Информационная безопасность
-
Информационная безопасность
SIEM год спустя: первые correlation rules - и реальный брутфорс в первую же неделю
После года пассивного сбора логов в SIEM наконец настроили correlation rules. Первый же алерт сработал по делу: брутфорс RDP с внешнего IP, заблокировали через ACL.
-
Информационная безопасность
Плановый аудит уязвимостей Nessus'ом: 12 хостов, 3 критических, MS06-040 живёт
Провели первый плановый внутренний аудит уязвимостями Nessus 3.x по расписанию: 12 хостов, нашли три критических, включая незакрытый MS06-040 на двух серверах.
-
Информационная безопасность
Storm Worm: 4 000 писем про «шторм» за ночь и разбор полётов на почтовом шлюзе
Червь Storm Worm рассылается через почту под темой про ураган в Европе. Разбираем всплеск на шлюзе, правим порог RBL и добавляем проверку MIME-типов вложений.
-
Информационная безопасность
Первый официальный pentest внутренней сети: что нашлось за восемь часов
Проводим первый формальный внутренний pentest для клиента: nmap, Nessus, ручная проверка прав. Открытый RDP, admin/admin на принтере, SMB с финансами - всё это за один рабочий день.
-
Информационная безопасность
SIEM: первые шаги и корреляция логов
Централизованный syslog есть, но читать его вручную - нереально. Ставим OSSIM, коррелируем события firewall, IDS и аутентификации. Первый brute-force обнаружен за три минуты.
-
Информационная безопасность
WPA2-Enterprise с RADIUS: переводим клиента после ухода сотрудника
WPA-Personal с общим ключом ломается при увольнении: ключ меняй или нет, бывший сотрудник знает пароль. Переводим сеть на WPA2-Enterprise - каждому пользователю свой логин, отзыв мгновенный.
-
Информационная безопасность
Аудит прав в Active Directory: 12 лишних учёток с полным доступом к финансам, три из них - уволенные
Клиент не знает, кто имеет доступ к папкам финансового отдела. Запускаем Export-ADPermission и NTFS ACL-аудит. Находим 12 лишних учётных записей, три принадлежат уволенным сотрудникам.
-
Информационная безопасность
MS06-040: шесть часов на раскатку критического патча по всем клиентским Windows-машинам
Microsoft закрывает RCE в Server Service с CVSS 10.0 - без аутентификации, через сеть. NetworkBlast PoC появился через сутки. Отрабатываем первую emergency patch-сессию по регламенту.
-
Информационная безопасность
Флешка как катализатор: изучаем рынок DLP и строим ручной периметр
После инцидента с флешкой у клиента смотрим на первые корпоративные DLP-решения. Websense и Vontu дорогие и сырые - строим контроль руками через GPO, прокси и аудит печати.
-
Информационная безопасность
MS06-014: три машины клиента подхватили трояна просто открыв новостной сайт
Критическая уязвимость MDAC в Internet Explorer активно эксплуатируется drive-by атаками. Экстренно раскатываем патч через GPO и фиксируем процедуру.
-
Информационная безопасность
Сегментация сети для PCI DSS: три VLAN на одном Cisco-стеке
Клиент с розничными картами просит помочь с сетевой сегментацией под PCI DSS. Строим DMZ, пользователей и POS в изолированных VLAN на одном Cisco-стеке.
-
Информационная безопасность
Nyxem/MyWife: как червь 3 февраля уничтожил файлы у нескольких наших клиентов
Червь Nyxem (MyWife, KamaSutra) сработал 3 февраля и стёр Office и PDF на машинах без AV на почтовом шлюзе. Фиксируем обязательный фильтр вложений как стандарт.