Построение системы безопасности значимых объектов КИИ в промышленности





Запись отличного доклада Николая Домуховского на вебинаре УЦСБ, посвященного созданию/построению системы защиты значимых объектов КИИ.

Хотя это больше теоретические рассуждения, но все хорошо структурировано и разложено по полочкам. Полезно для планирования мероприятий на 2019 г.






Сisco security operations virtual summit. От 12.11.18



Запись Сisco secyrity operations virtual summit прошедшего 12 ноября 2018 г.

Задачи и проблемы Security Operations

- захват данных

- внешняя проверка

- внутренняя проверка

- анализ

- действия

- уведомления

Решения Cisco которые могут помочь

Дополнительные скрипты, идеи, наработки, которые сами Cisco используют в расследовании инцидентов

RuSIEM. Полное обучение и практика. 12.18

Запись большого 4-ти дневного курса по SIEM в общем и RuSIEM в частности.
История, общие механизмы используемые SIEM для анализа событий, как это все реализовано в RuSIEM, архитектура и настройка RuSIEM, примеры выявления событий, работа в консоли и многое другое

Часть 1.


Часть 2.


Часть 3.


Часть 4.


Часть 5.


Часть 6.


Часть 7.


Часть 8.


PT Application Inspector и подходы к безопасной разработке в больших приложениях. От 22.11.18



Интересный вебинар Positive Technologies, по тому как средства автоматизации анализа кода, такие как PT Application inspector могут помочь при построении безопасной разработке в больших приложениях.

Абстрактная интерпретация, поиск по шаблонам и другие техники. Преимущества инкрементального анализа и т.п.

Анализ результатов работы PT Application inspector - достаточно от 4 до 8 часов

Разработчикам крупных прикладных проектов рекомендую послушать данный вебинар.

Соболь 3. Инициализация. Установка. Настройка. Интеграция с SNS 8. От 25.11.18



Отличное видео по всем шагам установки, инициализации, настройки Электронного зампа Соболь 3 и интеграция его с SNS 8.

На том же канале есть видео по установке и настройке самого SNS 8.

QIWI. Zabbix Threat Control. От 20.09.18



Видеозапись выступления Николая Самосвата из QIWI по open-source решению Zabbix Threat Control на встрече ISACA 2018 посвященной управлению уязвимостями

Ребята из QIWI подготовили интересное решение, которым спешат с вами поделится: позволяет  интегрировать имеющийся у вас сервер мониторинга Zabbix с базой уязвимостей Vulners.com, обнаруживать публично известные уязвимости и автоматически устанавливать обновления, закрывающие данные уязвимости

ФСТЭК России и ФСБ России на SOC форуме. От 27.11.18

На SOC Forum 2018 традиционно важное место занимают выступления регуляторов: ФСТЭК и ФСБ России.  Ниже наиболее интересные из них:

Виталий Лютиков (ФСТЭК): Реализация положений ФЗ-187
Елена Торбенко (ФСТЭК России) про вопросы категорирования КИИ


Алексей Новиков (НКЦКИ ФСБ России) про Задачи и функции субъекта ГосСОПКА

Андрей Раевский (НКЦКИ ФСБ России) про основные документы ФСБ России по ГосСОПКА и способы их получения


А. Грачев (НКЦКИ ФСБ России) про особенности технического подключения к ГосСОПКА и внутреннее устройство сегмента НКЦКИ

Источник: https://t.me/bureaucraticsecurity
Обработана аудиодорожка, убраны шумы, видео обрезано с акцентом на презентацию


Диалог с Регулятором (Ведущий: Олег Седов, Участники: Сергей Корелов, представитель ФСБ России, Алексей Новиков, представитель НКЦКИ ФСБ России; Артём Сычев, первый заместитель директора департамента информационной безопасности Банка России; Елена Торбенко, заместитель начальника управления ФСТЭК России)



 Бонус: аудиозапись Виталия Лютикова (ФСТЭК России) на выставке ITSEC 2018

Все о ГосСОПКА от PT. От 15.11.18


Интересный видео материал в котором собрана вся доступная информация про ГосСОПКА.
Если вы ещё не получали закрытых документов ФСБ по подключению к НКЦКИ, так как не имеете лицензии на гостайну, то из этого видео вы узнаете все самые интересные моменты из этих документов.
- типы инцидентов
- требования к подключению
- требования к персоналу

Конечно есть некоторый перекос - докладчик постоянно навязывает нам подключение к ГосСОПКА. Хотя конечно это не обязательно. Также слабо освещен вопрос подключения к НКЦКИ без создания своего центра ГосСОПКА.

НАША ИГРА по ИБ. 1 выпуск. От 31.10.18




Любое обучение ИБ должно подкрепятся тестированием - проверкой степени понимания и эффективности использования полученных знаний.

Записи Нашей игры по темам SOC, регуляторы, сетевая безопасность можно использовать как учебный материал и проверить свои знания. А можно просто насладится ИГРОЙ.

ArcSight Platform от 12.11.18





Запись хорошего обзорного вебинара по платформе ArcSight, и её компонентам и сервисам ESM, Activate, Investigate, UBA. Также рассматривается структура SOC в целом и различные уровни зрелости SOC.
Много скриншотов интерфейса, но демонстрации нет.

Check Point R80.10 IPS. от 22.06.18

Двухсерийное видеообучение по Check Point IPS

Часть 1



Часть 2.



Крайне интересный материал:
 - История развития IPS
 - Развенчивание мифов, например "Не верьте заявлениям отечественных разработчиков ИБ, которые говорят что достаточно обновлять базы сигнатур раз в месяц" "IPS эффективен только когда базы сигнатур обновляются мгновенно"
- Подходы по оптимизации работы IPS
- Пактика на стенде
- Интерфейс системы управления
- Проведение тестовых атак с Kali-linux: тестовый вирус, openvas, metasploit,
- Рекомендации по использованию Check Point R80.10 IPS Best Practice Gude
- Рекомендации по профилям
- Пример настройки политики IPS
- Пример оптимизации по производительности (настройки под защищаемые сегменты)


Кибербаталии. Конфликт разных учебных практик ИБ



Интересная серия кибербаталий про разные учебные практики: гражданские ВУЗы против военных; творческие специалисты против надежные и предсказуемых.

Сбербанк ICC. Современные кибергруппировки. От 05.07.18





Запись интересного технического потока BI.ZONE с конференции Сбербанка International Cybersecurity Congress

Про основные кибергруппировки и методы которыми они пользуются


Mediametrics. Александр Кузнецов. ИБ в малом и среднем бизнесе. От 23.07.2018





Запись отличного экспертного диалога Александра Кузнецова на платформе media metrics.

Поможет понять отношение к ИБ со стороны малого и среднего бизнеса, их осведомленность в теме ИБ, их потребности и особенности. На кого им можно возложить функции ИБ.

Управление рисками, управление доступом, управление изменениями, управление инцидентами - это нужно в любой компании..


PT ISIM netView Sensor. От 13.07.2018



Запись очень слабого (но лучше не опубликовано) вебинара Positive Technologies по ISIM netView Sensor.
Новый железный аплаенс. Послушать про его возможности
Позиционируют как продукт работающий "из коробки" - достаточно только включить железку и подключить к сети.

Проводит инвентаризацию сети, строит карту сети, уведомляет об изменениях в сети, выявляет атаки. Режим обучения.

2 варианта комплектации: за 996 300 руб. и 1 644 200 руб. (промышленное шасси) на платформах DELL и Advantech.       Есть ещё proView - с возможностью создания собственных правил, но про него подробно не говорили.

Работает только в режиме пассивного мониторинга.
Пока не сертифицирован - в конце лета будут новости (читать как - к концу года)












АИС. Алексей Мунтян. О требованиях GDPR для российских компаний. 07.06.18



Запись интересного вебинара Алексея Мунтяна на площадке АИС с информацией которую необходимо знать российским компаниям о требованиях GDPR:
история, особенности, дополнительные руководства и разъяснения EU регуляторов, наиболее интересные статьи, советы, вопросы от слушателей

Круглый стол. Проблемы образования в сфере информационной безопасности. От 22.03.18



Запись интересного круглого стола по "проблемам образования в сфере информационной безопасности" на конференции BIS SUMMIT ST. PETERSBURG 2018

- Почему выпускники не того качества?
- Сложно создать материальную базу?
- Нужно провести оптимизацию по сокращению количества вузов готовящих по ИБ
- Работодатели не читают профстандартов. Не заказывают в образовательных учреждениях специалистов соответствующих конкретным проф. стандартам. А должны бы читать и вносить замечания если необходимо.
- В регионах мало работают по специальности.
- Мотивация студентов.
- Как фирмам интегрироваться с ВУЗами.
- Вузы бывают 1.0 и 4.0

Думаю что всем ВУЗам по ИБ, а также крупным работодателям будет интересно ознакомится.

Как проводить сертификацию ПО на отсутствие НДВ. От 17.04.18



Специалисты Кода ИБ рассказали 17 апреля 2018 про финансовым организациям, как можно доказать отсутствие НДВ в ПО.

Рассмотрели: зачем банкам нужно заниматься отсутствием НДВ (а может быть и другим компаниям понадобится проверка на НДВ).
- на что лучше сертифицировать: РД НДВ или ОУД 4. Как оптимизировать этот процесс? Кто проводит сертификацию? Где? Каким требованиям должен соответствовать подрядчик? Какова стоимость и от чего зависит.

Есть только проблема - просто так, за сертификацию ПО никто браться не будет, пока эти требования не будут обязательными. Но требования выполнения ГОСТа ещё не установлены. Да и угрозы НДВ могут быть признаны неактуальными. (чаще всего)


Secret MDM. Защита мобильных устройств. От 10.04.18





Запись неплохого вебинара КБ по SecretMDM

Возможности, задачи, сертификация, лицензирование, демонстрация интерфейса SecretMDM

Изза того что хотят получить сертификат на ГИС более высокого класса, задерживается получение сертификата ФСТЭК.

Шифрование в контейнере и черные/белые списки только на Samsung Knox (на который нужна ешё доп. лицензия). ГОСТ шифрования контейнеров нет, так как MDM только управляет, а возможности контейнеризации - от Samsung.








Исследование целенаправленных атак на финансовые организации




Хороший исторический обзор деятельности преступных групп Cobalt и Silence с целевыми кибератаками на финансовый сектор в 2017-2018 гг.. Какие использовали методы spear фишинг и supply chain атаки(крупный вендор банкоматов, инкассаторская служба) использовали, примеры писем,  индикаторы компрометации (почтовые артефакты), уязвимости и бэкдоры, которые использовали, рекомендации, как можно было защитится от угроз (патчи, финсерт, песочницы, повышение осведомленности пользователей, мониторинг)


К сожалению нет записи 2ой части вебинара.
https://www.ptsecurity.com/upload/corporate/ru-ru/webinars/ics/webinar_291295.pdf

Positive Technologies. Продвинутые атаки на Microsoft AD, их обнаружение и защита. От 15.03.18





Полезный вебинар Антона Тюрина из PT по актуальным продвинутым атакам на AD, примеры трафика атаки, примеры того как атаки будут детектироваться PT SIEM и нового продукта PT Network Attack Discovery, а также некоторые советы по защите от подобных атак




PT Application Firewall. Защита web сайтов от ботов. От 14.02.17





Запись недавнего вебинара PT по защите от ботов с помощью PT AF.

Рассматривается чем могут быть опасны плохие боты, возможности PT AF и как они могут использоваться для контроля ботов, методы выявления на стороне клиента, демонстрация активности 4 ботов и их блокирования, далее рассматривается решение Approve по защите мобильных приложений и про совместное решение PT AF + Approve








Infowatch Traffic Monitor. Про решение и технологии распознавания картинок. От 27.02.18



Запись хорошего вебинара по Infowatch Traffic Monitor, проводилась совместно специалистами Abbyy и Infowatch.

Рассматривали актуальные риски утечки или слива информации в финансовой и страховой отрасли, на примерах нескольких кейсов, рассматривали сценарии действий злоумышленников;

далее сконцентрировались на выявлении утечек в изображениях, скриншотах, работе модуля abbyy OCR, показали в интерфейсе ITM, как производится мониторинг выявленных подозрительных событий. 

Много интересных вопросов и ответов:
- про контроль мобильных устройств
- про тайгафон
- про конроль телеграма
- про сравнение с конкурентами и квадрат гартнера (западные системы рассчитаны на другой комплаенс, и на него ориентируется гартнер)
- про внедрение (значительные усилия на первом этапе)
- про пилоты (облачный стенд или коробочка)

Комплекс Квазар. 10G криптощлюзы для ЦОДа. От 09.02.18



Запись вебинара по высокоскоростным криптошлюзам Квазар, предназначенным для соединения ЦОДов или взаимодействия с ЦОДами.

Производительность 10 Gbps.

Могут поставляться как отдельные шлюзы, так и в качестве модулей для модульных маршрутизаторов Волга.

Распространяется по каналам Инфотекса, через партнеров продающих решения VipNet.

ФСБ России. SOC Forum 2017. Регулирования взаимодействия с ГосСОПКА. от 22.11.17



Выступление Андрея Раевского (ФСБ России) на SOC Forum  22 ноября 2017 года, про работу ГосСОПКА, порядок взаимодействия с ней, предоставление информации об инцидентах, про планы развития ГосСОПКА. Один из ключевых докладов, ради которых и собираются слушатели на конференцию.

Можно сравнить с требованиями к средствам субъектов КИИ, которые были опубликованы в 2018 году

ФСТЭК России. ТБ Форум 2018. Порядок категорирования объектов КИИ. От 14.02.18



Запись выступления Елены Торбенко, Заместителя начальника управления ФСТЭК России, комментирует постановление правительства №127 о порядке категорирования объектов критической информационной инфраструктуры, приказа ФСТЭК о предоставлении информации о категорировании.

Во многом это пересказ документов, но может быть интересна отдельными комментариями




Бонусом идет запись (спасибо Валерию Комарову) с секции вопросов и ответов, на которой ФСТЭК отвечает на заранее подготовленный список ответов. Кто заранее подготовился - получил необходимую информацию. Но всем субъектам КИИ рекомендую также ознакомится.





Microsoft PKI. Проектирование инфраструктуры открытых ключей. 25.01.18



Запись полезного доклада Леонида Шапиро по проектированию инфраструктуры открытых ключей на базе Microsoft PKI. Надо отметить что актуальность данной темы потихоньку падает в связи с замещением российскими решениями корпоративными и облачными, требованиями регуляторов и т.п. Но тем не менее ещё много крупных российских компаний активно использует инфраструктуру PKI от MS.