Comments 13
Очень интересна техническая сторона вопроса. Трафик смотрите вразрез ( гоните через себя ) или сбоку ( используете свое оборудование на площадках заказчиков / используете оборудование заказчика и получаете только логи/трафик )? Используете в качестве захвата и анализа трафика самописное ПО или СПО/общеизвестное? В качестве анализа используете сигнатуры и/или эвристику?
Работаем непосредственно с логами, при необходимости анализируем трафик отдельных сетевых устройств.
Используем оборудование наших партнёров, установленное у заказчика. Анализ трафика осуществляем сигнатурно. С логами работаем в аналитической системе, которая может быть расположена у заказчика в системе, можем и к себе в аналитический центр затягивать.Захват трафика на анализ осуществляем либо через IDS, либо запрашиваем у заказчика дублирование трафика на отдельную машину, где его и пишем и анализируем «общеизвестными» инструментами.
Используем оборудование наших партнёров, установленное у заказчика. Анализ трафика осуществляем сигнатурно. С логами работаем в аналитической системе, которая может быть расположена у заказчика в системе, можем и к себе в аналитический центр затягивать.Захват трафика на анализ осуществляем либо через IDS, либо запрашиваем у заказчика дублирование трафика на отдельную машину, где его и пишем и анализируем «общеизвестными» инструментами.
я, конечно, всё понимаю, что тут серьезное исследование и всё такое…
но всё-таки эта картинка с картой мира и очень красной РФ выглядит аццки: русские хакеры не дремлют!
но всё-таки эта картинка с картой мира и очень красной РФ выглядит аццки: русские хакеры не дремлют!
Можете подробнее рассказать про исходные данные. Что используется в качестве источников событий (Сервера, рабочие станции)? Данные собирались в рамках одной организации или нескольких
Главные источники событий — это сетевые и хостовые IDS и антивирусы. То есть мы знаем, что происходит в контролируемых сетях и на рабочих местах. Естественно, чтобы точно сказать, сможем ли мы затягивать события с какой-то конкретной системы, надо потестировать. Если не сможем сразу, то почти наверняка можно написать нужный коннектор.
Данные собираются с нескольких организаций.
Данные собираются с нескольких организаций.
То есть правильно я понимаю, что вся описываемая система работает по принципу большинства антивирусов — полное доверие антивирусу, который сам при этом контролируется извне? Что будет, если окажется скомпрометирована сама "система обеспечения безопасности информации"? Не приведёт ли это к утечке данных, которые она призвана защищать?
Есть одна интересная особенность. Во II и III кварталах 2016 года среди лидеров по количеству IP-адресов, с которых осуществлялись атаки, был Китай.
А в чём было преимущество использования именно Китайских серверов? Казалось бы, зачем выбирать страну с таким великим файерволом, который наверняка мешал их работе.
Что будет, если окажется скомпрометирована сама «система обеспечения безопасности информации»?
Если отбросить человеческий фактор (социнженерию, злого инсайдера или невнимательного админа), то инциденты так и случаются — из-за компроментации технических элементов защиты. Поэтому и надо следить за уязвимостями этих технических элементов, работать с персоналом и строить процессы защиты информации.
который наверняка мешал их работе
Ну почему ж сразу мешал? Но это так, почти шутка. Вообще очень мало информации о том, что творится рядом с этим самым ВКФайрволлом, а какие-то активные методы исследования очень оперативно пресекаются. Да никто особо и не будет рисковать, чтобы разобраться. Очень рекомендую книгу Ричарда Кларка и Роберта Нейка «Третья мировая война. Какой она будет?», там очень хорошо про эту тему написано. Если прям в двух словах: чем меньше возможностей координировать усилия правоохранительных органов государств, тем больше атак из одной страны в другую.
К вопросу об IP-адресах. Во II и III кварталах 2016 года было зафиксировано больше DDoS и Bruteforce атак. В основном такие атаки и продолжают идти с китайских адресов.
За I квартал 2017 года и IV квартал 2016 года мы наблюдаем значительное снижение инцидентов связанных с данными атаками. Следовательно, преобладают другие атаки требующие иного подхода. Поэтому китайские адреса в меньшей степени попали в топ источников.
Данная статистика основана только на данных полученных при работе с контролируемыми организациями и означает, что по большей части администраторы следят за безопасностью своей сети.
За I квартал 2017 года и IV квартал 2016 года мы наблюдаем значительное снижение инцидентов связанных с данными атаками. Следовательно, преобладают другие атаки требующие иного подхода. Поэтому китайские адреса в меньшей степени попали в топ источников.
Данная статистика основана только на данных полученных при работе с контролируемыми организациями и означает, что по большей части администраторы следят за безопасностью своей сети.
На первом бублике термин «Атака» значит только удаленное исполнение кода, или включает в себя еще что-то?
Sign up to leave a comment.
Отчёт Центра мониторинга информационной безопасности за I квартал 2017 года