbound.
    Event Sources: NIPS events, Vulnerability Assessment data

    13. Repeat Attack-Multiple Detection Sources
    Goal: Find hosts that may be infected or compromised detected by multiple sources (high probability of true threat).
    Trigger: Alert on ANY second threat type detected from a single IP Address by a second source after seeing a repeat attack. (i.e. Repeat Firewall Drop, followed by Virus Detected)
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events.

    14. Possible Outbreak - Excessive Connections
    Goal: Find hosts that may be infected or compromised by watching for a host to connect to a large number of destinations.
    Trigger: Alert when a single host connects to 100 or more unique targets in 1 minute (must apply white lists for known servers to avoid false positives, and destination port !=80).
    Event Sources: Firewall, NIPS, Flow Data, and Web Content Filters.

    15. Possible Outbreak - Multiple Infected Hosts Detected on the Same Subnet
    Goal: Alert on the detection of malware before it spreads beyond a limited number of hosts.
    Trigger: Alert when 5 or more hosts on the same subnet trigger the same Malware Signature (AV or IDS) within a 1 hour interval.
    Event Sources: Anti-Virus, HIPS, NIPS.

    Web Servers (IIS, Apache)
    16. Suspicious Post from Untrusted Source
    Goal: Alert when dangerous content (executable code) is posted to a web server.
    Trigger: Files with executable extensions (cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat), are posted to a web server (internal/dmz address), from an external source
    Event Sources: Internet Information Server and Apache Logs

    Monitored Log Sources
    17. Monitored Log Source Stopped Sending Events
    Goal: Alert when a monitored log source has not sent an event in 1 Hour (variable time based on the device).
    Trigger: Log collection device must create an event periodically to show how many events have been received, and that this number is >0.
    Event Sources: Log collection device.
    Ответ написан
    2 комментария
  • Как применить AD RMS при отправке расчетных листов из 1с?

    box4
    @box4
    rms применяется же только на офисный пакет.
    Ответ написан
    Комментировать
  • Варианты симулирования аттак при RED TEAM?

    box4
    @box4
    Это долгосрочная атака для компрометации актива кто подписался под редтим,
    Сейчас многие не тратят миллионы для разработки тулзов или для команды с высококлассных хакеров, зачем тратить если есть большая вероятность попасть в сеть через социальную инжерению куда входит фишинг, на худой конец подбросьте флешку, сходите на собеседование, устротесь в техподдержку или уборщиком и установите аппаратный кейлогер админу.
    Ответ написан
  • Как у вас написано руководство использования серверного оборудования в организации?

    box4
    @box4
    Чтобы ответить мне надо узнать стоимость оборудования или цена простоя за час
    Ответ написан
    Комментировать
  • Существуют ли программы для анализа данных?

    box4
    @box4
    Splunk бесплатен до 500мб в день
    Ответ написан
    Комментировать
  • Какой экзамен по безопасности (сертификат) сдавать?

    box4
    @box4
    В какой направленности, общий или узкий?
    Ответ написан
    Комментировать
  • Как узнать кто прислал конкурентам файл?

    box4
    @box4
    даже открытие каталога оставляет следы, тем более открытие файла, обратитесь в спец фирмы которые занимаются расследованием, если цена вопроса важна и перекрывает затраты на форензик
    Ответ написан
    Комментировать
  • Как можно мониторить сервер и БД на предмет несанкционированного доступа?

    box4
    @box4
    тут необходимо подходить комплексно, начинаю от аккаунт менеджмента то аудита таблиц,
    возьмите исо27001 и 27002, пройдитесь по нему.
    01 это что должно быть 02 это как это реализовать.
    Ответ написан
    Комментировать
  • Плакаты по информационной безопасности, где взять?

    box4
    @box4
    вам для треша? смею предположить что культура ИБ не так развита в организации, т.е. зрелость низкая, я бы посоветовал вешать постеры например cis20, owasp top10 итд, красиво и как шпаргалка.
    Ответ написан
    1 комментарий
  • Как расследуют компьютерные инциденты?

    box4
    @box4
    Расследует смотря кто, в банках обычно согласно исо 27001 или itil есть процесс инцидент менеджмент, в политиках написано как реагировать (ответ на инцидент) согласно дорожной карте подключается другой процесс это DFI цифровая криминалистика, расследование. Действуют согласно процедуре, например снимается дамп памяти, жёсткого диска, с сетевого оборудования netflow. Как часто бывает dfi это посмертная процедура, когда уже угроза выявлена, локализована и устранена, или находится в приемлемом состоянии. При dfi задача стоит определении хронологии, и отчёта, после чего необходимо пересмотреть риски, и наконец принять, понизить или передать риски.
    Для dfi имеются платные приложения и бесплатные, платные автоматизированы и если есть опыт то можно им пользоваться так как это упрощает процесс и экономит время.
    Ответ написан
    Комментировать
  • Как правильно передавать пароль?

    box4
    @box4
    может это оставить гуглу и фейсбук с вк ? этим самым повысите аудиторию, ведь многим лень создавать сотый логин и пароль.
    Ответ написан
  • Есть ли сравнительный анализ SIEM?

    box4
    @box4
    Добрый день, скажите пожалуйста, что умеет qradar & arcsight чего не умеет заббикс?
    логи прекрасно собирает, срабатывает по условии триггера, читает любые логи.
    Ответ написан