Препарируем Wazuh: активно противодействуем угрозам
Системы класса SIEM традиционно используются для сбора событий ИБ с источников и выявления подозрительных активностей в этих событиях. Однако, системы SIEM можно также использовать в качестве ядра для комплекса автоматического реагирования на выявленные угрозы. По сути, мы получаем некий аналог Intrusion Prevention System. В качестве нашего рабочего инструмента у нас традиционно будет Wazuh. В предыдущих статьях мы уже рассмотрели написание правил нормализации и корреляции для данного SIEM, и теперь мы можем смело подключить любой источник, в котором есть журналы событий и написать любые правила корреляции.
В качестве подозрительной активности, которую нам надо предотвратить мы рассмотрим атаку на веб-ресурс. Вот лишь несколько примеров таких активностей на веб сайтах.
Evil-WinRM для пентеста
Операционные системы семейства Windows по-прежнему широко распространены как в корпоративных, так и промышленных сетях различных российских компаний, в том числе и довольно крупных. Существует множество различных инструментов для тестирования на проникновение, один Metasploit чего стоит. Но сегодня я хотел рассказать об Evil-WinRM и о том, как его можно использовать для пентеста.
Этот инструмент написан на Ruby и имеет открытый исходный код. Как уже упоминалось, он существенно упрощает пентест сред под управлением ОС Windows. В его состав входят различные интересные функции, например средства для организации удаленного доступа различными методами и многое другое.
Плейбуки в Ansible
Ansible — это инструмент для автоматизации, который облегчает управление конфигурациями, развертывание приложений и оркестрацию сложных задач. Его главная сила заключается в простоте использования и высокой читаемости плейбуков, которые представляют собой сценарии автоматизации, написанные на YAML.
Плейбуки в Ansible — основной инструмент Ansible. Плейбук состоит из одного или нескольких игр (plays), каждая из которых, в свою очередь, содержит задачи (tasks). Эти задачи выполняются последовательно, что позволяет создавать сложные, но легко читаемые сценарии автоматизации.
В этой статье мы рассмотрим, как работать с плейбуками в Ansible.
И снова о безопасности облачных сред
О том, как необходимо защищать облака, написано довольно много различных публикаций. В этой статье мы начнем рассматривать рекомендации по обеспечению кибербезопасности облаков, которые предлагает документ Security Guidance. For Critical Areas of Focus In Cloud Computing v.4.0. В этом документе предоставляются рекомендации по обеспечению безопасности облачных вычислений и снижению рисков.
Данный гайд был разработан альянсом по облачной безопасности (Cloud Security Alliance), который продвигает внедрение передовых методов обеспечения безопасности в области облачных вычислений и подготовил практическую дорожную карту для организаций, работающих с облачными средами.
Реверсинг приложений под Android. Разбираемся с функционалом
Сегодня мы продолжим изучение реверсинга приложений под Android. В предыдущей статье мы рассмотрели основы устройства приложений, установили необходимые инструменты и разобрали небольшой пример. В этой статье мы продолжим разбирать практические примеры.
Строим прокси цепочку с помощью graftcp
Использование цепочек прокси серверов позволяет обойти различные ограничения при доступе к сетевым ресурсам. Для проксирования обычно используют SOCKS или HTTP прокси. Сетевой протокол сеансового уровня SOCKS позволяет пересылать пакеты от клиента к серверу через прокси-сервер прозрачно (незаметно для них) и таким образом использовать сервисы за межсетевыми экранами.
Клиенты за межсетевым экраном, нуждающиеся в доступе к внешним серверам, могут быть соединены с SOCKS-прокси-сервером. Такой прокси-сервер позволяет клиенту подключаться к внешним ресурсам. SOCKS может использоваться и противоположным способом, осуществляя управление правами внешних клиентов при соединении с внутренними серверами, находящимися за межсетевым экраном.
Препарируем Wazuh: Обнаружение уязвимостей
Любое серьезное программное обеспечение всегда содержит ошибки. Причин для этого может быть много: от невнимательности или низкой квалификации самих разработчиков, и до ошибок в тех пакетах и фреймворках, которые разработчики также используют при создании приложений. Ошибаться могут не только разработчики, но и инженеры и администраторы. Первые при развертывании приложения могут забыть установить критические обновления для ОС, что подвергнет риску всю систему. Вторые в процессе эксплуатации приложения могут использовать слабые пароли или сознательно ослабить настройки безопасности потому что «так лучше работает».
Реверсинг приложений под Android. Смотрим под капот
Мобильные устройства стали неотъемлемой частью нашей жизни. Без любимого гаджета мы лишаемся банковских приложений, госуслуг и других сервисов, без которых наша жизнь становится намного сложнее.
По этой причине мобильные приложения, являются лакомой целью для злоумышленников. Подселив вредонос на телефон жертвы можно получить доступ ко всем используемым приложениям. Конечно, есть защитные механизмы типа одноразовых паролей, но многие современные вредоносы умеют их обходить.
Препарируем Wazuh. Часть 4: правила корреляции
В этой статье мы продолжим рассматривать вопросы, связанные с настройкой Wazuh и в частности, рассмотрим работу с правилами корреляции. Но для начала поговорим о том, зачем вообще нужны эти правила и как лучше их использовать для обеспечения информационной безопасности.
Документируем реагирование на инциденты
Инциденты информационной безопасности происходят в каждой сколько-нибудь серьезной организации и задача службы ИБ оперативно реагировать на возникающие инциденты, расследовать их, устранять последствия и анализировать для того, чтобы снизить их количество в будущем.
Для эффективного реагирования на инциденты в организации должны быть разработаны специальные документы, в соответствии с которыми и должно осуществляться реагирование. Это прежде всего политика реагирования на инциденты, план реагирования на инциденты и инструкции по реагированию. Начнем с политики реагирования на инциденты.
Режимы работы блочного шифра
На сегодняшний день существует множество различных алгоритмов шифрования с разными принципами работы. В рамках этой статьи мы будем разбираться в режимах работы блочных шифров.
Для начала давайте разберемся с тем, что из себя представляют блочные шифры. Блочный шифр — это алгоритм шифрования, который принимает фиксированный размер входных данных, например, N бит, и затем создает зашифрованный текст из этих N бит. Если входные данные больше, чем эти N бит (в реальности это практически всегда так), их можно разделить на блоки из N бит. Для различных областей применения блочного шифра существует несколько режимов работы, о которых мы и поговорим далее.
Начнем с наиболее простого способа работы с блочными шифрами.