🎓 PenTest

Penetration test - моделирование действий потенциального злоумышленника с целью выявления проблем информационной безопасности в компонентах информационной инфраструктуры.

➤ Постановка задачи моделирования действий злоумышленника для хорошего PenTest:
- Скоуп (границы работы)
- Модель злоумышленника
- Знания злоумышленника
- Модель осведомленности заказчика (blue team, SOC, IT)
- Временные рамки
- По наличию доступа к инфраструктуре

➤ Срок жизни результата PenTest невелик и зависит от:
- Скорости публикаций новых уязвимостей
- Изменений организации (мелкие и глобальные изменения инфраструктуры, релизы приложений, внедрении новых СЗИ, изменения в сегментации)

⚠️ Не используйте PenTest для моделирования APT

Присоединяйтесь к Код ИБ Академии и смотрите полную лекцию!

Мотивация: материальная и нет?

🗓 21 марта, 12:00 Мск

Какие дополнительный стимулы использовать, чтобы достигать целей компании и даже перевыполнять план. Как внедрение игровых техник помогает сэкономить на премиях.

🗣 Эксперт
Катерина Процюк, сертифицированный коуч по стандартам ICF и предприниматель с 12 летним стажем

Зарегистрироваться можно тут.

*тем, кто уже состоит в Клубе Код ИБ | ЗУБРЫ Кибербеза или в Код ИБ академии ссылка на встречу придет на почту.

🎓 Инструменты для SOC: автоматизация

➤ Автоматизация
— Перебор пароля учётной записи (УЗ) на l Подключение к ханипоту
— Срабатывание правил DLP
— Запуск недоверенного ПО
— Очистка журнала безопасности Windows

➤ Сценарий для перебора паролей
1. Устройство доступа направляет сообщения о попытках обращений в SIEM
2. SOC забирает по API инцидент из SIEM
3. Детектор SOC анализирует инцидент по внутренним правилам:
—Выделяется имя пользователя, чью УЗ атаковали
— Выделяется IP источника обращений
4. Алертер:
— Формирует распоряжение для Управляющего модуля (SOAR)
— Формирует задание в системе Service Desk на расследование инцидента
— Направляет уведомление в систему мгновенных сообщений
5. Управляющий модуль взаимодействует с межсетевым экраном и Active Directory :
— Блокировка IP
— При необходимости по политике — блокировка УЗ
6. Вся информация об инциденте сохраняется в Базе данных

Полную статью можно прочитать в нашем клубе Код ИБ | ЗУБРЫ Кибербеза.

🎓 Управление уязвимостями: все ли уязвимости следует устранять?

1. Устранение уязвимостей:
- Устранение всех уязвимостей может быть неэффективным из-за огромных временных и ресурсных затрат.
- Целесообразно сосредоточиться на наиболее критичных уязвимостях, чтобы предотвратить атаки и оперативно реагировать на их последствия.

2. Подход с патчами:
- Некоторые специалисты предлагают устанавливать все доступные патчи для ПО от проверенных поставщиков, считая приоритизацию уязвимостей недостаточно информативной.
- Сложности могут возникнуть при устранении уязвимостей в редком или устаревшем программном обеспечении, что требует применения альтернативных методов защиты.

3. Оценка стратегий:
- При выборе подхода к устранению уязвимостей важно учитывать не только CVSS-оценку, но и возможные последствия эксплуатации уязвимостей.
- Внедрение автоматизированных процессов тестирования и установки патчей может значительно упростить управление уязвимостями, особенно в крупных сетях.

Полную статью можно прочитать на нашем сайте.

Вводная дискуссия с экспертами получилась жаркой, много моментов- не под запись

Вместе с Всеславом Солеником, Директором по кибербезопасности, СберТех рассматривали то, как строить стратегию кибербезопасности в части технологического стека.

Здесь на фото - слайд с предложенной Гартнером mesh-архитектурой, на примере которого Всеслав показал, что должен содержать технологический стек компании по части кибербезопасности.

Добрый вечер, коллеги!
Просим вас ответить на анонимный опрос. Он поможет нам оценить уровень информационной безопасности в компаниях.