Эволюция веб-прокси от регистрации событий к визуализированному веб-мониторингу feshop tor link, live cc fullz

С ростом потребляемого сотрудниками веб-трафика увеличивается интерес организаций к тому, как он расходуется. Компании хотят понимать, какими веб-ресурсами пользуются их сотрудники, не посещают ли сайты с запрещенным или ненадлежащим контентом (экстремистские, распространяющие порнографию, наркотики и т.п.), не пользуются ли в рабочее время развлекательными ресурсами, правильно ли расходуют веб-трафик, не скачивают ли из сети контент, содержащий вредоносное ПО и т.п. Анализ этой информации вручную по всей компании – задача трудоемкая. Помочь ее решить могут современные шлюзы веб-безопасности. Но все ли они одинаково полезны?
Раньше в большинстве компаний модель доступа была построена по принципу запрета. Пакеты трафика стоили дорого, а необходимости использовать интернет для выполнения бизнес-процессов практически не было. Компании настраивали маршруты пользовательских запросов в сеть, и все эти маршруты были ограничены глухими «заборами».
С развитием инфраструктуры и появлением облачных сервисов начала расти необходимость ослабления политик, границы сегментов сети сильно размылись. Так стали появляться исключения, а «заборы» обросли «калитками». Нерегламентированных доступов стало настолько много, что модель запретов потеряла всякий смысл. Это привело к тому, что окончательно исчезла потребность в «заборах». Фокус администраторов безопасности и веб-администраторов начал перемещаться в сторону наблюдения за событиями безопасности.
Тем не менее большинство решений веб-безопасности по-прежнему сосредоточены на маршрутизации. Конечно, функции наблюдения в той или иной степени реализованы во всех продуктах, ведь все системы формируют отчеты. Но эти отчеты в большинстве случаев предоставляются администраторам в виде журналов регистрации событий, где отсутствует обобщение и визуализация результатов. Чтобы получить необходимую информацию, администратору нужно потратить много времени, разбираясь в записях. Стоит ли говорить, что ожидает человека без технических компетенций, когда он открывает подобный отчет?
Что обычно видит пользователь, открывая лог межсетевых экранов? IP 111.111.111.111 подключился к IP 222.222.222.222, путь, по которому пошел пользователь, и, если система запретила запрос, иногда указана причина. Но не всегда, а чаще выдается запись:«Source IP – Destination IP:порт – параметры запроса (в зависимости от того, что система умеет) – итог запроса (код состояния)».
Именно так выглядят отчеты стандартных шлюзов безопасности, которые сфокусированы на выполнении функций маршрутизации. В большинстве случаев этого оказывается достаточно только сетевым администраторам. При этом данные веб-прокси являются кладезю полезной информации. При наличии более системного отчета отдел ИТ сможет получить анализ по структуре расходов на веб-трафик, служба ИБ – использовать данные из логов для защиты сети, отдел кадров – для оценки эффективности сотрудников.
Предположим, администратор хочет проанализировать, как циркулирует трафик внутри компании, – понять, есть ли подозрительный трафик, по каким путям он перемещается между сетями, каков его объем (полтора пакета в день или 300 Мб/с), что за информация в нем содержится и какие из приложений им обмениваются. Возможно, это защищенное соединение по протоколу TLS между двумя хостами, и тогда блокировать доступ не нужно. Напротив, может быть, это вредоносное ПО, и запросы необходимо заблокировать.
Таким образом, чтобы увидеть полную картину и принять решение о блокировке доступа, недостаточно обычного журнала.
Одни компании строят визуализацию с помощью Excel, перенося данные вручную и формируя графики, но на это уходит много времени.
Другие – прибегают к установке дополнительного программного обеспечения. С задачами мониторинга и отчетности справляются специальные сетевые сканеры, но их установка требует дополнительного бюджета. Сканер мониторит открытые и закрытые сети, порты и строит карту циркуляции трафика.
Еще один вариант – использование SIEM-систем или open source приложений, например, связки Elasticsearch и Kibana. Такой подход требует соответствующих компетенций у ИТ.
Некоторые западные вендоры, в чьих портфелях есть решения с компонентами по анализу, добавили эту функциональность в качестве дополнительной платной опции в межсетевые экраны. Как правило, это производительные вычислительные системы, доступ к которым стоит дорого и работе с которыми нужно обучаться. Не каждый сетевой администратор или администратор безопасности сможет управлять подобной системой и корректно задавать параметры мониторинга без прокачки знаний.
При этом дополнительные финансовые и временные инвестиции не всегда оправданы, ведь задачи у администраторов обычно довольно стандартные. Если приходит уведомление о срабатывании политики, важно понять, как часто поступают запросы на этот url, есть ли подобные запросы с других рабочих станций и т.д.
Рост потребности заказчиков в мониторинге и понимание конъюнктуры рынка позволили «Ростелеком-Солар» сформировать уникальное предложение на рынке шлюзов веб-безопасности. Прежде чем выпустить на рынок Solar webProxy в качестве самостоятельного решения, бизнес-аналитики провели глубокий аудит работы и потребностей системных администраторов и администраторов безопасности российских компаний.
Интерфейс и навигация системы Solar webProxy стали результатом опроса различных групп сотрудников, которые используют шлюзы веб-безопасности в ежедневной практике. Специалисты ИТ и ИБ рассказали, для чего используют систему, какие первые шаги предпринимают, с чего начинают проверку событий безопасности, какие срезы данных хотят увидеть и др.
Кроме анализа потребностей сотрудников ИТ и ИБ, «Ростелеком-Солар» также выяснил у линейных менеджеров, что они со своей стороны хотят видеть в отчетах системы. Во многих компаниях руководители запрашивают статистику у сисадмина, чтобы понять, как сотрудники пользовались интернетом, насколько эффективно они работали и какие ресурсы для этого использовали.
По результатам исследования бизнес-аналитики «Ростелеком-Солар» сделали следующие выводы:
1. Отсутствие качественной агрегации данных оказалось существенным недочетом многих межсетевых экранов. При этом у рынка сформировался запрос на зрелые технические решения, одним из самых главных требований к которым являются наглядные отчеты.
2. Данные систем маршрутизации востребованы не только администраторами, но и другими сотрудниками, которые не обладают техническими знаниями, и поэтому необходима понятная аналитика и логика построения отчетов.
Именно на этих аспектах разработчики Solar webProxy сфокусировали свое внимание, создавая систему отчетности. Шлюз безопасности предоставляет наглядную визуализацию по всем основным срезам, которые необходимы специалистам ИТ, ИБ и менеджерам для работы.
Что может делать пользователь веб-консоли:
просматривать статус подключения к интернету и список подключенных пользователей в онлайн-режиме;
управлять политикой безопасности, в том числе списками ресурсов;
управлять пользователями;
настраивать и просматривать отчеты;
настраивать систему и управлять правами доступа администраторов на основе ролевой модели.
Все отчеты в Solar webProxy формируются в виде графиков. Стандартное представление – это таймлайн с распределением запросов по времени. Помимо этого, можно настроить статистику по нагрузке, по самым популярным источникам или категориям ресурсов.
С шлюзом веб-безопасности разработки «Ростелеком-Солар» на любой обмен данными можно посмотреть с разных сторон:
· С точки зрения отработки правил политики
При получении уведомления о том, что политика безопасности сработала и не позволила пользователю перейти на подозрительный сайт, можно проверить, кто еще пытался на него зайти, когда, что это за ресурс, через какое приложение был отправлен запрос.
· С точки зрения пользователя
Если администратор видит срабатывание политики безопасности, он может в режиме реального времени проверить, какие еще ресурсы сотрудник посещал, какие из них являются подозрительными, какова сфера интересов работника. Вся эта информация доступна в карточке персоны, которая автоматически заводится на каждого сотрудника в разделе «Досье», при синхронизации с AD или другим LDAP-каталогом.
Кроме того, в Solar webProxy реализована интеграция досье сотрудников с DLP-системой Solar Dozor (при модификации информации в одном из
продуктов изменения отображаются в другом).
· С точки зрения отдела
С помощью мониторинга можно получить данные, как подразделение пользуется интернетом, есть ли подозрительная активность в профиле поведения сотрудников этого отдела, посещали ли они какие-либо сомнительные ресурсы, пользовались ли интернетом, в каком объеме он им нужен.
· С точки зрения сетевой активности
Этот срез данных показывает, что еще происходило в сети компании в момент пиковой сетевой активности, кто какие ресурсы посещал, какова была нагрузка, в какое время суток, какие приложения были запущены и т.д.
Систематизация результатов позволяет посмотреть, какие ресурсы использует сотрудник, отдел или подразделение, кто еще посещает эти ресурсы, насколько часто это происходит, были ли к этим сайтам запросы ранее, кто к ним обращался, какие приложения к этим ресурсам обращаются и т.п. Таким образом, Solar webProxy дает возможность получить исчерпывающую информацию, проанализировать, является ли активность отклонением, и сделать вывод, как на нее необходимо реагировать.
Когда администратор заполняет параметры, формирует отчет и находит подозрительную активность, чтобы детализировать ее в стандартной системе, ему необходимо скопировать параметры интересующей его записи и построить новый отчет. Только пройдя этот путь, он может получить подробную информацию о событии безопасности. Но в этом случае контекст старого отчета теряется, и чтобы вернуться к нему, нужно заново настраивать параметры поиска.
В Solar webProxy реализована функция интерактивных переходов между отчетами разного уровня (drill down). Если администратор обнаружил в журнале подозрительную активность, он может проверить ее, не меняя параметров общего поиска. Продукт позволяет детализировать любую активность с помощью нажатия на нее в общем отчете: можно увидеть, какие ресурсы посещал сотрудник, к какой категории относится подозрительный сайт, сколько времени пользователь на нем провел. После изучения этих данных можно углубиться еще сильнее: например, если кто-то еще посещал этот ресурс, посмотреть, кто именно, изучить его профиль или вернуться к прежнему виду и продолжить работу с общими результатами. Особенно удобно, что углубление в данные и возврат к исходному отчету происходит мгновенно.
Одно из преимуществ шлюза Solar webProxy состоит в том, что система имитирует мыслительную цепочку человека, поэтому все переходы в отчетах понятны и логичны. Шаги разбора и анализа информации связаны и не требуют переключения между разными мониторингами или изменения параметров поиска.
Система отчетности Solar webProxy позволяет сотруднику безопасности не иметь компетенций бизнес-аналитика, чтобы построить отчет, а линейному руководителю – чтобы понять его без помощи ИТ-специалистов. Информация доступна пользователям любого уровня знаний о сети.
Данные доступны в разных видах визуального представления (таймлайн, столбчатая диаграмма, таблица и др.). При этом каждый отчет можно получить в версии для печати в виде сверстанного .pdf, а с версии Solar webProxy 3.5 появилась возможность отдельной выгрузки содержимого таблиц. Все фильтры автоматически загружаются в шапку отчета, а ниже представлены результаты (графики и детализации). Если есть информация, которая не нужна, отчет можно открыть в офисном пакете и внести соответствующие изменения.
Часто менеджмент просит сисадминов с определенной периодичностью делиться мониторингом активности отделов. Для этого разработчики Solar webProxy добавили возможность автоматической отправки любых видов отчетов по расписанию. Отправка отчетов по расписанию настраивается непосредственно из окна с уже сформированным отчетом. Нужно сформировать отчет по интересующим пользователя параметрам (например, какие ресурсы популярны среди сотрудников), нажать кнопку сохранить в правом верхнем углу экрана. В открывшемся окне выбрать вкладку «Настройки отправки» и там уже настроить отправку уведомлений, настроив фильтры, вид, интервал времени и круг получателей.
В Solar webProxy реализован удобный и понятный веб-интерфейс, разработанный с
учетом пользовательского опыта заказчиков и современных тенденций в дизайне. Он имеет много общего с интерфейсом DLP-системы Solar Dozor — одним из самых
проработанных на российском рынке.
Solar webProxy позволяет строить подробные отчеты с широким набором параметров. Отчеты интерактивны — их можно динамически перестраивать, изменяя диапазон
времени прямо на графиках, а также оперативно переходить к просмотру детальной
информации (drill down).
Шлюз веб-безопасности Solar webProxy отражает философию «Ростелеком-Солар», согласно которой достичь эффективной защиты можно только через непрерывный мониторинг и удобное управление системами защиты. Реализованная в решениях компании концепция People-Centric Security – «Безопасность с фокусом на человеке» – позволяет службе информационной безопасности перейти от разбора сотен и тысяч уведомлений об инцидентах к анализу действий сотрудников, выявлению отклонений и предотвращению инцидентов.
Автор: Ольга Исаева, ведущий аналитик «Ростелеком-Солар»
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
feshop tor link live cc fullz