TE
Один и тот же админ может спокойно себе запилить левый акк с правами доменного админа и доступом внутрь по ВПН
Size: a a a
2019 September 25
E
Ну и не согласен про админ ничего не сделает
сделать то он сделает. но его тут же хлопнут на этом деле
TE
Но соглашусь что в кровавых энтерпрайзах с этим проще так как разделение по зонам ответственности
TE
Evgeniy
сделать то он сделает. но его тут же хлопнут на этом деле
Ну дык что бы найти нужно логи обрабатывать с систем, инцидентную базу прокачивать, умных операторов иметь, заготовленные плейбуки иметь для оперативного реагирования
TE
Без всей этой обвязки - грош цена безопасности, потому что контроль не осуществить от слова совсем
E
ну так а зачем еще безопасников иметь? :)
TE
Evgeniy
ну так а зачем еще безопасников иметь? :)
Ну дык, в идеальной сферической компании это конечно все есть, в 90% компаний России уровнем ниже чем кровавый Энтерпрайз - есть дефицит бюджета
TE
Из за которого ты изголяешься строя самые невероятные конструкции из опенсорца + решения которые пишешь сам
TE
Если кодить умеешь конечно
E
zabbix / powershell / nmap - закроют большую часть потребностей. если компания на винде в основном сидит. под linux тоже писали автоматизацию на чем то вроде autoit (точно не вспомню сейчас)
TE
Evgeniy
zabbix / powershell / nmap - закроют большую часть потребностей. если компания на винде в основном сидит. под linux тоже писали автоматизацию на чем то вроде autoit (точно не вспомню сейчас)
Анализ логов в заббикс и кросскорреляция там же, серьезно?
E
я сказал большую
E
для анализа graylog есть например
TE
Evgeniy
для анализа graylog есть например
Только в опенсорсном варианте он в корреляцию тоже не умеет
TE
Плавали, знаем
TE
OSSIM был кстати неплох
TE
Но написание правил внутрь - вообще не радовало
TE
Ну большую потребностей не закроет - все равно понадобится оператор который будет сложные инциденты искать или если решили пойти по пути ЕЛК - ещё и просто маркеры глазами отсматривать, плюсом успевать реагировать на инциденты, помимо этого надо успевать операционку, согласования и хорошо если компания решила на DLP все таки разориться норм хостовую, знаю ребят которые вручную корп ящики смотрели когда на маркетинг их один вендор развёл и решение работало в стиле «не вижу почтовых клиентов на ПК», а почту смотреть надо
TE
И добавь сюда не очень высокую квалификацию персонала, к сожалению, не везде админы и безопасники - реально технологически крутые ребята
TE
Получается что либо упор на максимальную автоматизацию и самописные решения как ты описал, либо те же яйца только в профиль но с вкраплениями покупных продуктов. При такой загрузке 2-3 ИБшникам (хорошо если не один) банально некогда заниматься развитием инцидентной базы