В предверии нового SOC Forum организаторы выложили видео с прошлогодних киберучений SOC-ов. Можно рассматривать его как отличный учебный материал послушать что предлагали делать коллеги в случае различных инцидентов и подумать как бы вы поступали в этих случаях.

Были обыграны следующие ситуации:
- сайт не работает, подключение к сайту не защищено
- множество жалоб от клиентов, о несанкционированных списаниях средств
- один из скриптов на сайте содержит вредоносный код, крадущий данные клиентов
- повторное обнаружение вредоносного кода на сайте
- получен бюлитель от ГосСОПКА по хакерской группе Magecart
- получен запрос от регулятора из Болгарии дать разъяснения по поводу утечки ПДн
- Коммерсант опубликовал в газете информацию об утечке ПДн и ссылку на pastebin
- пришла проверка прокуратуры, которая выявила нарушение 239 приказа ФСТЭК, о том что разработчик СЗИ бесконтрольно выгружает какие то данные в облако
- ноутбук генерального директора заражен шифровальщиком, он принес его на работу чтобы разобраться в проблеме
- зафиксирован резкий рост количества защифрованного трафика в сети
- генеральному директору предложили заплатить выкуп за расшифровку данных
- необходимо подготовить пятиминутный доклад руководству о событиях прошлой недели с планом дальнейших мероприятий

Полноценное обучение по этичному хакингу современных Windows систем и AD

Подробно разбираются сервисы и механизмы безопасности Windows

• LSASS - Local security authority support system
• LM 
• NTLM
• Credential Guard
• SMB
• NTLMSSP - NTLM Security Support Provider
• NBNS 
• WPAD - web proxy auto discovery protocol
• IP v6

сервисы и механизмы безопасности AD:

• kerberos tickets
• SID history

рассказывают теорию и демонстрация атак на них

• mimikatz
• smbmap
• NTLM Relay
• SMB Refkect
• hot potato
• SLAAC
• password spray
• overpass-the-hash
• pass-the-ticket
• pass-the-cash
• golden ticket
• kerberoast
• DCShadow

и рекомендации по защите.

Часть 1.



Часть 2.

Вебинар от 01.10.2019 при поддержке RISC
Авторы:
- Ксения Шудрова http://shudrova.blogspot.com/
- Сергей Борисов https://sborisov.blogspot.com/
Тема: Угрозы из БДУ ФСТЭК и требования приказов ФСТЭК 17, 21.
Теория и практика
Ксения Шудрова представила теоретический подход, сделала обзор методических и регламентирующих документов ФСТЭК.
Сергей Борисов рассказал про существующие лучшие, худшие и иные практики формирования требования из актуальных угроз. И бонус - таблица соответствия Угроз и Мер.
Ну и конечно много отвечали на вопросы слушателей
Ссылки из доклада:
NIST Mobile Threat Cataloguehttps://pages.nist.gov/mobile-threat-...
ENISA Threat Landscape Report 2018. Top 15https://www.enisa.europa.eu/publicati...
HITRUST Threat Cataloguehttps://hitrustalliance.net/threat-ca...
Сводная таблица с мерами защиты от Алексея Комароваhttps://zlonov.ru/measures-table/
Моя таблица соответствия угроз и мер защиты с возможностью комментироватьhttps://drive.google.com/file/d/1pnNZ...

Другие полезные ссылки:https://187.ussc.ru – много полезной информацией по безопасности КИИ

Запись интересной дискуссии про массовое мошенничество и массовую социальную инженерию в ДБО.
Обсудили что искоренить доверчивость пользователей вряд ли удастся. На качественное мошенничество попадется даже профессионал по ИБ
Решить проблему исключительно техническими средствами тоже невозможно.

Озвучивались такие возможные действия:
- государственная программа массового обучения граждан, начиная со школьного возраста
- государственное продвижение повышения осведомленности для граждан в СМИ
- дополнительные требования к операторам связи по противодействию мошенничеству
- улучшать взаимодействие между банками
- идентификация всех участников платежей на всех этапах
- банки должны обучать своих клиентов
- есть вариант принимать риски, которые меньше чем польза от новых удобных сервисов
- улучшать сотрудничество с правоохранительными органами чтобы быстрее блокировать и лучше сажать

Полезный вебинар Павла Корастелева из Кода Безопасности про обновление законодательства в области КИИ - поправки ПП  про сроки, законопроект про штрафы, новый приказ ФСБ №282, а также детальные рекомендации по созданию плана реагирования на инциденты!! и ответы на вопросы.