Что нужно делать после получения рассылки FinCERT

Что нужно делать после получения рассылки FinCERT

Часто спрашивают как заблокировать то, что перечислено в рассылке от FinCERT (ФинЦЕРТ) Центрального Банка РФ. 


В рассылке приходят:
1. хеши вредоносных файлов
2. email адреса - источники угрозы
3. IP адреса источников угрозы

Что нужно сделать после получения данной рассылки.


1. Проверить что ваш антивирус или песочница уже блокируют этот хеш. Если у вас есть оборудование с доступом к глобальной базе Threat Intelligence, то с большой вероятностью эта информация уже пришла в оборудование и все перечисленное блокируется.
Например, в Palo Alto Networks NGFW встроен антивирус и песочница, и хеш проверить можно на портале threatvault.paloaltonetworks.com/ - вы вводите в строку поиска хеш и получаете ответ в каком обновлении антивируса или песочницы пришла сигнатура. Например, проверим хеш F24B160E9E9D02B8E31524B8A0B30E7CDC66DD085E24E4C58240E4C4B6EC0AC2 - он есть в обновлениях антивируса и песочницы Wildfire (обновляется каждые 5 минут сигнатурами, которые обнаружили песочницы заказчиков PANW по всему миру)
 

2. Заблокировать email адреса на вашем почтовом сервере. Например, в Microsoft Exchange это команда 

Set-SenderFilterConfig -BlockedSenders hacker@cia.com,john@nsa.com

3. Заблокировать IP адреса на межсетевом экране. У вас наверняка есть какой-то адресный объект, в который вы просто добавите эти адреса. И для этого объекта в межсетевом экране должно быть правило для блокировки. У Palo Alto Networks NGFW такие же объекты уже готовые приходят в межсетевой экран из базы Threat Intelligence, которую можно посмотреть на портале autofocus.paloaltonetworks.com. Кроме того, можно использовать объект External Block List. Я предлагал уже на конференции ЦБ для банков в Магнитогорске использовать этот объект в самом FinCert. Это обычный текстовый файл с IP адресами. Межсетевому экрану нужно лишь указать где этот файл расположен (по какому URL). Пример есть на 6 слайде  https://www.slideshare.net/ksiva/ss-72286073  (Роскомнадзор заблокировал slideshare, поэтому не у всех откроется). Сам пример привожу тут: 

Более подробное описание внешних списков блокировки тут:  live.paloaltonetworks.com/t5/PAN-OS-8-0-Articles/PAN-OS-8-0-IP-Block-List-Feeds/ta-p/129616



Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

ksiva

Пусть будет утренний в честь того, что я его создал утром.