Огляд технік актуальних масових атак із використанням фішингових розсилок. Механізми доставки шкідливого коду. Поширені типи приманок та способи їх знешкодження. Помилки, яких припускаються ІТ та ІБ фахівці при реагуванні на інциденти. Те, про що забувають.
Скрипти, powershell, вразливості MS Office. Типові ознаки malware та робота з ними.
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Слайди доповіді Олега Лободіна з McAfeeCybersecForum
Детально про можливості McAfee IPS та McAfee Web Gateway
Практтичні поради, приклади.
Схема застосування.
Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
Слайди моєї доповіді з Форуму Кібербезпеки 2021.
Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки.
Відео:
Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426
Доповідь: https://youtu.be/mibBBcQpgWM?t=13910
#OptiData #VR #McAfee #MVISION #ENS
Автоматичне відновлення зашифрованих файлів - слайди 17-18. McAfee оновило Endpoint Security (ENS).
Розбираю нові функції та поясню як правильно ними користуватися. Дивіться відео щоб знати більше: https://youtu.be/9dAWKMnFJ5A
Будьте уважні та обережні.
Слайди доповіді Олега Лободіна з McAfeeCybersecForum
Детально про можливості McAfee IPS та McAfee Web Gateway
Практтичні поради, приклади.
Схема застосування.
Слайди до мого виступу на Trellix Cyber Month.
Опис сценарію атаки взятого з реальних подій.
Відео стріму тут https://youtu.be/3LvR609nn3Q?t=266
Відповіді на запитання тут https://youtu.be/3LvR609nn3Q?t=3776
Наведено приклад несанкціонованого доступу нападників через скомпрометованого підрядника.
Показано типові дії зловмисників: розвідка, ескалація привілей, відключення антивірусного захисту і запуск Ransomware.
Наведені поради щодо кастомізації правил та політик захисту McAfee Endpoint Security для захисту від таких атак.
Будьте здорові, уважні та обережні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #VR #malware #TTPs #ransomware
Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
Слайди моєї доповіді з Форуму Кібербезпеки 2021.
Практичні поради щодо захисту кінцевих точок від приманок у вигляді документів і не тільки.
Відео:
Кіберполігон: https://youtu.be/mibBBcQpgWM?t=7426
Доповідь: https://youtu.be/mibBBcQpgWM?t=13910
#OptiData #VR #McAfee #MVISION #ENS
Короткий опис історії успіху впровадження та супроводу комплексної системи захисту. Чому замовники обирають нас та довіряють нам. OptiData LLC
Трохи про нашу волонтерську діяльність з приводу аналізу шкідливого коду та розсилки/публікації маркерів компрометації.
Слайди моєї доповіді з #CyberCrimeOperationUkraine
Відео дивіться тут: https://youtu.be/kxQdF6m_feU
Стисла аналітика по зразкам malware за 2019-2020.
Розглянуто 3 основні типи: примітивні, середні та складні.
Певні слайди публікуються вперше. Приємного перегляду.
#OptiData #VR #malware #cybercrime #samples2020
Продовження попередньої доповіді про кібербезпеку.
Цього разу розглядаються практичні аспекти тестів на проникнення включаючи інструменти та їх застосування.
Контент специфічний, розрахований на технічних спеціалістів та ентузіастів у галузі кібербезпеки, проте буде корисним для усіх користувачів високих технологій.
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
Як прокачати трьох студентів за п’ять тижнівArtem Henvald
GitHub repository: https://github.com/stfalcon-studio/lost-and-found
Відео з презентації: https://www.youtube.com/watch?v=3EgilE_fpkI
До нас на студію прийшли три студенти проходити практику. Потрібно було дати їм завдання і організувати навчальний процес. Розробляли проект "Бюро знахідок" на PHP Framework Symfony2. Ділюсь своїм досвідом, як я це зробив і що в результаті вийшло.
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...Fwdays
Architecture in 2013 comes from scratch, so is there any hope for the future? Business is primarily about money, but what if the balance between technical improvements and a beautiful look is not maintained.
"Emergency 2015" - the limit after which you need to make drastic changes in the technical component. Carte blanche from business and a rough idea of where to start the transformation.
Why did you choose to go through refactoring? Why did you decide to split the monolith into microservices in 2015, when the hype was just emerging, instead of SOA and monolith? How did you choose where to start? How AWS S3 defeated Ceph and helped save the nerves and funds of DevOps? What nodes of the system have provided us with the opportunity to grow 10-15 times in 5 years without spending much more money on vertical scaling? Stable 1.5 billion letters in 2020.
Imagine that you've been given an old project, a Food Delivery app, with the backend written in Laravel 8 and PHP 8.0. The web and mobile interfaces communicate with the backend through an API, but it's currently performing poorly with an average response time of 600ms. The product owner has requested you to optimize the performance and wonders if it's possible to reduce it by a factor of 10. What would you do?
Topics to be Covered:
Nginx Cache
Rememberable package
Redis Cache
Queues: Redis/SQS
Horizon
Octane: Swoole / Roadrunner
Upgrading PHP and Laravel
While you may be familiar with most of these points and possibly already using them, the focus will be on ensuring that you're using them correctly and effectively. In a real-world example, I will demonstrate how we managed to reduce average response times by 10 times. We'll explore what's hidden under Laravel's package magic and discuss ways to mitigate the negative impact on project performance.
By the end of this performance optimization session, you will not only have improved your performance but also gained a deeper understanding of how to utilize the Laravel framework more efficiently.
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
A detailed journey of a single user request through prom.ua infrastructure including hardware, networks, services, and databases.
This talk will feature an explanation of our architecture and reasons behind its current state and external and internal challenges which arise in a high load project built completely on premise.
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in productionJSFestUA
В далекому 2016 році світ почув про вебкомпоненти, а одна ще тоді не дуже розумна команда, якій приходилось верстати дуже багато, вирішила спробувати те все в продукті, який би допоміг зменшити верстку. Про біди вебкомпонентів відомо всім, але про те, як вижити і дійти з альфи до стабільної версії знають не багато. Використання lit-element & lit-html і вирішення наболілих проблем, ось справня ціль моєї доповіді. Happy end обіцяю.
11 хибних кроків які можуть зупинити проект або звести ефективність системи нанівець. без прив'язки до конкретного вендора чи технології. те, що часто зустрічав на практиці.
розглянуті проблеми та шляхи їх вирішення.
"Instant loading: Improving your website speed", Yozhef HisemFwdays
How to identify what’s causing delays on your website, and what tools to use to identify them? How to use caching to reduce the number of requests to the server and speed up page loading? How to use asynchronous requests to reduce page load times and ensure faster and more efficient data exchange between client and server?
Короткий опис історії успіху впровадження та супроводу комплексної системи захисту. Чому замовники обирають нас та довіряють нам. OptiData LLC
Трохи про нашу волонтерську діяльність з приводу аналізу шкідливого коду та розсилки/публікації маркерів компрометації.
Слайди моєї доповіді з #CyberCrimeOperationUkraine
Відео дивіться тут: https://youtu.be/kxQdF6m_feU
Стисла аналітика по зразкам malware за 2019-2020.
Розглянуто 3 основні типи: примітивні, середні та складні.
Певні слайди публікуються вперше. Приємного перегляду.
#OptiData #VR #malware #cybercrime #samples2020
Продовження попередньої доповіді про кібербезпеку.
Цього разу розглядаються практичні аспекти тестів на проникнення включаючи інструменти та їх застосування.
Контент специфічний, розрахований на технічних спеціалістів та ентузіастів у галузі кібербезпеки, проте буде корисним для усіх користувачів високих технологій.
Як перевіряти файли (документи) на наявність активного (шкідливого) вмісту:
• Розглянув роботу з документами MS Office, PDF, LNK та архівами.
• Показав основні типи активної начинки, через яку пробують інфікувати системи.
• Показав роботу з онлайн інструментами та з інструментами статичного аналізу.
• Дав поради по налаштуванню тестового середовища.
Запис можете подивитись тут https://youtu.be/U8uRqq5pC5U?t=205
Будьте здорові, уважні та обережні. Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#malware #sandbox #перевірка #аналіз #пісочниця
Як прокачати трьох студентів за п’ять тижнівArtem Henvald
GitHub repository: https://github.com/stfalcon-studio/lost-and-found
Відео з презентації: https://www.youtube.com/watch?v=3EgilE_fpkI
До нас на студію прийшли три студенти проходити практику. Потрібно було дати їм завдання і організувати навчальний процес. Розробляли проект "Бюро знахідок" на PHP Framework Symfony2. Ділюсь своїм досвідом, як я це зробив і що в результаті вийшло.
Oleksandr Brychuk "UniSender architecture. Growth from 100kk to 1.5kkk letter...Fwdays
Architecture in 2013 comes from scratch, so is there any hope for the future? Business is primarily about money, but what if the balance between technical improvements and a beautiful look is not maintained.
"Emergency 2015" - the limit after which you need to make drastic changes in the technical component. Carte blanche from business and a rough idea of where to start the transformation.
Why did you choose to go through refactoring? Why did you decide to split the monolith into microservices in 2015, when the hype was just emerging, instead of SOA and monolith? How did you choose where to start? How AWS S3 defeated Ceph and helped save the nerves and funds of DevOps? What nodes of the system have provided us with the opportunity to grow 10-15 times in 5 years without spending much more money on vertical scaling? Stable 1.5 billion letters in 2020.
Imagine that you've been given an old project, a Food Delivery app, with the backend written in Laravel 8 and PHP 8.0. The web and mobile interfaces communicate with the backend through an API, but it's currently performing poorly with an average response time of 600ms. The product owner has requested you to optimize the performance and wonders if it's possible to reduce it by a factor of 10. What would you do?
Topics to be Covered:
Nginx Cache
Rememberable package
Redis Cache
Queues: Redis/SQS
Horizon
Octane: Swoole / Roadrunner
Upgrading PHP and Laravel
While you may be familiar with most of these points and possibly already using them, the focus will be on ensuring that you're using them correctly and effectively. In a real-world example, I will demonstrate how we managed to reduce average response times by 10 times. We'll explore what's hidden under Laravel's package magic and discuss ways to mitigate the negative impact on project performance.
By the end of this performance optimization session, you will not only have improved your performance but also gained a deeper understanding of how to utilize the Laravel framework more efficiently.
"Request Lifecycle at Prom.ua", Vitaliy KharytonskiyFwdays
A detailed journey of a single user request through prom.ua infrastructure including hardware, networks, services, and databases.
This talk will feature an explanation of our architecture and reasons behind its current state and external and internal challenges which arise in a high load project built completely on premise.
JS Fest 2019/Autumn. Роман Савіцький. Webcomponents & lit-element in productionJSFestUA
В далекому 2016 році світ почув про вебкомпоненти, а одна ще тоді не дуже розумна команда, якій приходилось верстати дуже багато, вирішила спробувати те все в продукті, який би допоміг зменшити верстку. Про біди вебкомпонентів відомо всім, але про те, як вижити і дійти з альфи до стабільної версії знають не багато. Використання lit-element & lit-html і вирішення наболілих проблем, ось справня ціль моєї доповіді. Happy end обіцяю.
11 хибних кроків які можуть зупинити проект або звести ефективність системи нанівець. без прив'язки до конкретного вендора чи технології. те, що часто зустрічав на практиці.
розглянуті проблеми та шляхи їх вирішення.
"Instant loading: Improving your website speed", Yozhef HisemFwdays
How to identify what’s causing delays on your website, and what tools to use to identify them? How to use caching to reduce the number of requests to the server and speed up page loading? How to use asynchronous requests to reduce page load times and ensure faster and more efficient data exchange between client and server?
"Incremental rollouts and rollbacks with business metrics control at every st...Fwdays
Let's talk about the types and methods of deployments, the problems faced by engineers and ops during deployments. Possible ways of control and different approaches to it. How to choose metrics that should be monitored during releases.
Using Argo Rollouts as an example, we will analyze cases of monitoring technical and business metrics, forecasting, and rollback automation.
'Worker threads vs c++ addons' by Novokhatskyi Oleksii at OdessaJS'2020OdessaJS Conf
Nodejs becomes more and more popular (at least on Earth) -> Nodejs becomes less and less "terrible" (not terrible but "terrible") -> The most terrible part of Nodejs is Javascript (and probably Nodejs developer) -> JavaScript is terrible because it's single threaded (not only because of this) -> Sometimes I have CPU-bound tasks and better to handle this with multiple threads -> Nodejs provides several options to deal with multiple threads/processes, which one is better?
Слайди + додаткові матеріали https://radetskiy.wordpress.com/2022/03/22/2fa_mobile_in_warzone/
Як правильно створити новий обліковий запис для телефону та/або активувати другий фактор для існуючого облікового запису Google. Матеріал в першу чергу для цивільних, які пішли в ТРО чи ЗСУ. Якщо вам сподобалося - поширюйте, особливо серед військових.
Слава Україні!
Слайди + відео на блозі https://radetskiy.wordpress.com/2022/03/20/mobile_in_warzone/
Це відео про те, як правильно користуватися телефоном на війні. Матеріал в першу чергу для цивільних, які пішли в ТРО чи ЗСУ. Якщо вам сподобалося - поширюйте, особливо серед військових. Слава Україні!
Basic detection tests of McAfee ENS + MVISION Insights usage for SunBurst threatVladyslav Radetsky
On those slides I will show you 7 simple steps to test different McAfee ENS protection mechanism.
And as a bonus I will show you how to use MVISION Insights to react on SunBurst threat.
List of tests:
- OAS AMCore detection
- OAS GTI detection
- Access Protection
- Exploit Prevention
- Real Protect (ATP-RP)
- Dynamic Application Containment (ATP-DAC)
- Credential Theft Protection (ATP-RP-CTP)
All tests made for built-in rules and conducted without using real malware, so it is safe to repeat those steps in your environment.
#McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.Vladyslav Radetsky
Як проводити практичну перевірку роботи захисту ENS, та як MVISION Insights може стати у нагоді у світлі атак на FireEye та SolarWinds.
На слайдах відображено наступні тести:
- OAS AMCore detection
- OAS GTI detection
- Access Protection
- Exploit Prevention
- Real Protect (ATP-RP)
- Dynamic Application Containment (ATP-DAC)
- Credential Theft Protection (ATP-RP-CTP)
Усі тести виконані на базі вбудованих правил та сигнатур _без_ використання реального шкідливого коду.
#McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Слайди з моєї доповіді на львівській конференції "Сталевий Бубен". Коротко про мої враження від ставлення фахівців до минулих та поточних атак. Що ми робимо не так, або не робимо взагалі. Три реальні історії з моєї практики аналізу вірусного коду та підтримки замовників.
Тренінг/майстер клас по основам безпечного використання комп`ютерів, гаджетів та сервісів мережі Інтернет.
Контент розрахований в першу чергу на простих користувачів, які, як правило не є технічними спеціалістами.
Матеріал на слайдах допомагає ознайомити персонал із основними ризиками при роботі з ІТ та надати практичні поради щодо:
- роботі з email
- передачі інформації
- вибору сервісів та додатків
- поведінці в соц. мережах
- генерації паролів
Та інше.
Окремої уваги заслуговують слайди із прикладами свіжих атак з використанням фішингу.
Презентація буде корисною для НЕтехнічних спеціалістів.
Дана інформація відображає особисту думку автора.
Защита от эксплойтов и новых, неизвестных образцов.
Рассмотрены технические аспекты работы решения.
Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.
В доповіді розглянуті основні моменти атак, що здійснювалися на державні організації через канал електронної пошти із застосуванням елементів соціальної інженерії. Наведено приклади фішингових листів та результат активації ШПЗ. У підсумку знайдете практичні рекомендації щодо перевірки приєднань та інформації з відкритих джерел. Цільова аудиторія - співробітники та керівники відділів ІТ та ІБ.
Краткий обзор нововведений ENSv10.1
Усиленная защита, улучшенный скан, упрощенные политики и редизайн интерфейса. На закуску - интеграция с TIE (DXL) и ATD. Ну и мое любимое - конструктор правил Access Protection.
Атаки на критичну інфраструктуру України. Висновки. Рекомендації.Vladyslav Radetsky
Короткий огляд атак, у розслідуванні який приймав участь.
Аналітика. Маркери компрометації. Рекомендації.
Контент доповіді стосується не лише енергетиків і є актуальним не лише для державного сектору.
Розраховано на широкий загал. В першу чергу - працівників ІТ/ІБ підрозділів.
Презентация с вебинара по комплексу McAfee DLP.
Основной упор был сделан на использование новых возможностей DLP Endpoint 9.4 для пресечения случайных/умышленных попыток передачи информации в чужие руки по различным каналам.
Свежая презентация по комплекту шифрования Intel Security (McAfee). Рассмотрены сценарии интеграции выборочного шифрования файлов с модулем DLP Endpoint. Даны практические рекомендации по внедрению шифрования. Рассмотрены особенности каждого из модулей шифрования.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
This document summarizes the anatomy of a targeted cyber attack known as ShadyRAT. Over 5+ years, ShadyRAT compromised over 70 victims, maintaining persistence for an average of 9 months to steal data. Attackers used open-source intelligence to profile targets, then sent malicious emails to install remote access tools allowing command and control. Stolen data was encrypted and transferred over months without detection. Lessons are that simple attacks can be highly effective when combined with social engineering and long-term access. Vigilance against such advanced persistent threats requires awareness of social media disclosures and carefully handling potentially malicious files and communications.
Доповідь про різні аспекти інформаційної чи то пак кібербезпеки. Розглянуті як суто технічні моменти забезпечення захисту інформації так і соціальна складова.
Загалом буде корисною у вигляді вступної доповіді для людей, які користуються високими технологіями, але не замислюються над актуальністю кібербезпеки.
2. #whoami
Лінивий параноїк-зануда.
Працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням, впровадженням
та супроводом засобів захисту
Прийшов до вас щоб поділитися досвідом
vr@optidata.com.ua
radetskiy.wordpress.com
3. OptiData – хто ми є ?
Ми – це команда спеціалістів з практичним досвідом
інтеграції та супроводу рішень з ІБ.
Працюємо лише з тим, в чому розбираємось.
Більшість здійснених нами проектів захищені NDA.
Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
5. Важливо !
Усе про що я говоритиму – моя особиста точка зору
Усе, що ви сьогодні почуєте може не співпадати
із офіційною позицією компанії
Усі події та персонажі є вигаданими,
а будь-які співпадіння є випадковими
Вибачте, етика, NDA etc…
9. Поточна ситуація по атакам
07/18
040718 - Trickbot #W97M/Downloader #powershell
050718 - HawkEye #xlam #powershell
100718 - Lokibot #rtf #11882
100718 - Lokibot #ACE #SCR
110718 - trojan #rar #exe
…
To be continued
.
10. Поточна ситуація по атакам
04/18 - 07/18
Всього – > 50 різних зразків
MS Office – 17 розсилок
з них:
із застосуванням powershell – 7 розсилок
із застосуванням 11882 – 8 розсилок
Java Backdoor – 3 розсилки
41. • Фільтр приєднань на рівні web/email - по заголовкам
• Фільтр на рівні Web proxy - по User Agent
- як на завантаження payload так і на зв’язок із С2 -
• Пустий, test, bits, Mozilla 4.x etc – блок
• В ідеалі – дозвіл лише актуальним IE, FF, Chrome
• Аналіз SSL, заборона завантаження .ехе
Перерізати канали доставки
42. • Фільтр по джерелу (web/email)
.ua, .gov.ua etc – не довірені по замовчуванню
• Взагалі, що стосується web трафіку –
усе, що не довірене і не потрібне для роботи блок
Перерізати канали доставки
43. • Execution Policy Bypass
• Hidden PowerShell
• PowerShell – WMI Script
• PowerShell – Download
• PowerShell – Encoded Command
Powershell – контроль та блок
44. • Блок вихідного трафіку
• Заборона запуску cmd, powershell, mshta (4User)
• Заборона перехресного виклику
• Заборона дочірніх процесів для MS Office
• Заборона запису та зчитування небезпечних типів
CMD, MSHTA, MS Office
55. • Привілеї Адміністратора – не обов'язкові
• Powershell, office, mshta
• Повторне використання приманок
• Зміна контрольних сум
• Затримки при виконанні
Поведінка при зараженні
56. • Для простих користувачів – пам'ятка на А4
• Для IT/IS – чітка послідовність процедур
• Автономно без очікування команди зверху
• Ізолювати, зібрати дані, перевстановити…
Реагування на інциденти
70. MS17-010 – був опублікований 14 / 03 / 17
Mimikatz – був опублікований десь у 2011
Зауважте:
71. • Не достатньо просто знати про вразливість
• Не достатньо розуміти як саме працює вразливість
• Не достатньо поставити виправлення і заспокоїтись
Що нам це дає?
73. • Частина змирилася і дбає лише про бекапи
• Інша частина колекціонує IOC
• 15-20% - почали змінювати захист
Україна. Кібератаки 2017го року
74. Хто з вас проводить розслідування по детекту ?
* по кожному спрацюванню систем захисту
А звідки ви впевнені що АВ не впіймав лише хвіст ?
Реагування на інциденти
78. Історія #1 “Макрос” - 14.03.18
• Хтось відкриває документ 2013го року
• Спрацьовує макрос – пандемія (файли .doc)
• Розслідування, розстріли
• За 5 годин усі документи на х00 системах інжектовано
• А якби це був #Pony або Ransom ?
• …
86. Історія #3 “Страх або як роблять новини про ІБ”
• Хтось “качає” щось .. ок, це був фейковий AdobeFlash
• Зараження, виведення АРМ з ладу
• Чутки поширюються зі швидкістю світла
• В одному міністерстві вирішують вимкнути сервери
• Журналіст намагається зайти на сайт міністерства
• 502 = “Ааааа! Хакери поламали міністерство”
88. Висновки #1
• Інструкції на випадок атаки
• Автономне прийняття рішень та контрзаходів
• Службові розслідування, форензика
• Мінімізація втрат
• Навчання персоналу
89. Висновки #2
• Оновлення/виправлення MS Office та Windows ! ! !
• Блок створення / запуску C:Users***.exe
• Контроль/блок WSH, PowerShell, HTA, CMD, MS Office
• Посилена фільтрація Web та Email
• Відмова від RTF, макросів, JRE, Flash