и презерватив. тоже из фольги. на всякий случай.

И обо всех случаях заражения о которых говорят коллеги были на компах с белым ип без фаервола

Логично же

На фаерволе не винда

На фаерволе не винда

Не могу понять при чем тут фв

Если посмотреть отчеты по анализу криптора видно что он сканит внешние адреса, а не внутренние почемуто

Он сканил не для зарожения

Я имел ввиду что стандартного виндового фв должно было быть достаточно чтоб залочить доступ из инета на 445 порт

Он сканил не для зарожения

А зачем

Не могу понять при чем тут фв

Роутер нат фаервол выбирай

А зачем

Чтоб проверить не в песочнице ли он

Чтоб проверить не в песочнице ли он

Уверен?

Просто песочницам как правило разрешают доступ в инет

Уверен?

Если ты про первые две ванны, то да, уверен

Иначе как отловишь дозагрузку модулей

Вот тут прочитайте https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

Чувак который зарегал тот непонятный домен, сделал предположение что он сдужил для проверки наличия песочницы

Вот тут прочитайте https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

Ага, но не проливает свет на то с чего все началось: с заливки из инета или с получением письма

Чувак который зарегал тот непонятный домен, сделал предположение что он сдужил для проверки наличия песочницы

Он же говорит что малварь сканит локальную сеть машины, на которой оказалась в поисках 445 и уязвимости

https://itunes.apple.com/ru/podcast/matthew-hickey-on-wannacry-ransomware-outbreak/id315355232?i=1000385449447&mt=2

Ага про скан внутренней сети увидел

Тут нет о векторе заражения первом

Все-таки видел кто-нибудь упоминание что в пятницу вредонос кому-то по почте или в виде файла долетел?

О том как малварь попала в сеть

Скинь файлом плиз

Сппсибо

не помогло...

Тут помогло

Тут помогло

Ваще мемасик бомба)))

Жене такой тест хочу подсунуть)

Жене такой тест хочу подсунуть)

я даж не знаю кто кому заплатить должен будет))

я даж не знаю кто кому заплатить должен будет))

На субсидию по хатам работаю)))

два уже есть)

лооол

щас по россии1 был репортаж о ваннакрае. вишенкой на пломбире ахинеи была история о "молодом разработчике" который случайно повредил программный код вируса, за что получил неделю отпуска на работе

Спасибо, завтра в презентацию вставим

щас по россии1 был репортаж о ваннакрае. вишенкой на пломбире ахинеи была история о "молодом разработчике" который случайно повредил программный код вируса, за что получил неделю отпуска на работе

Ага, а в россии спасло всех отечественное по

а то оказывается, со мной до 3 ночи не спал первый зам гендира

щас по россии1 был репортаж о ваннакрае. вишенкой на пломбире ахинеи была история о "молодом разработчике" который случайно повредил программный код вируса, за что получил неделю отпуска на работе

Это они так про @hackerfantastic?

Спасибо, завтра в презентацию вставим

Там еще надпись была . (Обновление антивируса МВД до последней версии)

@MalwareTech, я так думаю.

Там еще надпись была . (Обновление антивируса МВД до последней версии)

Ну нам так низззя, мы маленькая дочка РЖД и у нас инцидентов не случилось.

зато сегодня аж гендир на уровне топов в колокол звонил и завтра на оперативном совещании про вирусы обсуждать будут, детский сад йопты

для топов это все сродни магии, к сожалению. или к счастью. поэтому такие события вызывают священный трепет и желание приносить жертвы

зато сегодня аж гендир на уровне топов в колокол звонил и завтра на оперативном совещании про вирусы обсуждать будут, детский сад йопты

Надо ловить момент и продвигать все хотелки ИБээшные

@MalwareTech, я так думаю.

Да, точно

Надо ловить момент и продвигать все хотелки ИБээшные

:) всё есть. хочу только Эльбруса купить для поиграться, ну и постгрес могу на него вполне боевой поставить

:) всё есть. хочу только Эльбруса купить для поиграться, ну и постгрес могу на него вполне боевой поставить

Все то может и быть, но не все настройки активированы)

Надо ловить момент и продвигать все хотелки ИБээшные

хотя тут не технические, а орг меры двигать надо, может наконец получится

Все то может и быть, но не все настройки активированы)

dlp только не активно, и https inspection можно уже включить на всё =)))

Https инспекцию на все надо еще вчера включать ;)

Https инспекцию на все надо еще вчера включать ;)

Ну не все сервисы работать будут, тут аккуратно надо :)

Кста, кто всерьез DLP внедрял? Именно чтобы работать, а не поиграться? Я чот не верю в работу этого странного механизма в нашей стране

Кста, кто всерьез DLP внедрял? Именно чтобы работать, а не поиграться? Я чот не верю в работу этого странного механизма в нашей стране

Знач что в некоторых конторах оно даже в разрыв, но там на длп сидит около 20 человек

а что под dlp считать? условный devi0celock — вполне себе длп и работает

а что под dlp считать? условный devi0celock — вполне себе длп и работает

Имеется ввиду полный апрув того что уходит по почте или в инет или на мобильные носители и тд

а что под dlp считать? условный devi0celock — вполне себе длп и работает

мммм, девайс у меня был однажды, речь именно о функционале DLP - ловить утечки. То есть как реклама толкует - кто-то сливает паспортные данные - лови его

ну конский штат и вперед. но овчинка выделки не стоит.

у меня и тогда, и сейчас больше 1к человек

а то как реклама толкует — это надо что-то с интеллектом, типа серчинформа и старательно обучать

когда приходишь к эконом безопасности за ключевыми словами - они херню выдают, нельзя из переписки вычленить "кражу коммерческой тайны"

у меня и тогда, и сейчас больше 1к человек

1к в ИБ?

ибо я могу "слить инфу", спиздить данные, украсть файлы

1к в ИБ?

ну только сертифицировать виндов приходилось 250 штучек

ERROR: S client not available

поэтому и не к экономам идти, а на реальных кейсах учить

год-полтора

это чисто наклейки были на лицензированные винды, только сертификация по проекту

с соответствующими рисками пустить гол

ну только сертифицировать виндов приходилось 250 штучек

Я подумал 1к людей в иб задействовано)

поэтому и не к экономам идти, а на реальных кейсах учить

да, но... задача должна ставиться не мной, надо ловить людей

Я подумал 1к людей в иб задействовано)

нене, что ты, просто маленькая фирмочка =)))) хотя потом стало 5к+ и несколько лесов доменов и я занялся другой хренью

в условиях ограниченных сил это делается организационно-тех мерами

Если нельзя изловить ДО, надо расследовать после, и я засрал всю БД аудитом с удобным поиском, чо

например любая отправка данных во вне — с обязательной копией руководителя высокого уровня. отсутствие копии = инцидент и объяснительная

в условиях ограниченных сил это делается организационно-тех мерами

ну кто-то сливает данные, бизнес-портфели, в принципе нынче можно собирать просто аудит, диски вполне позволяют

это легко ловится уже тех.мерами

Egor Parfenenko: Через апи вк, можно парсить стенку чужого сообщества?

это легко ловится уже тех.мерами

ну вот часть тех.мер, которые приходилось пробовать - слишком громоздко-неудобные и дорогие, потому приходилось как-то так...

масяня.жпг ?

ну вот часть тех.мер, которые приходилось пробовать - слишком громоздко-неудобные и дорогие, потому приходилось как-то так...

ты не понял) 1. политика — отправка файла во вне — только с согласования руководителя подразделения и только с ним в копии 2. тех.мера — сообщения на внешний адрес без копии руководителя. Делается чем угодно, хоть СИЕМом

ты не понял) 1. политика — отправка файла во вне — только с согласования руководителя подразделения и только с ним в копии 2. тех.мера — сообщения на внешний адрес без копии руководителя. Делается чем угодно, хоть СИЕМом

Ну протокол TCP/IP как-то так не умеет. Средства защиты тоже. Нельзя подтверждать каждый пакет руководителем.

интернет закрыть политиками

с категоризацией ресурсов

только электронную почту можно накрутить, но это угнетает бизнес, а бабло зарабатывает он

ну на эту тему app фильтрация у меня есть как бы, хотя и не всегда правильная

а это вопрос к руководству. на чем оно больше потеряет — на угнетении или на утечках

евреи из чекпоинта как-то странно делят категории, но в целом работает

кстати, новый девайслок вроде уже и траффик научился смотреть

у блюкота неплохие категории

а это вопрос к руководству. на чем оно больше потеряет — на угнетении или на утечках

кмк достаточно предупредить каждого, что каждый их ход записан, дальше будет УК РФ. превентивно пытаться решить проблемы - это реально портить специалистам работу

зависит от стоимости утечки

собсна в этом направлении и движется РФ, просто аудит, потом эти сведения могут быть использованы против вас

Egor Parfenenko: Через апи вк, можно парсить стенку чужого сообщества?

Можно если сообщество не закрытое.

зависит от стоимости утечки

да, но бывает и обратная сторона медали, детали раскрыть не могу, но у нас потенциальные заказы сливаются тупо из-за бюрократии, а слить её еще технической бюрократией - конец)

РФ в этом направлении движется относительно непревилегированных граждан. а взаимодействие, например, по гостайне — та еще анальна боль

да, но бывает и обратная сторона медали, детали раскрыть не могу, но у нас потенциальные заказы сливаются тупо из-за бюрократии, а слить её еще технической бюрократией - конец)

это понятно. но это в любом разе решение не безопасника, а владельца. задача безопасника — оценить риски и дать решение.