AS
Dmitry Darensky
Если челендж в том чтоб сначала идентифицировать сеть и узлы и потом найти аномалии, то ок.
Есть только трафик и ты не знаешь и не можешь спросить что есть нормальное поведение :)
Size: a a a
2019 January 19
AS
Dmitry Darensky
Ну ок, такой странный конкурс..
Проверяет широту возможностей :) Но далековато от реального использования решений. Мы так на сцене и сказали
DD
Ну о том и речь.
DD
Вообще прикольно бывает на реальных объектах. Заказчик требует чтоб системы могла самообучаться. Прям без этого не поставит себе систему.
AS
Поэтому наверно и атаки здесь это явно выделяющиеся негативные активности
AS
Поэтому лучше делать как в Сингапуре и на PHDays
DD
Ну ок. Поставили. Система самообучилась. Спрашиваешь-всё верно? Все узлы и соединения задетектили? Ответ-да хз вообще)) из 400 узлов которые обнаружены только 100 смогли опознать как свои. А остальные даже верифицировать нельзя-документации на систему тупо нет.
AS
Dmitry Darensky
Ну ок. Поставили. Система самообучилась. Спрашиваешь-всё верно? Все узлы и соединения задетектили? Ответ-да хз вообще)) из 400 узлов которые обнаружены только 100 смогли опознать как свои. А остальные даже верифицировать нельзя-документации на систему тупо нет.
Ага, по каждому нужно проводить расследование :)
AS
Dmitry Darensky
Ну ок. Поставили. Система самообучилась. Спрашиваешь-всё верно? Все узлы и соединения задетектили? Ответ-да хз вообще)) из 400 узлов которые обнаружены только 100 смогли опознать как свои. А остальные даже верифицировать нельзя-документации на систему тупо нет.
Такой диагноз, который иногда не хочется знать :)
DD
Да даже не расследование. Элементарно инвентаризацию нельзя провести. Ни версионность, ни разрешённые протоколы, ни фига.
AS
Dmitry Darensky
Да даже не расследование. Элементарно инвентаризацию нельзя провести. Ни версионность, ни разрешённые протоколы, ни фига.
Вот для этого по каждому нужно расследовать отдельно, что это и зачем
DD
Не знают как должно быть. Понимаешь? Тыкаешь пальцем в карточку узла, а тебе не могут сказать, свой это или нет, должны у него порты под орс и telnet быть открытыми или нет.. Вообще ничего.
AS
DD
Или тыкаешь пальцем в соединение "у тебя хисториан в Бразилию стучится, у вас в рио-де-жанейро сервера MES стоят?" а в ответ "не знаю, возможно... Но не уверен"
AS
Нельзя в Бразилию, ФСТЭК и НКЦКИ будут ругаться :)
DD
Это по 239 приказу нельзя, а по сервисном контракту с вендором можно😉. Просто по контракту он должен стучаться на сервер обновления, а не на сайт интернет магазина, который матрасами торгует.
DK
Alexey Lukatsky
Ээээ, покажите мне СЗИ без фолзов вообще. 40-50 - это много? При каком количестве событий и обнаруженных реальных атак?
В день на человека? Пипец, как много
AL
В день на человека? Пипец, как много
При каком количество событий, обнаруженных реальных атак и включенных сигнатур? Если у тебя миллион событий и 50 фолзов, это 5 тысячных процента вроде. Офигенный результат. Точность системы - 99,995. На одном продукте. А число снижается за счет добавления контекста (ситуационная осведомленность).
DK
Alexey Lukatsky
При каком количество событий, обнаруженных реальных атак и включенных сигнатур? Если у тебя миллион событий и 50 фолзов, это 5 тысячных процента вроде. Офигенный результат. Точность системы - 99,995. На одном продукте. А число снижается за счет добавления контекста (ситуационная осведомленность).
К продукту идут (должны идти) рекомендации по персоналу. Если вендор говорит, что с продуктом справятся два человека, и продукт дает 100 фалсов в день (50 на человека) - то это пипец, как много :)