​Порой кажется, что задача собирать и анализировать трафик сети неподъемная и очень трудоёмкая.

Причин, требующих мониторить трафик может быть множество, начиная от неправильных конфигураций, которые нагружают вашу сеть, до создания поведенческого baseline сетевой активности и анализа аномалий.

Задача поставлена, рынок спешит предложить решения, и тут они на любой вкус и цвет: пакетные анализаторы, анализаторы потоков (flow), десятки способов получения трафика: SPANы, TAP'ы, отправка различных flow и пр.

Но, что если хочется «бисплатно» и с рюшками? Тут тоже целый простор для фантазии, open-source, отодвигая кровавый энтерпрайз, тоже готов предложить массу интересных систем, например небезизвестное в широких кругах Moloch — масштабируемое решение для захвата и индексации пакетов внутри вашей сети, которое отлично дополнит IDS систему.

GitHub: https://github.com/aol/moloch
Quick Start: https://medium.com/swlh/indexing-network-traffic-with-moloch-and-elastic-931dda8a1685

А также другие решения, если вдруг захочется «а можно всех посмотреть?»:

Traffic Analysis/Inspection: https://github.com/caesar0301/awesome-pcaptools#analysis
Traffic Capture: https://github.com/caesar0301/awesome-pcaptools#capture

​The Standoff или великая битва красно-синих за виртуальный город.

Напоминаю вам, что организаторы PHDays запустили сбор заявок на участие в The Standoff. Тут мне шепнули, что в этом году будет целых 15 команд атакующих и 5 защищающихся (все как в жизни), поэтому если вы давно мечтали привести все свои скиллы в боевую готовность, то сейчас самое время.

https://www.phdays.com/ru/press/news/the-standoff-na-phdays-uchastvuyte-v-yubileynoy-bitve-hakerov-i-zashchitnikov

​​К слову о конференциях, есть такой сайтик https://infocon.org/cons/, там в разделе cons ребята собирают и структурируют огромное количество видео-материалов с конференций по всему миру.

Информации там столько, что кажется жизни не хватит все просмотреть, а вот достать доклад прошлого года или пересмотреть все выступления любимого спикера — это пожалуйста. Российские конференции OFFZONE, PHDays и ZeroNights тоже присутствуют.

А вот кажется первые плоды эксплоита checkm8 под iOS, который подарил огромные возможности для исследователей Apple.

Материал про то, как используя мощные инструменты для реверса, такие как Frida, radare2 и пр. можно на джейлбрейкнутой iOS расковырять реализацию аудиозвонков в WhatsApp.

Сложно, долго и интересно. Не для быстрого чтения.

https://medium.com/@schirrmacher/analyzing-whatsapp-calls-176a9e776213

DSec ❤️

https://habr.com/ru/company/dsec/blog/486410/

Ночью команда Facebook боролась со взломом своих социалочек (Twitter/Instagram) очень странными способами.

https://twitter.com/Facebook/status/1225959837709697025

​​Всем Global Threat Intelligence, посоны!

Очень крутой материал от инженера из Microsoft Threat Intelligence Center про подход, который он назвал "Гитхабификация ИБ", в котором рассказывает про три компонента: знание, аналитика и анализ.

Суть подхода заключается в использовании универсальной модели для обмена знаниями, которая в последствии позволит уменьшить время на реагирование по всему миру.

Для того, чтобы глубже понять концепцию, автор приводит в пример, как этого можно добиться, используя уже существующие инструменты: фреймворка MITRE ATT&CK для шеринга знаниями, Sigma-правил для аналитики угроз и еще одной интересной штуки Jupyter, которая позволяет делать плейбуки для детального описания угроз и их дальнейшего анализа.

Идея далеко не новая, подход интересный, но проблемы вроде требований локальных регуляторов, нежелание делиться чувствительной информацией по результатам расследования инцидента и другие сопутствующие проблемы всегда будут тормозить процесс внедрения подобных инициатив.

А вообще в материале очень много ссылок на крутейшие проекты вроде  ThreatHunterPlaybook Project или Open Security Collaborative Development (OSCD), с которыми я вам очень рекомендую ознакомиться! В конце концов может хотя бы в пределах вашей организации вам получится реализовать что-то подобное.

Habr: https://habr.com/en/post/487584/
Оригинал: https://medium.com/@johnlatwc/the-githubification-of-infosec-afbdbfaad1d1

Отчет Positive Technologies об уязвимостях в веб-приложениях в 2019 году.

Советую начать читать сразу с последней станицы, где описана методика, потому что в исследование вошел ограниченный скоуп веб-приложений.

​​​​Сейчас постепенно закрываю свои пробелы в сетях подготовкой к сдачи CCNA, причем начиная с 23 февраля на смену привычным делениям на CCNA R&S, Security, Wireless и пр. появляется просто CCNA, обновленный и объединяющий в себе сразу все направления.

Как несколько экзаменов объединить в один я пока себе мало представляю, но очевидно такая унификация давно напрашивалась, потому что многие даже не подозревали, что CCNA это что-то еще кроме routing and switching и тупо  сдавали его.

Но несмотря на все изменения, общий стек протоколов и базовые правила остаются неизменным, поэтому если вы вдруг тоже готовитесь к CCNA/CCNP или просто хотите освежить знания по настройкам Cisco, вот вам полезные шпаргалочки https://packetlife.net/library/cheat-sheets/

Для совсем ленивых

Не нарушая традиций: Acunetix, основной домен Google и XSS :)

https://www.acunetix.com/blog/web-security-zone/xss-google-acunetix/

Для тех, кому нужно быстро погрузиться в базовые концепции безопасности Azure, у Microsoft есть краткий курс на эту тему >

[RU] https://docs.microsoft.com/ru-ru/learn/modules/design-for-security-in-azure/
[EN] https://docs.microsoft.com/en-us/learn/modules/design-for-security-in-azure/

Достаточно простой трюк для обхода GPO, где пользователь без прав администратора может подменить файл ntuser.dat, загружающий пользовательское дерево реестра, просто потому что путь по которому он лежит доступен для записи. Правда чтобы подтянуть измененные политики требуется login-logoff.

Кстати в Microsoft не считают это проблемой.

https://medium.com/tenable-techblog/bypass-windows-10-user-group-policy-and-more-with-this-one-weird-trick-552d4bc5cc1b

Безопасники натура тонкая, все им трудно регекспы писать, любят все готовенькое...

https://ihateregex.io/

На хабре вышел забавный материал о бытовых ситуациях в мире пентеста, и о том как компании-Заказчик (а точнее ряд ее сотрудников) могут легко задушить и свести на нет всю пользу от тестирования на проникновение.

https://habr.com/ru/company/jetinfosystems/blog/489234/

Боль?
🥊 — Да
👔 — Да я и сам так делаю

Не баг, а фича в Google Drive, позволяющая бесплатно загружать и хранить на диске файлы, превышающие лимиты сервиса.

https://habr.com/ru/post/489514/

В мире, где дипфейки стали новой проблемой для СМИ и криминалистов было бы опрометчиво думать, что существует хоть что-то, что еще не подделывают.

Ребята из Digital Security на примере Instagram рассказывают, как с помощью Frida и простеньких скриптов на JS можно заменить все элементы интерфейса любого приложения так, что внешне будет казаться, будто вы общаетесь с настоящей звездой.

В общем нового — верить в наше время нельзя никому.

https://habr.com/ru/company/dsec/blog/489102/

В это тяжелое время высоконагруженных VPN, SANS выпустил рекомендации для компаний и удаленных сотрудников о том, как выстроить процесс безопасной удаленной работы, ведь для многих компаний и сотрудников это что-то совершенно новое, а все новое требует регламентов, инструкций... любимые всеми бумажки, ну вы понимаете. Процессы!

Главное помните, что сейчас многие сотрудники, ничерта не понимающие в безопасности, будут работать из дома и очень вероятно, что работы у нас прибавится, а реагировать на инциденты станет значительно сложнее.

Мне кажется любая уважающая себя компания в ближайшее время должна сделать памятки по ИБ и гигиене удаленной работы для всех своих удаленщиков, и материалы SANS отлично в этом помогут!

К слову все курсы, включенные в рекомендации, SANS сделал бесплатными.

https://www.sans.org/security-awareness-training/sans-security-awareness-work-home-deployment-kit