Comments 13
Очень интересна техническая сторона вопроса. Трафик смотрите вразрез ( гоните через себя ) или сбоку ( используете свое оборудование на площадках заказчиков / используете оборудование заказчика и получаете только логи/трафик )? Используете в качестве захвата и анализа трафика самописное ПО или СПО/общеизвестное? В качестве анализа используете сигнатуры и/или эвристику?
+1
Работаем непосредственно с логами, при необходимости анализируем трафик отдельных сетевых устройств.
Используем оборудование наших партнёров, установленное у заказчика. Анализ трафика осуществляем сигнатурно. С логами работаем в аналитической системе, которая может быть расположена у заказчика в системе, можем и к себе в аналитический центр затягивать.Захват трафика на анализ осуществляем либо через IDS, либо запрашиваем у заказчика дублирование трафика на отдельную машину, где его и пишем и анализируем «общеизвестными» инструментами.
Используем оборудование наших партнёров, установленное у заказчика. Анализ трафика осуществляем сигнатурно. С логами работаем в аналитической системе, которая может быть расположена у заказчика в системе, можем и к себе в аналитический центр затягивать.Захват трафика на анализ осуществляем либо через IDS, либо запрашиваем у заказчика дублирование трафика на отдельную машину, где его и пишем и анализируем «общеизвестными» инструментами.
+1
я, конечно, всё понимаю, что тут серьезное исследование и всё такое…
но всё-таки эта картинка с картой мира и очень красной РФ выглядит аццки: русские хакеры не дремлют!
но всё-таки эта картинка с картой мира и очень красной РФ выглядит аццки: русские хакеры не дремлют!
+1
Можете подробнее рассказать про исходные данные. Что используется в качестве источников событий (Сервера, рабочие станции)? Данные собирались в рамках одной организации или нескольких
+1
Главные источники событий — это сетевые и хостовые IDS и антивирусы. То есть мы знаем, что происходит в контролируемых сетях и на рабочих местах. Естественно, чтобы точно сказать, сможем ли мы затягивать события с какой-то конкретной системы, надо потестировать. Если не сможем сразу, то почти наверняка можно написать нужный коннектор.
Данные собираются с нескольких организаций.
Данные собираются с нескольких организаций.
0
То есть правильно я понимаю, что вся описываемая система работает по принципу большинства антивирусов — полное доверие антивирусу, который сам при этом контролируется извне? Что будет, если окажется скомпрометирована сама "система обеспечения безопасности информации"? Не приведёт ли это к утечке данных, которые она призвана защищать?
Есть одна интересная особенность. Во II и III кварталах 2016 года среди лидеров по количеству IP-адресов, с которых осуществлялись атаки, был Китай.
А в чём было преимущество использования именно Китайских серверов? Казалось бы, зачем выбирать страну с таким великим файерволом, который наверняка мешал их работе.
+1
Что будет, если окажется скомпрометирована сама «система обеспечения безопасности информации»?
Если отбросить человеческий фактор (социнженерию, злого инсайдера или невнимательного админа), то инциденты так и случаются — из-за компроментации технических элементов защиты. Поэтому и надо следить за уязвимостями этих технических элементов, работать с персоналом и строить процессы защиты информации.
который наверняка мешал их работе
Ну почему ж сразу мешал? Но это так, почти шутка. Вообще очень мало информации о том, что творится рядом с этим самым ВКФайрволлом, а какие-то активные методы исследования очень оперативно пресекаются. Да никто особо и не будет рисковать, чтобы разобраться. Очень рекомендую книгу Ричарда Кларка и Роберта Нейка «Третья мировая война. Какой она будет?», там очень хорошо про эту тему написано. Если прям в двух словах: чем меньше возможностей координировать усилия правоохранительных органов государств, тем больше атак из одной страны в другую.
0
К вопросу об IP-адресах. Во II и III кварталах 2016 года было зафиксировано больше DDoS и Bruteforce атак. В основном такие атаки и продолжают идти с китайских адресов.
За I квартал 2017 года и IV квартал 2016 года мы наблюдаем значительное снижение инцидентов связанных с данными атаками. Следовательно, преобладают другие атаки требующие иного подхода. Поэтому китайские адреса в меньшей степени попали в топ источников.
Данная статистика основана только на данных полученных при работе с контролируемыми организациями и означает, что по большей части администраторы следят за безопасностью своей сети.
За I квартал 2017 года и IV квартал 2016 года мы наблюдаем значительное снижение инцидентов связанных с данными атаками. Следовательно, преобладают другие атаки требующие иного подхода. Поэтому китайские адреса в меньшей степени попали в топ источников.
Данная статистика основана только на данных полученных при работе с контролируемыми организациями и означает, что по большей части администраторы следят за безопасностью своей сети.
+1
На первом бублике термин «Атака» значит только удаленное исполнение кода, или включает в себя еще что-то?
+1
Sign up to leave a comment.
Отчёт Центра мониторинга информационной безопасности за I квартал 2017 года