DP
Про болгарку - это была не шутка...
Size: a a a
2019 February 25
AV
Dmitry Ponomarev
Но одно дело, когда монтаж кривой и болгаркой корпус ровняли на заводе, чтобы собралось, а другое как это на кибербезопасность влияет. :)
Какая сборка харда, такая и софта. Юзаем тут вынужденно кое-что, постоянно виснет на свежайшей прошивке. Какое тут ИБ, когда банальной надежности нет.
DP
Какая сборка харда, такая и софта. Юзаем тут вынужденно кое-что, постоянно виснет на свежайшей прошивке. Какое тут ИБ, когда банальной надежности нет.
Да, низкая надежность только усугубляет ситуацию. Выявить реальные инциденты ИБ среди банальных сбоев становится той еще задачкой.
DP
Единственное радует, что вредоносы будут так же плохо работать в такой кривой системе. :)
DD
А если их хотя бы десяток в день, то как бэ работа всё.
DD
Вредоносы может быть уже в системе, и антивирь по сети даже не отрепортит
DD
А вот кстати и вопрос. А у кого вообще есть аларминг от эндпоинтов и антивирей за периметр асушки?
DP
Dmitry Darensky
А вот кстати и вопрос. А у кого вообще есть аларминг от эндпоинтов и антивирей за периметр асушки?
Через DMZ технологическую?
DD
Ну да. Чтоб вот прям правильно пробрасывали через мэ и ids, если они у каких то смельчаков в разрыв стоит.
DD
Сколько сталкивался, av стоит себе локально, не обновляется, не свистит никуда.
DP
Dmitry Darensky
Ну да. Чтоб вот прям правильно пробрасывали через мэ и ids, если они у каких то смельчаков в разрыв стоит.
Мы на центр управления все цепляем, а с него мониторинг на АРМ ИБ и ОП + логи уходят в корп. SIEM (это в идеале), но там дальше следы теряются. :( Чаще всего логи до SIEM даже не уходят. Из-за его отсутствия.
DD
А центр управления в какой подсети? Дмз?
2019 February 26
DP
Dmitry Darensky
А центр управления в какой подсети? Дмз?
В выделенном сегменте dmz или в технологическом сегменте верхнего уровня.
AK
Через smtp можно оповещения слать, релей в ДМЗ, доступ открыт в одном направлении. Есть схема через шлюз соединений.
AV
Alexander Kremlev
Через smtp можно оповещения слать, релей в ДМЗ, доступ открыт в одном направлении. Есть схема через шлюз соединений.
Чем плох односторонний сислог через юдп? Само напрашивается, как реально односторонний поток и даже для хардеорного диода не проблема.
AK
Я не помню может ли Каспер по сислогу слать, а отправку по смтп на определенные события легко.
AK
Клиенты не подключённые к центру администрирования не проблема в этом случае.
AV
Dmitry Darensky
Сколько сталкивался, av стоит себе локально, не обновляется, не свистит никуда.
Странно слышать в контексте постоянных страшилок о незащищенных стыках с офисной локалкой, а то и просто инетом.
AV
Alexander Kremlev
Я не помню может ли Каспер по сислогу слать, а отправку по смтп на определенные события легко.
Не проблема одно (не обязательно смтп) превратить в другое. Не умеет, на сколько помню. Обновлять все равно надо строго по регламенту, после проверки безопасности обновлений. Раз в неделю сойдет и можно отдельно в экстренном случае.
AK
Не проблема одно (не обязательно смтп) превратить в другое. Не умеет, на сколько помню. Обновлять все равно надо строго по регламенту, после проверки безопасности обновлений. Раз в неделю сойдет и можно отдельно в экстренном случае.
Зачем превращать (лишнее по) если есть встроенный функционал? Нам же важно оповещение получить в зависимости от настроек аудита. Обнаружен вирус получили письмо, выключили защиту и т.д.