Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
Поняття комп’ютерного вірусу. Історія та класифікація вірусів і троянських програм. Призначення, принцип дії та класифікація антивірусних програм. Робота в середовищі антивірусної програми. Правила профілактики зараження комп’ютера вірусами
Поняття комп’ютерного вірусу. Історія та класифікація вірусів і троянських програм. Призначення, принцип дії та класифікація антивірусних програм. Робота в середовищі антивірусної програми. Правила профілактики зараження комп’ютера вірусами
Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
Поняття комп’ютерного вірусу. Історія та класифікація вірусів і троянських програм. Призначення, принцип дії та класифікація антивірусних програм. Робота в середовищі антивірусної програми. Правила профілактики зараження комп’ютера вірусами
Поняття комп’ютерного вірусу. Історія та класифікація вірусів і троянських програм. Призначення, принцип дії та класифікація антивірусних програм. Робота в середовищі антивірусної програми. Правила профілактики зараження комп’ютера вірусами
Настанови з кібербезпеки для бізнесу
Київське відділення ISACA, разом з Microsoft переклали на українську мову брошуру «Настанови з кібербезпеки від експертів», які було спільно розроблено Бельгійським Відділенням Міжнародної Торгової Палати, Федерацією підприємств Бельгії, Ernst & Young, корпорацією Майкрософт, Бельгійським відділенням ISACA, асоціацією L-SEC, та Бельгійським центром боротьби проти кіберзлочинності.
Ця брошура ознайомить вас із ключовими елементами інформаційної безпеки та забезпечить відповідними переліками контрольних питань, які допоможуть вам обрати правильний напрямок та сприятимуть впровадженню наданих у цій брошурі рекомендацій.
Документ розроблявся як максимально-адаптований для розуміння керівництвом і не містить технічних термінів.
Ми включили в документ контакти державних органів з якими можна зв'язатися в разі інциденту.
Сподіваємося, що ця настанова стане корисною для всіх відповідальних працівників компаній в нашій країні.
В кінці 2015 року, на запит Державного Агентства з Електронного Урядування, Київське відділення ISACA розробило кваліфікаційні вимоги до наступних ІТ професій:
- Аудитор Інформаційних Технологій
- Експерт з Корпоративного Управління Інформаційними Технологіями
- Спеціаліст з Кібербезпеки
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
Київське відділення ISACA завершило переклад першого методологічного
документа із серії документів ISACA з впровадження Європейскої моделі кібербезпеки. В даній презентації наведено стислий огляд першого документу. Охоплюються такі питання:
-- Визначення Кібербезпеки
-- Огляд стратегії кібербезпеки ЄС
-- Обґрунтування впровадженні кібербезпеки
-- Інтеграція управління кіберебзпекою в структури корпоративного управління
-- Ризик менеджмент
-- Надання впевненості та аудит
-- Висновки для України
1. ШАБЛОН ПЛАНУ СТРИМУВАННЯ НА ВІДНОВЛЕННЯ ДЛЯ ВЕЛИКОЇ ОРГАНІЗАЦІЇ
Назва заходу Виконавець Термін
виконання
Відповідальний
1 Створення антикризової команди із
залученням вищого керівництва, PR-
служби, внутрішніх комунікацій,
керівництва ІТ, служби безпеки,
керівників ключових підрозділів
(operations)
2 Відключення від мережі всіх
критичних систем
3 Блокування трафіку по портам 1024-
1035, 135, 445 на всіх внутрішніх
мережевих пристроях.
4 Блокування трафіку до командних
центрів на ключових комутаторах та
зовнішніх firewall:
185.165.29.78
84.200.16.242
french-cooking.com
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108
coffeinoffice.xyz
5 Заблокувати на зовнішніх мережевих
екранах доступу в Інтернет з усіх
сегментів локальної мережі(в ГО та
філіях), окрім безпечного
мережевого сегменту з якого буде
працювати команда задіяня в
процесах відновлення
6 Створення безпечних мережевих
сегментів (VLANs) для ГО та філій, а
також для роботи адміснтаторів
задіяних в процесах відновлення (ці
мережеві сегменти мають бути
захищені від інших сегментів
внутрішньої мережі )
7 Перевод найбільш критичних
процесів в ручний режим або в
режим посилених контролів
8 Початок експрес-диагностики
найбільш критичних систем —
визначення чи було їх
скомроментовано, та напрямків
посилення їхньої безпеки. Виведення
найбільш критичних (наприклад,
платіжних систем, АСУСТ тощо з
домену на загальної мережі)
9 Організація захищених робочих місць
для ІТ фахівців(в ГО та філіях).
Встановлення з переіврених джерел
2. операційних систем з останніми
оновленнями (налаштування
hostbasefirewall для унеможливлення
доступу до цих ПК з внутрішньої
мережі в разі якщо неможливо
виділення окремого VLAN)
10 Налагодження мережевого
моніторингу. Встановлення
програмного забезпечення SNORT в
серверних
Налаштувати PORT SPAN на
основних комутаторах ГО для
моніторингу трафіку всіх
серверів та ПК
Встановити ПЗ SNORT for Linux
з конфігурацією по
замовчанню
Розпочати моніторинг
мережевого трафіку та
виявлення підозрілої
активності
11 Створити базу еталонного ПЗ для
перевстановлення ПК в головному
офісі та на відділенях (ОС, патчі,
АРМи та ін.), та викласти на
захищений FTP
12 Встановити standalone сервер WSUS
для централізованого
розповсюдження оновлень (сервер
має бути перевстановлений з нуля,
мати всі оновлення безпеки та
розташований в безпечному
мережевому сегменті, бути
відключений від домену, та
налаштований Windows Firewall для
унеможливлення віддаленого
доступу до нього по всім портам,
окрім порту WSUS)
13 Провести тестову розшифровку
гіпервізора на якому розташовані
критичні системи.
Спробувати відновити дані власними
силами (LiveCD, R-Studio та ін.)
14 Після роз шифровки гіпервізора
перевірити чи зашифровані
віртуальні машини. Для цього, НЕ
ЗАПУСКАЮЧИ віртуальні машини,
спробувати замонтувати їх диски. В
разі якщо диски не зашифровані –
перевірти на наявність при знаків
зараження (файл perfc.dat, та
просканувати засобом YARA на хеш-
суми уражених файлів.) Встановити
3. оновлення безпеки та останні патчі.
Вивести з ураженого домену та
підключити до «чистого» домену та
чистого сегменту мережі
Створити резервні копії дисків чи всієї
критичної інформації
Неможна знищувани пошкоджені
хакерами операційні системи —
необхідно створити image для
подальшого вивчення
15 Паралельна задача
Відновити із бекапів уражені сервери
в разі наявності бекапів.
Перевірити на наявність ураження
(файл perfc.dat), та просканувати
засобом YARA на хеш-суми уражених
файлів.) Встановити оновлення
безпеки та останні патчі. Після цього
підключити до «чистого» домену
16 Відновлення файлів з ПК в Головному
Офісі, на філіях та відділеннях.
Наразі відомо що вірус шифрує тільки
MBR та хедери файлів. Також, в разі
якщо копм’ютер було виключено під
час шифрування, не всі диски та
файли були зашифровані. Тому
відновлення даних без відновлення
ОС можливо
Варіанти –
1) Загрузити операційну систему за
допомогою LiveCD. Підмонтувати
диски, відновити уражені файли
2) А) Вставити диск ураженого ПК в
неуражений ПК. Б) Через утиліту
управління дисками видалити
розділи, створити
нові та розділи, та запустити швидке
форматування. С) Встановити ПЗ R-
Studio, яке розпізнає файли.
Обов’язкова перевірка відновлених
файлів засобами YARA
3) Запустити
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot
17 Підготовка чистих ГО, філіях –
інсталяція нових Windows, та всіх
оновлень безпеки з Бази еталонного
ПЗ.
4. 18 Копіювання на ці ПК відновлених та
перевірених файлів та встановлення
АРМів
19 Перевстановлення серверів для
критичних систем в ГО та філіях
(встановлення Windows та security
updates)
20 Відновлення втрачених ID та
сертифікатів з резервної копії
21 Запуск чистого домен контролера
Варіатни –
1) встановлення нового
2) підключення до розгорнутого
в Хмарі
Чистий домен контролер має бути в
безпечному мережевому сегменті
22 Переведення вичищених або
перевстановлених серверів та ПК до
чистого мережевого сегменту та
підключення їх до чистого
контролеру домену
23 Розгортання криміналістичної
лабораторії на базі безкоштовних
утіліт для вивчення зразків
злочинного коду на написання
правил YARA
24 Проведення розслідування та
встановлення timeline приникнення
25 Постійний запуск засобів YARA,
виявлення уражених сисием,
блокування цих систем, дослідження
злочиннонго коду та створення нових
правил YARA