Size: a a a

2019 September 25

TE

Te Erevia in Codeibcommunity
Один и тот же админ может спокойно себе запилить левый акк с правами доменного админа и доступом внутрь по ВПН
источник

E

Evgeniy in Codeibcommunity
Te Erevia
Ну и не согласен про админ ничего не сделает
сделать то он сделает. но его тут же хлопнут на этом деле
источник

TE

Te Erevia in Codeibcommunity
Но соглашусь что в кровавых энтерпрайзах с этим проще так как разделение по зонам ответственности
источник

TE

Te Erevia in Codeibcommunity
Evgeniy
сделать то он сделает. но его тут же хлопнут на этом деле
Ну дык что бы найти нужно логи обрабатывать с систем, инцидентную базу прокачивать, умных операторов иметь, заготовленные плейбуки иметь для оперативного реагирования
источник

TE

Te Erevia in Codeibcommunity
Без всей этой обвязки - грош цена безопасности, потому что контроль не осуществить от слова совсем
источник

E

Evgeniy in Codeibcommunity
ну так а зачем еще безопасников иметь? :)
источник

TE

Te Erevia in Codeibcommunity
Evgeniy
ну так а зачем еще безопасников иметь? :)
Ну дык, в идеальной сферической компании это конечно все есть, в 90% компаний России уровнем ниже чем кровавый Энтерпрайз - есть дефицит бюджета
источник

TE

Te Erevia in Codeibcommunity
Из за которого ты изголяешься строя самые невероятные конструкции из опенсорца + решения которые пишешь сам
источник

TE

Te Erevia in Codeibcommunity
Если кодить умеешь конечно
источник

E

Evgeniy in Codeibcommunity
zabbix / powershell / nmap - закроют большую часть потребностей. если компания на винде в основном сидит. под linux тоже писали автоматизацию на чем то вроде autoit (точно не вспомню сейчас)
источник

TE

Te Erevia in Codeibcommunity
Evgeniy
zabbix / powershell / nmap - закроют большую часть потребностей. если компания на винде в основном сидит. под linux тоже писали автоматизацию на чем то вроде autoit (точно не вспомню сейчас)
Анализ логов в заббикс и кросскорреляция там же, серьезно?
источник

E

Evgeniy in Codeibcommunity
я сказал большую
источник

E

Evgeniy in Codeibcommunity
для анализа graylog есть например
источник

TE

Te Erevia in Codeibcommunity
Evgeniy
для анализа graylog есть например
Только в опенсорсном варианте он в корреляцию тоже не умеет
источник

TE

Te Erevia in Codeibcommunity
Плавали, знаем
источник

TE

Te Erevia in Codeibcommunity
OSSIM был кстати неплох
источник

TE

Te Erevia in Codeibcommunity
Но написание правил внутрь - вообще не радовало
источник

TE

Te Erevia in Codeibcommunity
Ну большую потребностей не закроет - все равно понадобится оператор который будет сложные инциденты искать или если решили пойти по пути ЕЛК - ещё и просто маркеры глазами отсматривать, плюсом успевать реагировать на инциденты, помимо этого надо успевать операционку, согласования и хорошо если компания решила на DLP все таки разориться норм хостовую, знаю ребят которые вручную корп ящики смотрели когда на маркетинг их один вендор развёл и решение работало в стиле «не вижу почтовых клиентов на ПК», а почту смотреть надо
источник

TE

Te Erevia in Codeibcommunity
И добавь сюда не очень высокую квалификацию персонала, к сожалению, не везде админы и безопасники - реально технологически крутые ребята
источник

TE

Te Erevia in Codeibcommunity
Получается что либо упор на максимальную автоматизацию и самописные решения как ты описал, либо те же яйца только в профиль но с вкраплениями покупных продуктов. При такой загрузке 2-3 ИБшникам (хорошо если не один) банально некогда заниматься развитием инцидентной базы
источник