Концепция информационной безопасности, представленная в виде удобной диаграммы - [https://www.xmind.net/embed/enin/]

Forensic7z
[https://www.tc4shell.com/en/7zip/forensic7z/]

старенький плагин для популярного архиватора 7-Zip. Позволяет представить в виде архивов образы дисков, создаваемые специализированным программным обеспечением, используемым при судебной экспертизе, таким как Encase или FTK Imager.

Control Validation Compass
[https://controlcompass.github.io/]

база 9000+ правил обнаружения (Sigma, Splunk Security Content и других) и 2100+ тестов эмуляции вторжений (Atomic Red Team, Prelude Community и других). Очень удобно и наглядно, просто вводите номер тактики и получаете исчерпывающую информацию с ссылками на стандарты и правила.

Отличная демонстрация возможностей использования Maltego для анализа данных детализации мобильного оператора в рамках ОРД.
▶️ https://youtu.be/cjCQBYld_wM

Для подобной работы пригодятся:
1️⃣ Программный комплекс Maltego
2️⃣ Сервис Google Earth (сойдет Google Maps или Яндекс Карты)
3️⃣ Сервис Map Developers (получение GPS-координат мест)
4️⃣ Сервисы SMSC или Xinit (привязка номеров к оператору и региону)
5️⃣ Любой сервис пакетной проверки телефонных номеров для установления данных их фактических владельцев

‼️ Дополнительные источники: пример таблицы Excel, предназначенной для анализа "гражданской" версии детализации мобильного оператора (загружается через личный кабинет на сайте оператора связи). Подробнее о ее применении можно узнать из видеоролика. После внесения небольших правок и дополнений, таблица может быть вполне пригодна для применения в оперативно-следственной деятельности.

[https://dfircheatsheet.github.io/]
Коллекция инструментов по расследованию и реагированию на инциденты. Похоже на все известный - https://osintframework.com/

Запись стрима

|Network Infrastructure Security Guide|

🌐Тут вышло обновление(версия 1.1) руководства от АНБ по безопасности в сетевой инфраструктуре(первая версия есть на канале). Пробежался по документу и не заметил сильных изменений по сравнению с первой версией, только небольшие правки + добавлено 20 ссылок в конце.
По своей сути крайне толковое руководство, для начинающих сетевиков, сисадминов, да кому приходится сталкивать непосредственно построением/конфигурированием сетевой инфраструктурой - горячо рекомендую.

🌐There was an update (version 1.1) of the NSA manual on security in the network infrastructure (the first version is on the channel). I ran through the document and didn't notice any major changes compared to the first version, only minor edits + 20 links added at the end.
At its core, an extremely sensible guide, for novice networkers, sysadmins, and those who have to deal directly with the construction / configuration of the network infrastructure - I warmly recommend it.

#NSA #security #network

​​OnCall

OnCall — система реагирования на инциденты от Grafana Labs, теперь с открытым исходным кодом.

🔻Система позволяет собирать информацию об аномалиях и событиях из различных систем мониторинга, после чего автоматически группировать данные, направлять уведомления ответственным группам и отслеживать состояние решения проблем.

Поддерживается интеграция с системами мониторинга Grafana, Prometheus, AlertManager и Zabbix.

🔻Из полученной от систем мониторинга информации отфильтровываются второстепенные и малозначительные события, агрегируются дубликаты и исключаются проблемы, которые могут быть решены без участия человека.

🔻Очищенные от лишнего информационного шума значительные события поступают в подсистему отправки оповещений, которая выделяет сотрудников, ответственных за решения выявленных категорий проблем, и отправляет уведомления с учётом графика их работы и степени занятости (оцениваются данные из календаря-планировщика).

🔻В зависимости от степени важности инцидента уведомления могут отправляться через телефонные звонки, SMS, электронную почту, создание событий в календаре-планировщике, мессенджеры Slack и Telegram. При этом в Slack могут автоматически создаваться каналы для обсуждения вопросов, связанных с решением инцидента, к которым автоматически подключаются как отдельные сотрудники, так и целые команды.

Управление работой осуществляется через web-интерфейс.

https://github.com/grafana/oncall

Сайт: https://grafana.com/oss/oncall/

Отличное описание методологий форензик-исследований дронов от Интерпола. На английском, но читается легко и понятно.

ЧЕМ ЖЕ ЗАНИМАЕТСЯ BEHOLDERISHERE Consulting ?

СИТУАЦИОННЫЕ СИМУЛЯЦИИ. ЧАСТЬ 1

Одно из направлений нашей команды «Ситуационные симуляции» - мероприятия позволяющие понять уязвимости связанные с человеческим фактором. Все симуляции разделены по векторам реальных «атак» которые могут произойти в действительности. И первый вектор это: «Проникновение через внешний и внутренний периметр безопасности»

Внешний периметр:

Исследуемая ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения во внутрь внешнего охранного периметра (охраняемая внешняя территория вокруг объекта)

Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД и неконтролируемого проезда через автоматические шлагбаумы и заградительные конструкции
⁃ Возможность копирования карт доступа, транспондеров и радио-пультов управления.
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)
⁃ Возможность неавторизированного доступа на территорию через сотрудников компании.

Внутренний периметр:

Исследуема ЦА: Служба безопасности, сотрудники охраны, администраторы.
Цель: Выявить возможность проникновения в охраняемый периметр административного здания.

Возможные вектора атаки:
⁃ Возможность проникновения на территорию используя специальные технические средства. Возможность неконтролируемого прохода через точки прохода оборудованные СКУД
⁃ Возможность неавторизированного прохода используя сотрудников бюро пропусков, сотрудников охраны, сотрудников компании
⁃ Возможность копирования биометрического идентификатора (отпечаток пальца) и технологического идентификатора (карта доступа) у целевых субъектов исследования (сотрудников)

Hardware forensics. Прячем данные в BIOS
Статья по форензике, которую обещала. К сожалению, она не совсем того качества, которое планировалось, но обещаю исправиться.

Интересный кейс с обнаружением аппаратной закладки в серверной одной компании [ habr.com/ru/company/qiwi/blog/674132 ]

Simplescraper - извлечение данных с любого веб-сайта

♾ https://simplescraper.io/

Полезные платформы для оттачивания навыков расследований инцидентов

1) https://www.ashemery.com/dfir.html
2) https://cfreds.nist.gov/
3) https://cfreds-archive.nist.gov/
4) https://cyberdefenders.org/
5) https://www.vulnhub.com/?q=forensic

GRR Rapid Response
[https://github.com/google/grr]

система реагирования на инциденты от Google, ориентированная на удаленное управление всеми контролируемыми хостами. Некое подобие EDR, где на клиентских машинах устанавливается агент, который и взаимодействует с сервером. Поможет организовать масштабируемое решение, которое позволит аналитикам производить удаленную сортировку и оперативно реагировать на инциденты.

Linux Expl0rer
[https://github.com/intezer/linux-explorer]

необычное решение для Linux систем, которое позволяет в браузере буквально одним кликом просмотреть основную информацию об исследуемой системе (пользователи, процессы, логи, интеграция с YARA). Может выручить на начальном этапе работы с инцидентом.

FLARE VM
[https://github.com/mandiant/flare-vm]

полностью кастомизируемый дистрибутив на базе Windows для анализа вредоносных программ, реагирования на инциденты и т.д. Просто мастхэв для представителей синих команд, причем процесс установки в целом сводится к запуску одного сценария. А со списком всех устанавливаемых инструментов можно ознакомиться в репозитории!

Сканеры индикаторов компрометации

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему.

Loki [https://github.com/Neo23x0/Loki] - сканер индикаторов, который ведет собственный набор известных индикаторов (https://github.com/Neo23x0/signature-base), но также может принимать и правила YARA, что делает данный инструмент крайне полезным в работе.

Fenrir [https://github.com/Neo23x0/Fenrir] — универсальный bash-скрипт для сканирования Linux, OSX и Unix систем. Работает с более широким набором индикаторов компрометации: хэши, имена файлов, С2-сервера и т.д.

FastFinder [https://github.com/codeyourweb/fastfinder] - минималистичный инструмент, предназначенный для поиска угроз и сортировки на платформах Windows и Linux. Для использования нужно писать собственные правила, хотя в репо есть парочка примеров на YAML.

THOR [https://www.nextron-systems.com/thor/] - коммерческое решение на базе Loki и Fenrir. Основными отличиями от бесплатных аналогов являются: SIGMA-сканирование, Удаленное сканирование, Анализ реестра и др.

S1EM
[https://github.com/V1D1AN/S1EM]

чуть-ли не готовое SIEM решение для внедрения в корпоративную инфраструктуру на принципе объединения бесплатных и совместимых продуктов. На борту: ELK, N8n, Spiderfoot, Syslog-ng, Elastalert, TheHive, Cortex, MISP и многое другое. Помимо прочего, авторы радуют гайдами, рекомендациями и полезными ссылками!

SITU/codec - цифровой инструмент, разработанный SITU Research для управления, анализа и представления видеодоказательств.
♾ https://situ.nyc/research/projects/codec-collaborative-tool
♾ https://github.com/SITU-Research/codec