RI
Michael
Acl может разрешить прохождение трафика, но маршруты не позволят достич конечного узла
Именно поэтому многомерный граф.
Size: a a a
2019 May 31
RI
Michael
Можно все. Но дальше появляются ограничения в виде стоимости, масштабируемости, непрерывности работы, скорости развертывания.
И для этого много лет назад умные люди изобрели ZTX, CARTA или BeyondCorp. Но нужно иметь стальную волю, чтобы признать, что текущая парадигма устарела и нужен новый подход - на основе zero trust концепта и объединения безопасности доверия и безопасности борьбы с угрозами с динамическим контекстом. Но для большинства это очень сложно и требует выхода из привычной периметровой зоны комфорта.
M
Ruslan Ivanov
Именно поэтому многомерный граф.
Таблицы bgp и ospf? От нескольких маршрутизаторов? И все это рассчитывать в siem? Памяти хватит для расчета?
A
Ruslan Ivanov
И для этого много лет назад умные люди изобрели ZTX, CARTA или BeyondCorp. Но нужно иметь стальную волю, чтобы признать, что текущая парадигма устарела и нужен новый подход - на основе zero trust концепта и объединения безопасности доверия и безопасности борьбы с угрозами с динамическим контекстом. Но для большинства это очень сложно и требует выхода из привычной периметровой зоны комфорта.
Да, и с децентрализованными МЭ
A
Но пока это фантастика
A
Michael
Таблицы bgp и ospf? От нескольких маршрутизаторов? И все это рассчитывать в siem? Памяти хватит для расчета?
Я потерялся, а зачем это сиему?
RI
Michael
Таблицы bgp и ospf? От нескольких маршрутизаторов? И все это рассчитывать в siem? Памяти хватит для расчета?
Михаил, а как вы думаете, как маршрутизаторы или роут-рефлекторы выбирают маршруты на основе нескольких full-view от разных операторов? Согласен, пример несколько идиотский, зато наглядный
RI
Да, и с децентрализованными МЭ
Не вижу препятствий. Миллион вершин графа и десятки или сотни миллионов ребёр - не то чтобы гигантская проблема.
RI
Я потерялся, а зачем это сиему?
Они хотят вектор атаки визуализировать. Но это можно сделать и проще
M
Я потерялся, а зачем это сиему?
Он же для себя топологию строит, типа для расчета достижимости и расчета вектора атаки.
RI
Сиему это не надо
RI
Это надо или визуализатору, или коррелятору
RI
Вы усложняете сущности без надобности ;)
M
Коррелятор в siem ))
A
Это надо постфактум при расследовании
A
Для приоритезации
RI
Michael
Коррелятор в siem ))
Я этого не говорил ;)
RI
Это надо постфактум при расследовании
Именно, Лёш.
RI
В принципе, можно и событийные триггеры делать, но тогда надо тащить что-то типа spark/storm и это прилично по ресурсам на сколько-нибудь крупном объёме. Но выполнимо
M
Ruslan Ivanov
Михаил, а как вы думаете, как маршрутизаторы или роут-рефлекторы выбирают маршруты на основе нескольких full-view от разных операторов? Согласен, пример несколько идиотский, зато наглядный
Таблицы таблицами, а есть ещё административное расстояние, политика маршрутизации, состояние каналов...