Выстраиваем киберкультуру, используя индивидуальный подход к обучению разных категорий сотрудников 🤝

Индивидуальные планы обучения представил Харитон Никишкин, генеральный директор Secure-T, в рамках конференции Код ИБ ИТОГИ. Запись его доклада про построение киберкультуры в организации доступна в нашей группе во ВКонтакте.

▪️ Топ-менеджеры
1. Тренинг: обучение со спикером + тестирование.
2. Опрос: проведение опроса для определения уровня удовлетворенности.
3. Коммуникация: телеграм-канал с новостями и ОС.

▪️ Общий трек
1. Тест-опрос: проведение тест-опроса и проверочная фишинговая рассылка для определения уровня знаний на текущий период.
2. Вебинар-знакомство: первый вебинар с отделом ИБ для ознакомления с программой и мотивационной составляющей + телеграм-канал.
3. Обучение и фишинг: изучение модулей сотрудниками + отправка учебной фишинг-рассылки + тестирование.
4. Итоговый вебинар: вебинар-тренинг, включающий в себя вопрос-ответ, анализ ошибок в тесте и кейс-сессию.
5. Итоговый опрос: сбор показателей удовлетворенности, отзывы и предложения по улучшению.

▪️ Специалисты ИБ
1. Обучение: непрерывное обучение специалистов ИБ, включая использование методик NIST NICE и ENISA.
2. Фишинг: углубленные тренинги по предотвращению атак и анализ ошибок.
3. Отраслевые мероприятия: вовлечение сотрудников ИБ в мероприятия по киберкультуре.
4. Коммуникация через телеграм-канал.

▪️ Технический трек
1. Обучение и фишинг: обучение по безопасной разработке и основам уязвимости, фишинг-рассылка.
2. Внутренние мероприятия: площадки для внутренних докладов по ИБ, форумы по вопросам IT и ИБ.
3. Тренинг: участие в тренингах и открытых заданиях CTF.
4. Внутренняя баг-баунти: участие в программе поиска и устранения уязвимостей в системах
5. Коммуникация через телеграм-канал.

#опытэкспертов

✨ Безопасность компании без значительных трат: бесплатные инструменты, методы и принципы, которые работают #опытэкспертов

Запускаем серию постов о том, как действовать руководителю по ИБ, если он пришел в новую компанию и ему нужно выстроить систему информационной безопасности.

Лайфхаками поделился Артём Куличкин, и. о. директора по ИБ ДЗО, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: AD

Первым шагом Артём рекомендует провести аудит и доработку AD.

1. Учетные записи: провести аудит пользователей AD с помощью Windows PowerShell (смотреть инструкцию на Хабре)

2. Сделать брут паролей Active Directory (смотреть инструкцию)

3. Заблокировать простые и скомпрометированные пароли в AD с помощью Lithnet Password Protection for Active Directory (LPP)

4. Проверить хосты

5. Убедиться в правильном наследовании прав

6. Пропилотировать DCAP (российский рынок DCAP: CyberPeak, InfoWatch, MAKVES, Zecurion, Орлан, SearchInform)

7. Использовать AD Audit Plus

Подробнее про каждый шаг вы можете узнать в записи технического спринта Артёма Куличкина, которая доступна для участников Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб.

В следующих постах серии расскажем про анализ инфраструктуры, установку и настройку систем, администрирование. Следите за обновлениями в канале 👋🏻

✨ Безопасность компании без значительных трат: бесплатные инструменты, методы и принципы, которые работают #опытэкспертов

Продолжаем серию постов о том, как действовать руководителю по ИБ, если он пришел в новую компанию и ему нужно выстроить систему информационной безопасности.

Лайфхаками поделился Артём Куличкин, и. о. директора по ИБ ДЗО, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: AD

Часть 2: Анализ инфраструктуры

1. Проверить хосты в сети, используя Masscan и Nmap

2. Проверить открытые порты в каждом хосте

3. Провести аудит публичных сервисов:
— проверить, что несанкционированные сервисы не доступны из интернета
— проверить, что из интернета доступны IP без известных уязвимостей
— Посмотреть OSINT + Scanner

4. Сравнить установленное ПО с каталогом разрешенного ПО

5. Проверить, что вся информация в IT CMDB актуальна (покрытие, реагирование на инциденты и др.)

6. Настроить Zabbix для мониторинга аномального поведения

Подробнее про каждый шаг вы можете узнать в записи технического спринта Артёма Куличкина, которая доступна для участников Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб.

В следующих постах серии расскажем про установку, настройку и доработку систем, администрирование. Следите за обновлениями в канале 👋🏻

✨ Безопасность компании без значительных трат: бесплатные инструменты, методы и принципы, которые работают #опытэкспертов

Продолжаем серию постов о том, как действовать руководителю по ИБ, если он пришел в новую компанию и ему нужно выстроить систему информационной безопасности.

Лайфхаками поделился Артём Куличкин, и. о. директора по ИБ ДЗО, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: AD

Часть 2: Анализ инфраструктуры

Часть 3: Установка, настройка, доработка систем

1. Ограничить физический доступ к инфраструктуре — настроить доступ только для авторизованных сотрудников.

2. Обеспечить покрытие СЗИ всех возможных устройств — проверить наличие и обновление средств защиты.

3. Выстроить правильные метрики покрытия (АВЗ, EDR, SOC, IDS, DLP и т. д.)

4. Защитить почту с помощью Proxmox Mail Gateway + SMG (смотреть инструкцию на Хабре).

5. Внедрить менеджеры паролей (например KeePass) и обучить пользователей работать с ними.

6. Минимальные права у пользователей — проверить назначение прав доступа и ролевые модели.

7. Ограничить работу на правах администратора (статья по теме) — настроить политику безопасности.

8. Внедрить Local Administrator Password Solution (статья по теме).

9. Настроить VPN и двухфакторную аутентификацию для удаленной работы: VPN (RRAS, CISCO, др.) + Radius + любой OTP.

10. Промышленные данные только в защищённой среде: настроить политику хранения данных.

Подробнее про каждый шаг вы можете узнать в записи технического спринта Артёма Куличкина, которая доступна участникам Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб.

✨ Безопасность компании без значительных трат: бесплатные инструменты, методы и принципы, которые работают #опытэкспертов

Продолжаем серию постов о том, как действовать руководителю по ИБ, если он пришел в новую компанию и ему нужно выстроить систему информационной безопасности.

Лайфхаками поделился Артём Куличкин, и. о. директора по ИБ ДЗО, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: AD

Часть 2: Анализ инфраструктуры

Часть 3: Установка, настройка, доработка систем

Часть 4: Дополнительные меры безопасности

1. Администрирование из специального сегмента: настроить отдельные учетные записи и права.

— сегментирование сети
— разделить прод, тест, деф
— запретить выход в интернет из серверного сегмента
— обеспечить выход в интернет через единый прокси с авторизацией

2. Включить расширенный аудит: настроить EventLog, Symon, Auditd.

Статьи по теме:
— Настройка аудита в Windows для полноценного SOC-мониторинга
— Основы аудита. Настраиваем журналирование важных событий в Linux

3. Настроить доступ по ключам SSH.

4. Patch Management: настроить регулярное обновление ОС и ПО.

5. Настроить регулярное резервное копирование и тестирование восстановления.

6. Настроить SSH для запрета доступа root.

Подробнее про каждый шаг вы можете узнать в записи технического спринта Артёма Куличкина, которая доступна участникам Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб.

💬 Экспресс-аудит на практике #опытэкспертов

Запускаем серию постов о том, как провести экспресс-аудит, чтобы сэкономить время и ресурсы.

Информацией поделился Александр Дмитриев, генеральный директор Нейроинформ, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: чем экспресс-аудит отличается от обычного?

Начнем с базы. Для понимания разницы между экспресс-аудитом и обычным, приведем краткий порядок действий:

Обычный аудит:

1. Планирование:
• обозначить сроки проведения и область действия аудита внутри компании
• определить критерии, по которым будет проводится оценка
• определить методологию
• определить необходимые ресурсы
• понять, сотрудники с какими компетенциями понадобятся

2. Проведение:
• изучить документацию, регламенты и контроли
• провести интервью с сотрудниками
• проследить, как реально выполняются процессы
• провести инструментальный анализ
• осмотреть помещения
• определить слабые места

3. Составление отчета:
• подготовить шаблон и заполнить его
• написать отчет

Такой вариант долгий и муторный. Если нет времени проводить обычный аудит, можно пойти более простым путем 👇🏻

Порядок действий при экспресс-аудите:

• Проводим интервью
• Проводим инструментальный анализ
• Определяем слабые места
• Составляем отчет

В следующей части расскажем подробнее о том, как провести интервью в рамках экспресс-аудита. Следите за обновлениями в канале 👋🏻

В рамках технического спринта Александр Дмитриев представил подробный разбор методологии, а также привел примеры из личного опыта и продемонстрировал реальные кейсы.

Чтобы с головой погрузиться в тему, смотрите запись спринта, которая доступна участникам Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб. Еще больше полезной информации ➡️ telegram-канал Нейроинформ.

💬 Экспресс-аудит на практике #опытэкспертов

Продолжаем серию постов о том, как провести экспресс-аудит, чтобы сэкономить время и ресурсы.

Информацией поделился Александр Дмитриев, генеральный директор Нейроинформ, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: чем экспресс-аудит отличается от обычного?

Часть 2: как провести интервью в рамках экспресс-аудита?

Интервью — самая важная часть экспресс-аудита. Цель — выяснить как можно больше деталей, чтобы составить полную картину.

Этапы проведения интервью:

1. Составьте список подразделений в организации
2. Составьте список вопросов для интервью по каждому подразделению
3. Проведите интервью с представителями каждого подразделения, используя для основы список вопросов
4. Зафиксируйте всю полученную информацию

Пример вопросов для конкретного подразделения:

Подразделение ИБ, отвечающее за мониторинг событий и инцидентов ИБ

• Из каких источников вы получаете информацию об инцидентах ИБ?
• Каким образом вы классифицируете инциденты ИБ?
• Какой порядок обработки инцидентов ИБ, взаимодействия с другими структурными подразделениями и сторонними организациями?
• Каким образом документируете результаты расследования, планирования среднесрочных и долгосрочных мероприятий по результатам анализа причин инцидентов ИБ?
• Какие у вас есть инструкции по обработке типовых инцидентов ИБ?

‼️ Важно задавать уточняющие вопросы, чтобы обнаружить все детали и тонкости ситуации.
Как это сделать?

Пример:
Вопрос: Вы используете XDR?
Ответ: «Есть/Используем»
👇🏻
Возможные вопросы:
— Для внутреннего/внешнего использования?
— Какой вендор?
— Какая версия ПО/прошивки?
— Кто имеет доступ?
— Есть ли регламенты обновления?
— Регламент получения доступа?
— Кто настраивает/обновляет/выдает доступ?
— Когда последний раз обновляли?

Ответ: «Нет/не используем» 👉🏻 уточняем причину.

В следующей части расскажем подробнее о том, что проверять в рамках экспресс-аудита и какие инструменты для этого использовать. Следите за обновлениями в канале.

Еще больше полезной информации и примеров из практики — в записи технического спринта Александра Дмитриева.

Чтобы с головой погрузиться в тему, смотрите запись спринта, которая доступна участникам Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб.

💬 Экспресс-аудит на практике #опытэкспертов

Продолжаем серию постов о том, как провести экспресс-аудит, чтобы сэкономить время и ресурсы.

Информацией поделился Александр Дмитриев, генеральный директор Нейроинформ, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: чем экспресс-аудит отличается от обычного?

Часть 2: как провести интервью в рамках экспресс-аудита?

Часть 3: что и как проверять?

В рамках экспресс-аудита стоит проверить:

1. Ресурсы
• Документы, регламенты
• Сетевая инфраструктура
• Серверная инфраструктура
• Виртуальная инфраструктура
• Данные (файлы, БД, ИС, электронная почта)
• Сервисы (web, ftp, SQL, почта, прочее)
• АРМ, портативные устройства
• Беспроводная сеть
• Средства защиты
• Система резервирования (Disaster recovery)
• Система резервного копирования (Backup)

2. Средства контроля и управления
• Пользователями
• AD, LDAP, etc
• Парольные политики
• Управление доступом
• Программным обеспечением
• Обновлениями
• Информационной безопасностью
• Система мониторинга

3. Физическая безопасность
• ЦОД, серверная
• СКУД
• Систему видеонаблюдения
• Помещения офиса

Какие инструменты понадобятся?

Утилиты
• Nmap может определять не только открытые порты, но и версии работающих сервисов и, в некоторых случаях, версию операционной системы
• Nessus/OpenVAS (с коммерческим feedом)
• OWASP Zap
• Ping Castle использует набор тестов безопасности для оценки среды AD, предоставляет отчеты и метрики для оценки безопасности, включая привилегированные учетные записи, членство в группах, политики паролей и другие.
• Dradis / PCF — системы для коллективной работы

Документирование
• Obsidian — систематизируйте записи в удобном формате
• Draw.io — создание блок-схем
• MindMap — рисование ментальных карт

В следующей части расскажем подробнее о том, как определить слабые места в рамках экспресс-аудита. Следите за обновлениями в канале 👋🏻

В рамках технического спринта Александр Дмитриев представил подробный разбор методологии, а также привел примеры из личного опыта и продемонстрировал реальные кейсы.

Чтобы с головой погрузиться в тему, смотрите запись спринта, которая доступна участникам Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб. Еще больше полезной информации ➡️ telegram-канал Нейроинформ.

💬 Экспресс-аудит на практике #опытэкспертов

Продолжаем серию постов о том, как провести экспресс-аудит, чтобы сэкономить время и ресурсы.

Информацией поделился Александр Дмитриев, генеральный директор Нейроинформ, в рамках технического спринта в Клубе ЗУБРЫ Кибербеза.

Часть 1: чем экспресс-аудит отличается от обычного?

Часть 2: как провести интервью в рамках экспресс-аудита?

Часть 3: что и как проверять?

Часть 4: как определить слабые места?

Для успешного определения векторов атаки необходимо иметь опыт. В противном случае правильно определить вектора атаки будет довольно тяжело.

Многие проблемы возникают только при совпадении нескольких факторов, другие — когда обновление не устанавливают вовремя.

Александр Дмитриев рекомендует обратить внимание на следующие моменты:

1. Все, что предоставляет сервисы в сеть интернет
2. Удаленный доступ из сети интернет
3. Все, что касается возможности выхода в интернет
4. Все сервисы, отвечающие за обработку критически важной информации
5. Все сервисы, пользователи и устройства имеющие доступ в несколько подсетей
6. Беспроводные сети
7. Системы резервного копирования

В рамках технического спринта Александр Дмитриев представил подробный разбор методологии проведения экспресс-аудита, а также привел примеры из личного опыта и продемонстрировал реальные кейсы.

Чтобы с головой погрузиться в тему, смотрите запись спринта, которая доступна участникам Клуба ЗУБРЫ Кибербеза ➡️ вступить в клуб. Еще больше полезной информации ➡️ telegram-канал Нейроинформ.

Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов

В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний"— проекта фонда "Сайберус".

Если вы еще не видели эфир — горячо рекомендуем посмотреть! Узнайте, какие рекомендации по реагированию дали эксперты:

➡️ Смотреть в ВК
➡️ Смотреть на Rutube
➡️ Смотреть на YouTube

А для тех, у кого мало времени, мы подготовили краткую выжимку.

📝 Напомним вводные

• Атака на компанию по производству автомобильных колес с выручкой несколько миллиардов рублей в год.
• Главная цель атаки — остановка производства через компрометацию ERP-системы на базе 1c-ERP.
• В компании:
— Только антивирус в качестве ИБ-защиты.
— Отсутствует служба ИБ.
— ИТ-специалисты умеют базово реагировать на инциденты.
— Используется Битрикс24, ERP и OWA-почта на периметре.

🔓 Этапы атаки

Первая точка входа:
• Хакеры нашли открытый .git-репозиторий с валидными логинами/паролями на одном из поддоменов.
• Получили доступ к продовому Битриксу → загрузили web-shell.

Ошибка компании:
• Заметили массовые входы в Битрикс, но не провели аудит учеток.
• Не нашли первоисточник компрометации (утечку из .git).

Фишинговая атака:
• Внутренняя рассылка с фейкового почтового ящика social@, просьба передать доступы к ERP/RDP.
• Сотрудники не передали данные, так как знали, что от этой учетки ничего приходить не должно.

Позднее обнаружение тестовых копий Битрикса:
• Затем на тестовом сервере Битрикса также был найден доступ, и он оказался уязвимым.
• Оттуда хакеры получили журналы входов пользователей с логинами/паролями.

Доступ к почте и документации:
• Через одну из компрометированных учеток хакеры получили внутреннюю инструкцию подключения к RDP.
• Узнали об открытом RDP-сервере, ранее незаметном через OSINT.

Повышение привилегий:
• С помощью дампа AD злоумышленники получили список доменных пользователей и их привилегий.
• Из дампа тестового Битрикса выбрали учетку IT-отдела с расширенными правами и повторно подключились.

Поиск чувствительной информации:
• От лица привилегированной учетки просканировали файловые шары терминального сервера.
• В папке IT-отдела нашли .xlsx-файл с сервисными учетками, включая логин/пароль локального администратора.

Отключение защиты и захват хэшей:
• Используя учетку локального администратора, остановили антивирус.
• Запустили Mimikatz, вытащили хэш доменного администратора.

Доступ к 1С:ERP и реализация цели:
• Через Pass-the-Hash подключились к серверу 1С-ERP.
• Добавили нового пользователя с правами локального администратора.
• Система с критичной базой данных была полностью скомпрометирована.

НС реализовано!

🚨 Главные ошибки компании

— Отсутствие сегментации (прод и тест общие логины).
— Отсутствие инвентаризации и мониторинга инфраструктуры.
— Не были изолированы тестовые системы.
— Открытые ресурсы (RDP, git-репозиторий).
— Недостаточный уровень user awareness, но в критический момент сотрудники сработали правильно.

💬 Мнения и выводы экспертов

— Стоимость полноценной ИБ в SME-сегменте чрезмерно высока (до 10% от выручки).
— Многие компании не могут позволить себе даже базовые меры ИБ.
— Нужно внедрять гибридные подходы: консультанты, opensource-инструменты.
— Security Awareness — ключевая мера на раннем этапе.
— Не обязательно иметь дорогие решения — правильная архитектура важнее бюджета.

Разбор следующего кейса в ток-шоу "Безопасная среда" пройдет уже в эту среду! Читайте подробности и обязательно присоединяйтесь ➡️ зарегистрироваться.