DK
Деньги материя интересная. Иногда их нужно выкинуть, что бы их стало в итоге больше.
Тогда я не понял сути дискуссии. На мой взгляд, она началась с "провели пентест, и ничего не изменилось". Если так, тогда денег больше не станет
Size: a a a
2019 January 18
AV
Тогда я не понял сути дискуссии. На мой взгляд, она началась с "провели пентест, и ничего не изменилось". Если так, тогда денег больше не станет
Ну, не поняли, значит я не умею объяснить. Бывает.
DK
Ну, не поняли, значит я не умею объяснить. Бывает.
Или я контекст упустил :)
2019 January 19
A
Генералы всегда пытаются защититься от уже проигранных битв.
Stuxnet, Havex, серьезно? Это профанация, а не тест.
Stuxnet, Havex, серьезно? Это профанация, а не тест.
AS
Alis
Генералы всегда пытаются защититься от уже проигранных битв.
Stuxnet, Havex, серьезно? Это профанация, а не тест.
Stuxnet, Havex, серьезно? Это профанация, а не тест.
Стоит всё таки подождать рассказа организаторов
PD
Alis
Генералы всегда пытаются защититься от уже проигранных битв.
Stuxnet, Havex, серьезно? Это профанация, а не тест.
Stuxnet, Havex, серьезно? Это профанация, а не тест.
а что они должны брать для тестов?
A
Стоит всё таки подождать рассказа организаторов
Нет. Методология изначально была неправильна - отражает только то, как ловятся текущими ИБ решениями уже известные атаки. Которым, на минуточку, уже много лет (2010 Stuxnet, 2014 Havex).
Смысл их сейчас ловить?
Завтра APT42 устроит блэкаут в Зурумбии - и на следующий год те же решения будут с успехом рассказывать, как они бы успешно ее заблокировали год спустя?
Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.
Смысл их сейчас ловить?
Завтра APT42 устроит блэкаут в Зурумбии - и на следующий год те же решения будут с успехом рассказывать, как они бы успешно ее заблокировали год спустя?
Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.
AS
Alis
Нет. Методология изначально была неправильна - отражает только то, как ловятся текущими ИБ решениями уже известные атаки. Которым, на минуточку, уже много лет (2010 Stuxnet, 2014 Havex).
Смысл их сейчас ловить?
Завтра APT42 устроит блэкаут в Зурумбии - и на следующий год те же решения будут с успехом рассказывать, как они бы успешно ее заблокировали год спустя?
Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.
Смысл их сейчас ловить?
Завтра APT42 устроит блэкаут в Зурумбии - и на следующий год те же решения будут с успехом рассказывать, как они бы успешно ее заблокировали год спустя?
Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.
Я писал организаторам, что хорошо бы когда-нибудь построить испытание на базе технк/процедур из MITRE ATT&CK. Там сетевой активности хватает. Но надо знать что нормально, что нет в сети и больше времени
AS
Как это сделали в рамках ATT&CK evaluations (только для EDR решений)
https://attackevals.mitre.org/methodology/
https://attackevals.mitre.org/methodology/
MR
"With possible bug bounty from ics vendors" huh?
Где мои плюшки (
Где мои плюшки (
A
Я писал организаторам, что хорошо бы когда-нибудь построить испытание на базе технк/процедур из MITRE ATT&CK. Там сетевой активности хватает. Но надо знать что нормально, что нет в сети и больше времени
Митра же вообще не причём здесь. Она про классификацию известных векторов угроз.
Мы же играем на поле неизвестных неизвестных.
Мы же играем на поле неизвестных неизвестных.
AL
А 130 Гб pcap с Challenge где-то выложены?
RK
Alexey Lukatsky
А 130 Гб pcap с Challenge где-то выложены?
vendor lock
AS
Alexey Lukatsky
А 130 Гб pcap с Challenge где-то выложены?
Нет, и не будут, правила
A
Нет, и не будут, правила
Ппц
RK
но только что видел твит о траффике Experion PKS CDA. залайкал и его потёрли 😀
AS
Alis
Нет. Методология изначально была неправильна - отражает только то, как ловятся текущими ИБ решениями уже известные атаки. Которым, на минуточку, уже много лет (2010 Stuxnet, 2014 Havex).
Смысл их сейчас ловить?
Завтра APT42 устроит блэкаут в Зурумбии - и на следующий год те же решения будут с успехом рассказывать, как они бы успешно ее заблокировали год спустя?
Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.
Смысл их сейчас ловить?
Завтра APT42 устроит блэкаут в Зурумбии - и на следующий год те же решения будут с успехом рассказывать, как они бы успешно ее заблокировали год спустя?
Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.
> Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.
Так выглядел CTF / Тестирование решений в Сингарпуре на стенде водоочистки
Так выглядел CTF / Тестирование решений в Сингарпуре на стенде водоочистки
AL
Dmitry Darensky
Тогда какой смысл его юзать если толку нет. Любой безопасник получив за смену 40-50 фолзов от сзи на снорте на следующей смене просто перестанет следить за репортами от этого сзи. Или просто настроит в прозрачный режим. И не важно, опенсорс это или коммерческий продукт
Ээээ, покажите мне СЗИ без фолзов вообще. 40-50 - это много? При каком количестве событий и обнаруженных реальных атак?
RK
вы не путайте CTF и Detection Challenge
AS
вы не путайте CTF и Detection Challenge
А почему? В чем разница если на CTF у вас стоит мониторинг