Forum » Informacijska varnost » WannaCry SLO
WannaCry SLO
Dpool ::
Zivjo fantje,
Nekaj se suslja po temnih ulicah da je ene par javnih zavodov bilo zrtev WannaCry ransomware-a te dni. Sicer delil informacije ne bom od kod vem, ker to ni point.
Bi pa nas ostale infosec kolege zanimalo, kako ste se lotili Incident Response-a in katera orodja ste imeli na voljo. Kako ste zaznali napad (z orodji ali pa je endpoint user sporocil).
Pa morda skupaj po brainstorm-amo efektivnejso zaznavo in prevencijo takih malware-ov. Seveda je odvisno od nabora orodij, ki ga ima dolocen SOC. Za ta primer vem da imajo neke vrste SOC oddelek.
Sicer verjetno v SLO ne radi delimo znanja in izkusnje z drugimi, ampak vseeno se morda da tukaj zaceti. Tisti na drugi strani, ki te napade izvajajo, niso solo igralci, ampak si pomagajo medseboj.
LP
Nekaj se suslja po temnih ulicah da je ene par javnih zavodov bilo zrtev WannaCry ransomware-a te dni. Sicer delil informacije ne bom od kod vem, ker to ni point.
Bi pa nas ostale infosec kolege zanimalo, kako ste se lotili Incident Response-a in katera orodja ste imeli na voljo. Kako ste zaznali napad (z orodji ali pa je endpoint user sporocil).
Pa morda skupaj po brainstorm-amo efektivnejso zaznavo in prevencijo takih malware-ov. Seveda je odvisno od nabora orodij, ki ga ima dolocen SOC. Za ta primer vem da imajo neke vrste SOC oddelek.
Sicer verjetno v SLO ne radi delimo znanja in izkusnje z drugimi, ampak vseeno se morda da tukaj zaceti. Tisti na drugi strani, ki te napade izvajajo, niso solo igralci, ampak si pomagajo medseboj.
LP
jukoz ::
WannaCry je že precej znan in bi ti morali že razni antivirusi pomagati, da ga ne dobiš.
Za podobne zadeve pa:
- sporoči user/admin, ker ga antivirusi niso spoznali, prav tako vsa ostala avtomatika
- ker imaš segmentirano omrežje in urejene dostope, to zadane samo par ljudi
- backup ti deluje in potegneš podatke nazaj, v vmesnem času spiješ kavico.
Za podobne zadeve pa:
- sporoči user/admin, ker ga antivirusi niso spoznali, prav tako vsa ostala avtomatika
- ker imaš segmentirano omrežje in urejene dostope, to zadane samo par ljudi
- backup ti deluje in potegneš podatke nazaj, v vmesnem času spiješ kavico.
poweroff ::
Ko smo že pri tem, kateri backup (inkrementalni) za Win 10 priporočate? Seveda free/GPL.
Jaz za Linux uporabljam Duplicati, razmišljam, da bi ga uporabil tudi za Windows 10.
Jaz za Linux uporabljam Duplicati, razmišljam, da bi ga uporabil tudi za Windows 10.
sudo poweroff
SeMiNeSanja ::
Antivirus bi moral pomagat? Ni nujno.........
Problem je v tem, da imaš orodja, ki exe 'morfajo' toliko časa, da ga noben AV ne prepozna. Tako na koncu dobiš poljubno število klonov po funkcionalnosti iste izvršljive kode, ki pa nima istega checksuma in se tudi izogne signaturam.
Takega polimorfnega malware-a pa imamo danes vse več.
Drugače pa imamo danes polno kapo drugih obrambnih možnosti, katere pa ne izkoriščamo, ker kupujemo 'merđote z osnovno opremo' (kot omenjeno v neki drugi temi), ali pa so zadeve skonfigurirane po sistemu 'postavi in pozabi'. Tako, kot da bi imeli opravka s switchem, ne pa neko varnostno rešitvijo.
Lahko imaš idealno skonfiguriran sistem, ampak če nihče ne gleda alarmov (maile po možnosti pošlje v spam folder?), se tudi ne smeš čuditi, če moraš potem zanašati na backup-e. Če jih imaš. Kakršne imaš....
Restore pa ni nujno vedno trivialen "skočim na kavico, ta čas pa bo...". Lepo se je videlo v Revozu, da tak restore ne gre v 5 minutah in škoda zaradi izpada sistemov ni nujno trivialna.
Veeam meni lepo dela na externi disk...
Problem je v tem, da imaš orodja, ki exe 'morfajo' toliko časa, da ga noben AV ne prepozna. Tako na koncu dobiš poljubno število klonov po funkcionalnosti iste izvršljive kode, ki pa nima istega checksuma in se tudi izogne signaturam.
Takega polimorfnega malware-a pa imamo danes vse več.
Drugače pa imamo danes polno kapo drugih obrambnih možnosti, katere pa ne izkoriščamo, ker kupujemo 'merđote z osnovno opremo' (kot omenjeno v neki drugi temi), ali pa so zadeve skonfigurirane po sistemu 'postavi in pozabi'. Tako, kot da bi imeli opravka s switchem, ne pa neko varnostno rešitvijo.
Lahko imaš idealno skonfiguriran sistem, ampak če nihče ne gleda alarmov (maile po možnosti pošlje v spam folder?), se tudi ne smeš čuditi, če moraš potem zanašati na backup-e. Če jih imaš. Kakršne imaš....
Restore pa ni nujno vedno trivialen "skočim na kavico, ta čas pa bo...". Lepo se je videlo v Revozu, da tak restore ne gre v 5 minutah in škoda zaradi izpada sistemov ni nujno trivialna.
Ko smo že pri tem, kateri backup (inkrementalni) za Win 10 priporočate? Seveda free/GPL.
Jaz za Linux uporabljam Duplicati, razmišljam, da bi ga uporabil tudi za Windows 10.
Veeam meni lepo dela na externi disk...
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
Dpool ::
Antivirus ne bo pomagal pri tem, ker kot je zgoraj omenjeno, anti virusni delujejo na podlagi primerjave HASHov znanih malware-ov. Dosti jih sicer obljublja razne machine learning ipd zadeve, ampak realnost je malce drugacna. Tako da obfuskacije malware-a kode ze pretenta 3/4 anti-virus vendorjev.
WannaCry izrablja ranljivost v SMBv1 protokolu. Vse kar je potrebno je po-patchat Windows Server, ki ga uporablja. Danes je zadnja verzija SMBv3. Ampak samo ne-popatchan SMBv1 je ranljiv (Eternal Blue exploit). Ce po-patchas te nima kaj skrbeti za WannaCry konkretno (tudi popatchan SMBv1 je odporen).
Skratka vem, da ostala podjetja verjetno nimajo EDRje in razne NIDS, HIDS, ki bi pomagale pri teh vdorih. Tako da v takem primeru menim da je najboljse blokirati port 445 in pac fizicno izklopiti naprave iz omrezja - kot del Inicident Response-a.
Za zaznavo pa bi razmisljal v smeri (kadar je ze prislo ze do exploitacije), da mi naj prozi alarm ce se zazene komanda za enkripcijo datotek ali diskov. Kot drugo zaznava Lateral Movement v omrezju. V tem primeru lahko hitro se reagiras in isolate-as host (npr CarbonBlack ti to omogoca ze v konzoli). Preventiva pa je zagotovo, kot sem ze prej omenil, patchat Windows Serverje, ki uporabljajo SMBv1.
WannaCry izrablja ranljivost v SMBv1 protokolu. Vse kar je potrebno je po-patchat Windows Server, ki ga uporablja. Danes je zadnja verzija SMBv3. Ampak samo ne-popatchan SMBv1 je ranljiv (Eternal Blue exploit). Ce po-patchas te nima kaj skrbeti za WannaCry konkretno (tudi popatchan SMBv1 je odporen).
Skratka vem, da ostala podjetja verjetno nimajo EDRje in razne NIDS, HIDS, ki bi pomagale pri teh vdorih. Tako da v takem primeru menim da je najboljse blokirati port 445 in pac fizicno izklopiti naprave iz omrezja - kot del Inicident Response-a.
Za zaznavo pa bi razmisljal v smeri (kadar je ze prislo ze do exploitacije), da mi naj prozi alarm ce se zazene komanda za enkripcijo datotek ali diskov. Kot drugo zaznava Lateral Movement v omrezju. V tem primeru lahko hitro se reagiras in isolate-as host (npr CarbonBlack ti to omogoca ze v konzoli). Preventiva pa je zagotovo, kot sem ze prej omenil, patchat Windows Serverje, ki uporabljajo SMBv1.
poweroff ::
Ja, se pravi imeti naložene vse varnostne posodobitve in to je to. Kar se sicer ve že vsaj 20 let, ampak marsikje še vedno ne upošteva...
sudo poweroff
SeMiNeSanja ::
Koliko časa moraš imeti nepopatchane sisteme, da so še vedno ranljivi na Eternalblue? Leto in pol?
Če mene vprašaš, si tak zanemarjen strežnik zasluži, da se ga skrešira.
Ampak ne smeš pozabiti, da izklop SMBv1 ne prepreči 'dogajanja' na 'pacientu 0'. Preprečuje zgolj nadaljno širjenje po omrežju. Če imamo opravka z originalnim Wannacry. Lahko pa se uporabi tudi kakšno drugo metodo za širjenje (ravno včeraj je nekdo na Github objavil nov Windows privilege escalation exploit skupaj z PoC, ne da bi dal MS-u priliko, da zadevo popatcha - zgolj vprašanje časa, da se exploit znajde v ransomrare kampanjah!).
Posebno strašljivi so kakšni medicinski sistemi, ki že v osnovi ne dovoljujejo posodobitev. Po možnosti še na Windows XP ali 95..... Tem sistemom bi morali že davno izgraditi UTP kartice oz. zapečatiti UTP porte.
Če mene vprašaš, si tak zanemarjen strežnik zasluži, da se ga skrešira.
Ampak ne smeš pozabiti, da izklop SMBv1 ne prepreči 'dogajanja' na 'pacientu 0'. Preprečuje zgolj nadaljno širjenje po omrežju. Če imamo opravka z originalnim Wannacry. Lahko pa se uporabi tudi kakšno drugo metodo za širjenje (ravno včeraj je nekdo na Github objavil nov Windows privilege escalation exploit skupaj z PoC, ne da bi dal MS-u priliko, da zadevo popatcha - zgolj vprašanje časa, da se exploit znajde v ransomrare kampanjah!).
Posebno strašljivi so kakšni medicinski sistemi, ki že v osnovi ne dovoljujejo posodobitev. Po možnosti še na Windows XP ali 95..... Tem sistemom bi morali že davno izgraditi UTP kartice oz. zapečatiti UTP porte.
jukoz ::
Ne bit pesniki no - mašine so lahko stare 30 let pa morajo še vseeno delati. Mi ne delamo z medicinskimi sistemi, veliko pa za ranimi industrijskimi/CNC/...
Da se jih na ločeno omrežje, primerno zrihta dostope in je. Dandanes je popolnoma isto potrebno narediti tudi z multifunkcijskimi napravami.
Ključna je segmentacija omrežja in določiti pravice dostopov ter rizičnim uporabnikom/napravam določiti bolj stroge dostope.
Restore mora biti trivialen. Sej o tem smo že debatirali v eni drugi temi. Če uporabniki ne znajo določiti kaj je ključno za backup, jim mora pri tem pomagati IT. In potem se to backupira in po potrebi tudi restavrira. Ampak da se to doseže, je potrebno delati na tem, samo po sebi to ne pride.
Da se jih na ločeno omrežje, primerno zrihta dostope in je. Dandanes je popolnoma isto potrebno narediti tudi z multifunkcijskimi napravami.
Ključna je segmentacija omrežja in določiti pravice dostopov ter rizičnim uporabnikom/napravam določiti bolj stroge dostope.
Restore mora biti trivialen. Sej o tem smo že debatirali v eni drugi temi. Če uporabniki ne znajo določiti kaj je ključno za backup, jim mora pri tem pomagati IT. In potem se to backupira in po potrebi tudi restavrira. Ampak da se to doseže, je potrebno delati na tem, samo po sebi to ne pride.
Dpool ::
Skratka ranljivi bomo vsi, vedno. Ce nikjer drugje pa na ravni uporabnikov v omrezju - social engineering, nato pa lateralno gibanje po omrezju do kljucnih 'draguljev' (admin racuni ipd). Delo SOC-a in podobnih ekip je da poskusamo uporabnikom, ki imajo dostop do interneta oz. lahko prejemajo posto, kar je navadno najbolj tipicen primer kako vdreti v sistem (social engineering), olajsati zaznavo takih poskusov. Npr phishing emailom spremenimo subject "NEVARNO!". Zna se zgoditi da tudi to ni dovolj, takrat pa imamo mocna EDR in NIDS orodja, ki zaznajo in blokirajo eksekucijo dolocenih nevarnih datotek (.exe preko CMD npr) ali pa povezavo na dolocene IP (znani C2 strezniki) ipd. Zna se zgoditi, da herek se tole zna zaobiti - no takrat pa smo ze res v fazi incidenta, in se sprozi proces incident response.
SeMiNeSanja ::
Kaj je treba v teoriji (vsaj upam) vsi vemo.
Kako pa to potem izgleda v praksi, pa vedno znova videvamo.
SOC....?
Ja, tudi tu je bila zgovorna zgodba, če se še kdo spomni velikega data breach-a v ameriških Target trgovinah, pred nekaj leti. Baje da so imeli nek zunanji SOC. Baje jih je SOC celo opozarjal na čudne FTP povezave. Pa so vse skupaj ignorirali, dokler ni počilo. To se lahko zgodi kjerkoli, kjer je interni IT-jevec preobremenjen in/ali ne razume resnosti takšnih opozoril.
Za moje pojme je marsikatera težava posledica škrtarjenja pri konfiguriranju opreme in preveč ohlapnih pristopov pri egress filtriranju (filtriranju outgoing prometa). Če kupec ne plača, se pač ne boš pretegnil in namesto 100+ granularnih outgoing pravil definiral le kakšnih 10 'splošnih'. Nekako po sistemu 'drži vodu, dok majstori odu'.
Tudi nadaljno vzdrževanje bo v skladu s 'plačilno politiko'. Če ti plača, ni problem, da konfiguracijo optimiziraš 24/7. Če pa škrtati....pač narediš samo tisto najbolj nujno. Pogosto to ne zajema niti nadgradenj firmware-a.
Če pa imaš varnostno opremo po sistemu 'kupujem znamko' jemlje se pa le 'najosnovnejši paket', pa ti tudi SOC ne bo mogel kaj dosti pomagat, ker bo imel premalo indikatorjev na razpolago, ki bi lahko še pravočasno opozorili na to, da se na omrežju nekaj 'kuha'.
Potem pa imaš še eno posebno sorto strank, ki znajo ignorirati prav vse.
Pred leti sem v eni od Iskra tovarn za demo postavil WatchGuard požarno pregrado. Zadeva se je obnašala skrajno čudno, obremenjena na 100% in dobesedno ječala od bremena. Gremo pogledat v loge kaj vraga se dogaja in ugotovimo, da so očitno imeli celotno omrežje okuženo z enim od legendarnih črvov, ki so takrat razsajali.
Stara požarna pregrada je brez zatikanja prepuščala X tisoče povezav/sec, WatchGuard naprava se je pa trudila, da bi blokirala te povezave.
In kaj so Iskraši naredili? Hitro so preklopili nazaj na staro "požarno pregrado", da ja nebi kdo zajamral, da mu kaj ne dela........
Bog vedi, koliko drugih omrežij so okužili, dokler niso 'deratizirali' svoje omrežje.
Dokler se tako početje ne smatra za kaznivo (GDPR?), se tudi ne more kaj dosti spremeniti.
Kako pa to potem izgleda v praksi, pa vedno znova videvamo.
SOC....?
Ja, tudi tu je bila zgovorna zgodba, če se še kdo spomni velikega data breach-a v ameriških Target trgovinah, pred nekaj leti. Baje da so imeli nek zunanji SOC. Baje jih je SOC celo opozarjal na čudne FTP povezave. Pa so vse skupaj ignorirali, dokler ni počilo. To se lahko zgodi kjerkoli, kjer je interni IT-jevec preobremenjen in/ali ne razume resnosti takšnih opozoril.
Za moje pojme je marsikatera težava posledica škrtarjenja pri konfiguriranju opreme in preveč ohlapnih pristopov pri egress filtriranju (filtriranju outgoing prometa). Če kupec ne plača, se pač ne boš pretegnil in namesto 100+ granularnih outgoing pravil definiral le kakšnih 10 'splošnih'. Nekako po sistemu 'drži vodu, dok majstori odu'.
Tudi nadaljno vzdrževanje bo v skladu s 'plačilno politiko'. Če ti plača, ni problem, da konfiguracijo optimiziraš 24/7. Če pa škrtati....pač narediš samo tisto najbolj nujno. Pogosto to ne zajema niti nadgradenj firmware-a.
Če pa imaš varnostno opremo po sistemu 'kupujem znamko' jemlje se pa le 'najosnovnejši paket', pa ti tudi SOC ne bo mogel kaj dosti pomagat, ker bo imel premalo indikatorjev na razpolago, ki bi lahko še pravočasno opozorili na to, da se na omrežju nekaj 'kuha'.
Potem pa imaš še eno posebno sorto strank, ki znajo ignorirati prav vse.
Pred leti sem v eni od Iskra tovarn za demo postavil WatchGuard požarno pregrado. Zadeva se je obnašala skrajno čudno, obremenjena na 100% in dobesedno ječala od bremena. Gremo pogledat v loge kaj vraga se dogaja in ugotovimo, da so očitno imeli celotno omrežje okuženo z enim od legendarnih črvov, ki so takrat razsajali.
Stara požarna pregrada je brez zatikanja prepuščala X tisoče povezav/sec, WatchGuard naprava se je pa trudila, da bi blokirala te povezave.
In kaj so Iskraši naredili? Hitro so preklopili nazaj na staro "požarno pregrado", da ja nebi kdo zajamral, da mu kaj ne dela........
Bog vedi, koliko drugih omrežij so okužili, dokler niso 'deratizirali' svoje omrežje.
Dokler se tako početje ne smatra za kaznivo (GDPR?), se tudi ne more kaj dosti spremeniti.
jukoz ::
Skratka ranljivi bomo vsi, vedno. Ce nikjer drugje pa na ravni uporabnikov v omrezju - social engineering, nato pa lateralno gibanje po omrezju do kljucnih 'draguljev' (admin racuni ipd). Delo SOC-a in podobnih ekip je da poskusamo uporabnikom, ki imajo dostop do interneta oz. lahko prejemajo posto, kar je navadno najbolj tipicen primer kako vdreti v sistem (social engineering), olajsati zaznavo takih poskusov. Npr phishing emailom spremenimo subject "NEVARNO!". Zna se zgoditi da tudi to ni dovolj, takrat pa imamo mocna EDR in NIDS orodja, ki zaznajo in blokirajo eksekucijo dolocenih nevarnih datotek (.exe preko CMD npr) ali pa povezavo na dolocene IP (znani C2 strezniki) ipd. Zna se zgoditi, da herek se tole zna zaobiti - no takrat pa smo ze res v fazi incidenta, in se sprozi proces incident response.
Veliko buzzwordov si uporabil. Če imaš neko zalego, ki to je antivirus/drug_varnosti_sw ne zazna, si takoj pri incident response. Kaj boš pa naredil? SeMiNeSanja je omenil nov Windows exploit. Kaj boš naredil s tem? Počakal da MS pokrpa SW. Je to tvoj incident response? Glede na to da ne vemo kaj nas obletava, sami dajemo veliko več poudarka na disaster recovery, zato da se ne zgodi disaster =)
@SeMiNeSanja
Če kupca ne varnost ne zanima in ne zadeva, je to njegov problem. Za kar moraš poskrbeti je, da si primerno pokrit. Če so Target obveščali o čudnem prometu oni pa niso ukrepali, tu ne moreš nič.
GDPR pa bo s kaznimi poskrbel, da bo tudi varnost postala pomembna tema in bo dobila nekaj denarja.
Zgodovina sprememb…
- spremenilo: jukoz ()
Dpool ::
Jukoz, nevem kaj mislis z buzzwords, ampak v SOC centrih so taka orodja tipicna (ce si targetiral EDR, NIDS, HIDS, Honeypots, VA,..) oz. bi morali imeti, se posebej ce nudis SOC kot storitev. Kaksen zero day lahko pride skozi AV zascito, ki preverja znane hashe signatur malwareov. Ampak naprednejsa orodja nadzorujejo tudi akcije kot je prozenje powershell.exe kadar se odpre excel.exe. To naceloma indicira da gre za malware in se blokira eksekucija takega ukaza (naprimer), ce pa ne, pa dobi SOC analitik alert v SIEM / SAO. Ce se je .exe (v tem primer) izvedel pa res sledi Incident Response, tako kot si omenil. Verjetno zajezitev infected hosta. Nato preverjanje ali se je okuzba razsirila po omrezju in zajezitev se tistih naprav. Nato pa se remediacija okuzenih sistemov.
Pri exploitu moras vedeti, da to pomeni izrabo ranljivosti v nekem sistemu. Ampak ti vseeno nekako moras deliverati taksen 'payload', da izkoristi ta bug / ranljivost. In za to v tej fazi ze zatres taksen poskus. Itak da se tudi zgodi, da ti to ne uspe, in ja potem se zacne spopad.
Skratka zelim povedati, da tipicni AV morda res niso dovolj dobri pri zaznavi.. ampak orodja, ki sem jih omenil, pa spremljajo dogajanja / obnasanja v okolju, kjer imajo deployano svoje agente. In v zgornjem primeru zagotovo blokirajo .exe, ki se sprozi preko makroja, kadar se excel zazene.
Pri exploitu moras vedeti, da to pomeni izrabo ranljivosti v nekem sistemu. Ampak ti vseeno nekako moras deliverati taksen 'payload', da izkoristi ta bug / ranljivost. In za to v tej fazi ze zatres taksen poskus. Itak da se tudi zgodi, da ti to ne uspe, in ja potem se zacne spopad.
Skratka zelim povedati, da tipicni AV morda res niso dovolj dobri pri zaznavi.. ampak orodja, ki sem jih omenil, pa spremljajo dogajanja / obnasanja v okolju, kjer imajo deployano svoje agente. In v zgornjem primeru zagotovo blokirajo .exe, ki se sprozi preko makroja, kadar se excel zazene.
jukoz ::
Lahko prosim podaš kakšen primer teh orodij? Ne ukvarjam se s ščitenjem desktop mašin in jih ne poznam.
Tac20 ::
Kaj pa Palo Alto traps, ki naj bi zaznavali sumljivo obnašanje, ter kot tako tudi zaznavali 0 day exploite? al je to vse bolj kot ne marketing... In verjetno to tudi javlja veliko false positives
Zgodovina sprememb…
- spremenilo: Tac20 ()
SeMiNeSanja ::
@Dpool - kar moti Jukoza so kratice, 'buzzwordi', ki sami za sebe ne povedo kaj dosti o tehnologiji, katera v resnici stoji izza njih.
Podobno imaš izraze kot 'Security Fabric', 'Intercept X', itd. itd., ki dejansko ne povedo popolnoma ničesar o tem, kaj tista 'zadeva' v resnici počne.
Sploh na področju firewall tehnologij se marketing skuša prekositi samega sebe z izumljanjem novih besed, ki ustvarjajo vtis, da se gre za nekaj hudo naprednega...pa čeprav mogoče v ozadju morda stoji nekaj, kar tudi približno ni 'hudo napredno'.
Kaj je EDR (Endpoint Detection and Response)? Že samo tu se prodaja od navadnega AV paketa, pa vse tja do rešitev, ki gredo v petmestne številke pri 100 uporabnikih in nikoli niso zares do konca implementirane, ker so preveč kompleksne za okolja, ki niso ranga 'enterprise'.
HIDS (Host Intrusion Detection) in EDR? Kaj ti bo HIDS, če imaš že EDR (razen če imaš tako slabega....?)
NIDS (Network Intrusion Detection)? SME ima polno kapo, če ima IPS na požarni pregradi in pametno segmentirano omrežje. Vse kar je več od tega je management nightmare za SME okolje.
Enterprise okolje mogoče meni, da rabi 'nekaj več'....ampak teško reči, kolikšna je dejanska korist, da en kup portov na switchih zrcališ, nanje navešaš senzorje,..... Po možnosti ti zadeva na koncu generira še en kup lažnih alarmov, da na koncu niti ne opaziš, ko se gre za res. Predvsem rabiš denar in kadre....
Podobno imaš izraze kot 'Security Fabric', 'Intercept X', itd. itd., ki dejansko ne povedo popolnoma ničesar o tem, kaj tista 'zadeva' v resnici počne.
Sploh na področju firewall tehnologij se marketing skuša prekositi samega sebe z izumljanjem novih besed, ki ustvarjajo vtis, da se gre za nekaj hudo naprednega...pa čeprav mogoče v ozadju morda stoji nekaj, kar tudi približno ni 'hudo napredno'.
Kaj je EDR (Endpoint Detection and Response)? Že samo tu se prodaja od navadnega AV paketa, pa vse tja do rešitev, ki gredo v petmestne številke pri 100 uporabnikih in nikoli niso zares do konca implementirane, ker so preveč kompleksne za okolja, ki niso ranga 'enterprise'.
HIDS (Host Intrusion Detection) in EDR? Kaj ti bo HIDS, če imaš že EDR (razen če imaš tako slabega....?)
NIDS (Network Intrusion Detection)? SME ima polno kapo, če ima IPS na požarni pregradi in pametno segmentirano omrežje. Vse kar je več od tega je management nightmare za SME okolje.
Enterprise okolje mogoče meni, da rabi 'nekaj več'....ampak teško reči, kolikšna je dejanska korist, da en kup portov na switchih zrcališ, nanje navešaš senzorje,..... Po možnosti ti zadeva na koncu generira še en kup lažnih alarmov, da na koncu niti ne opaziš, ko se gre za res. Predvsem rabiš denar in kadre....
mat xxl ::
Na žalost pa, vse te zaščite so vedno vprašljivo dobre, vedno je ? kako zelo, pa tudi če imaš več stopenjsko obrambo, na koncu, ko vse premelješ pri sebi, nekako veš, da je realno le ja imeti zaščite + ustrezne bakupe, ki pa morajo biti taki, da delujejo tudi ko ti eden od znotraj napade sisteme, npr. nezadovoljni uslužbenci..., in s tem živeti, pač če padejo zadeve kak dan, nas večina preživi, važno, da potem lahko restavriramo podatke nazaj.
Jasno pa banke in velike firme, ki si tega ne morejo privoščiti, se pa pač morajo temu primerno ščititi na povsem drugih nivojih, kot mi manjši.
Jasno pa banke in velike firme, ki si tega ne morejo privoščiti, se pa pač morajo temu primerno ščititi na povsem drugih nivojih, kot mi manjši.
SeMiNeSanja ::
Jasno pa banke in velike firme, ki si tega ne morejo privoščiti, se pa pač morajo temu primerno ščititi na povsem drugih nivojih, kot mi manjši.
Odvisno, koliko te stane izpad za en dan (da recimo naložiš OS + backup-e in vneseš izgubljene podatke, ki si jih vnašal po backup-u).
Pri tem izpad ni le 1/25 mesečnih prihodkov. Delavce moraš kljub temu plačati, čeprav vsaj pol dneva ne bodo mogli delati. Poleg delavca pa verjetno še ti skačeš tam okoli in je tako šel po gobe tudi tvoj dan. Če pa moraš plačati še kakšnega serviserja, pa itak veš, da ne bo nič zastonj naredil.
Potem pa zadeva še nek 'grenak priokus' pušča pri strankah, ki izvedo, da si imel 'incident'.
Res je, da se marsikdaj okuži le en računalnik (sploh če je uporabnik dovolj hiter in ga iztakne iz elektrike). Ampak sitnosti so definitivno tudi z enim računalnikom.
Dolgoročno se potem pogosto še izkaže, da so obstajale 'neke datoteke', ki so bile v 'neki drugi mapi' in se niso varnostno kopirale. Seveda lahko samo upaš, da niso življenjsko pomembne.
Tudi če 'incident' preživiš na idealen način (reinstall win+ posodabljanje+ restore.... 2 ure izgubljenega dela / PC)in nisi ničesar izgubil, je vse skupaj stres, ki bi se mu pogosto dalo izogniti.
Se mi pa zdi, da pri vas itak v glavnem sam prčkaš po škatlah in jih rihtaš kakor veš in znaš, malo za hobbi, malo za res. Mogoče se ti zato zdi, da si lažje 'privoščiš' kakšen neugoden dogodek na omrežju (da ne rečem incident).
Drugje za te reči 'vprežejo' pogodbenega vzdrževalca računalnikov, ki ima več pojma o sesanju/izpihovanju prahu iz PC-jev, kakor pa o cybersec-u. Mogoče še zna naložiti Windows, kakšen AV in backup programček, ampak tam se potem počasi tudi končuje znanost teh splošnih vzdrževalcev. Router ti bo znal priklopiti, ker je to počel doma....samo preveč v podrobnosti pa mogoče že ni več dobro drezat.
Zunaj naših meja se zato vse bolj uveljavljajo Managed Security Services ponudniki, ki prevzamejo ves ta varnostni del pod svojo skrb. Pogosto ti postavijo svoj firewall, katerega ti nudijo kot 'storitev' in ga imaš zgolj v najemu. Ti MSS ponudniki opremo (odvisno od ponudnika) nabavljajo po posebnih pogojih, ki so prilagojeni njihovemu modelu poslovanja in dejavnosti. V štartu za tako napravo plačajo drobiž v primerjavi s tem, kar bi ti plačal. Potem mesečno plačujejo licence, glede na to, kaj za ene storitve želiš imeti aktivirane. Vendar kot kupec s tem nimaš nič. Ti plačuješ 'upravljanje internetne varnosti', ostalo pa je stvar 'specialistov'.
Tako se izogneš raznim amaterjem, ki so diplomirali s sesalcem v računalniku in dobiš kolikor tolikor profesionalno pokritje varnosti, ne glede na majhnost svojega podjetja.
In JA - seveda ima to svojo ceno. Ko bi to lahko na veliko izobesil in se hvalil, tako kot z iPhone, Mac-om, službenim BMW,..... potem bi to vsi hoteli imeti. Ker pa se to nikjer ne vidi, je celo delo čistilke bolj 'nujno', kakor pa skrb za varnost omrežja.
.....dokler enkrat ne gre vse narobe....?
Ali pa še potem ne.
Eni so zelo rezistentni in resno dvomijo, da bi se NJIM lahko kaj takega zgodilo še enkrat.
Tako nekako kot jaz ne verjamem, da bom zadel šestico na lotu.
SeMiNeSanja ::
Kaj pa Palo Alto traps, ki naj bi zaznavali sumljivo obnašanje, ter kot tako tudi zaznavali 0 day exploite? al je to vse bolj kot ne marketing... In verjetno to tudi javlja veliko false positives
Vem kaj naj bi v principu počel TRAPS. Ne vem po koliko ti ga prodajajo pri nas - v Nemčiji ga plačaš slabih 100€/3 leta/odjemalca v cenovnem razredu A 200-999 uporabnikov.
Tako da ne vem, če je sploh na voljo za manj kot 200 uporabnikov.
Če malo kalkuliraš, pri 200 uporabnikih, te SAMO TRAPS licence stanejo 20.000€ (brez DDV).
Pri WatchGuardu dobiš za 12.000€ požarno pregrado M470 z vsemi razpoložljivimi varnostnimi storitvami IN 200 host sensor licencami za TDR, ki je njihova varianta EDR rešitve.
Razlika je predvsem v tem, da WatchGuard TDR ponuja tudi za najmanjše uporabnike, ki imajo le 5 računalnikov.
Kako v detajle deluje TRAPS in kako izgleda glede false positives ne morem reči. Verjetno se lahko pri kakšnemu njihovemu prodajalcu prijaviš za demo.
WatchGuard TDR uporabljam tudi sam in pravzaprav niti ne dela kaj dosti 'sitnosti' s false positives. Predvsem pa je to posledica, da se stvari ne jemljejo črno-belo. Vsak dogodek se rangira in dobi svojo oceno, na katero potem obesiš akcije za samodejno razrešitev dogodka.
Poleg tega si definiraš 'Cybercon' stopnjo ogroženosti. Kadar je splošna ogroženost nizka, se zadeve razrešujejo po drugačnih pravilih, kakor v primeru višje splošne ogroženosti. Normalno bi recimo dogodke 2. stopnje samo logiral, pri povišani splošni ogroženosti pa morda že zaustavil procese, ki so povezani s tem dogodkom.
Nekaj časa rabiš, da stuhtaš, kaj se najbolj obnese. Potem pa so zadeve dokaj 'neboleče'.
TDR je v bistvu nekdanji proizvod HawkEye G podjetja Hexis Cybersolutions, ki ga je WatchGuard kupil in predelal v 'Cloud' rešitev (prvotno je obstajal le kot on premise rešitev, za katero poganjat si že samo za HW zapravil celo premoženje). Cene licenc so se takrat pričele pri $120.000 za 1000 računalnikov, če kaj držijo navedbe starega NetworkWorld članka.
Mala in mikro podjetja so nekoč lahko zgolj sanjala o tovrstnih rešitvah, kar pa se je z oblačnimi storitvami postavilo precej na glavo.
Kakor vem, je tudi PaloAlto prišel do TRAPS preko nakupa podjetja Cyvera.
Dejstvo je, da tovrstne rešitve sodijo v portfolijo vsakega ponudnika Cybersec rešitev, če kaj nase da.
Problematično je le dostopnost tovrstnih rešitev končnim uporabnikom.
PaloAlto tu verjetno bolj meri na večje stranke z lastnimi IT oddelki, medtem ko WatchGuard v veliki meri računa na ponudnike upravljanja varnostnih storitev, ki tovrstne napredne storitve upravljajo v imenu manjših strank, ki ne premorejo osebja in znanja za kaj takega (kot npr. Nemški Telekom, ki WatchGuard rešitve ponuja v sklopu storitve "Business Network Protect").
DiDo ::
SeMiNeSanja je izjavil:
Enterprise okolje mogoče meni, da rabi 'nekaj več'....ampak teško reči, kolikšna je dejanska korist, da en kup portov na switchih zrcališ, nanje navešaš senzorje,..... Po možnosti ti zadeva na koncu generira še en kup lažnih alarmov, da na koncu niti ne opaziš, ko se gre za res. Predvsem rabiš denar in kadre....
Pozabil si na email security z ATDjem potem se pa za 90% firm v Sloveniji glede na finančne zmožnosti ustavi. Seveda v primeru, da bi res investirali v CyberSecurity.
Realnost v naši kokoški je takšna: Imamo Asus Router in ne rabimo NGFWja... [:))]
mat xxl ::
SeMiNeSanja, v osnovi imaš prav, samo vedno je tu ČE....., tvoj model bi bil popoln, ČE bi danes poznal vse varnostne luknje sistemov, protokolov.
Iz zgodovine pa pač vemo, da temu ni tako, mnogo firm bogato služi ravno z odkrivanjem le teh in ne odpravljanjem, pač pa prodaji dalje državam z velikimi proračuni....... ko vse to premelješ, je jasno, da popolne varnosti, kljub najemu takih specialnih zunanjih pogodbenikov ni......
Torej, važno, da si do nekega nivoja ščiten, naprej pa več sistemski bakupi in zavedanje, da ne bo konec sveta, če firma poklekne za nekaj dni, vsaj pri nas je tako. Ve pa vsak za sebe..... kaj in kako.
Iz zgodovine pa pač vemo, da temu ni tako, mnogo firm bogato služi ravno z odkrivanjem le teh in ne odpravljanjem, pač pa prodaji dalje državam z velikimi proračuni....... ko vse to premelješ, je jasno, da popolne varnosti, kljub najemu takih specialnih zunanjih pogodbenikov ni......
Torej, važno, da si do nekega nivoja ščiten, naprej pa več sistemski bakupi in zavedanje, da ne bo konec sveta, če firma poklekne za nekaj dni, vsaj pri nas je tako. Ve pa vsak za sebe..... kaj in kako.
SeMiNeSanja ::
SeMiNeSanja, v osnovi imaš prav, samo vedno je tu ČE....., tvoj model bi bil popoln, ČE bi danes poznal vse varnostne luknje sistemov, protokolov.
Iz zgodovine pa pač vemo, da temu ni tako, mnogo firm bogato služi ravno z odkrivanjem le teh in ne odpravljanjem, pač pa prodaji dalje državam z velikimi proračuni....... ko vse to premelješ, je jasno, da popolne varnosti, kljub najemu takih specialnih zunanjih pogodbenikov ni......
Torej, važno, da si do nekega nivoja ščiten, naprej pa več sistemski bakupi in zavedanje, da ne bo konec sveta, če firma poklekne za nekaj dni, vsaj pri nas je tako. Ve pa vsak za sebe..... kaj in kako.
Dokler ti nihče ne nabije sočne kazni za varnostni incident, se še lahko hecaš in zanašaš zgolj na backup.
Izpad poslovanja je tu še najmanjše zlo.
Tujina ima na tem področju precej bolj boleče primere, ki gredo celo tako daleč, da pravijo, da 60% SMB-jev v 6 mesecih po incidentu propade!
Celo kakšno veliko večje podjetje je incident uspel pokopati. Ali Ashley Madison še obstaja?
Ti se pač giblješ v sivi coni. Tako kot tisti, ki se pozimi poda na cesti z letnimi gumami, ki imajo še dovolj profila, da ne bo kar takoj dobil kazen. Saj gre....dokler ne začne padati sneg. Potem je pa tombola.
Seveda lahko tudi rečeš, da zimske gume niso garancija, da se ti ne more pripetiti nesreča. Ampak je to res sprejemljiv izgovor za vožnjo z letnimi gumami?
Poleg tega pa nikoli ne smeš pozabiti, da ne ogrožaš samo sebe.
Zaradi tvojega ignoriranja lahko preko tebe stakne okužbo katera od tvojih strank.
Potem pa upaj, da bo imela razumevanje, da po tvojem mnenju zgolj backup zadošča.
Načeloma, če uspe dokazati, da je dobila okuženi mail od tebe, se lahko začne tudi pravdati za odškodnino.
Če pa stranki nekaj vzdržuješ in ji preko omrežja kaj 'pošlješ', so pa lahko težave še večje.
Zagotovo pa izgubiš to stranko, z precej verjetnosti pa še kakšno.
Res ne vem, kdaj boste razumeli, da se s temi zadevami ni za zajebavat.
tiborrr ::
Veeam z urnikom + mehanski timer (vtikač) + zunanji USB/GB LAN disk z 220VAC napajanjem je precej rudimentalna, a efektivna rešitev, ki prepreči od virusa vsiljeno inicializacijo 'offline' diskov.
EDIT: To je seveda zadnja, robata linija obrambe, ki stane vsega par sto EUR (zavisi od velikosti diska). Pred tem pa brez dobrega firewalla in segmentirane mreže nimaš kaj.
EDIT: To je seveda zadnja, robata linija obrambe, ki stane vsega par sto EUR (zavisi od velikosti diska). Pred tem pa brez dobrega firewalla in segmentirane mreže nimaš kaj.
Don't test the captain's validity or his vulnerability!
Zgodovina sprememb…
- spremenil: tiborrr ()
SeMiNeSanja ::
Že že....samo vsi pozabljate eno grdo malenkost: izsiljevalski virusi niso edina grožja. Samo proti tem pa ti pomaga backup!
Drugače sem se ravno prej pogovarjal z nekom, ki dela v trgovskem podjetju s skladiščem in kakšnimi osmimi trgovinami. Imajo centralni strežnik z računovodskim programom in vse trgovine povezane nanj.
Predvidoma se delajo vsakodnevne varnostne kopije. Recimo da brezhibne.
Ampak recimo, da ob 12.30 nekaj 'zadane' server in zaklen vse skupaj.
Že res, da lahko povrnejo stanje od jutra, predenj so pričeli z delom.
Ampak kaj potem z transakcijami, ki so se zgodile do 12.30? Ali kdo shranjuje kopije blagajniških računov? Kaj pa uskladitev z davčno blagajno? Podrejo se zaloge, nastane cela štala, ki ti jo klasični backup ne bo rešil.
Ne, te stvari niso hec.
Drugače sem se ravno prej pogovarjal z nekom, ki dela v trgovskem podjetju s skladiščem in kakšnimi osmimi trgovinami. Imajo centralni strežnik z računovodskim programom in vse trgovine povezane nanj.
Predvidoma se delajo vsakodnevne varnostne kopije. Recimo da brezhibne.
Ampak recimo, da ob 12.30 nekaj 'zadane' server in zaklen vse skupaj.
Že res, da lahko povrnejo stanje od jutra, predenj so pričeli z delom.
Ampak kaj potem z transakcijami, ki so se zgodile do 12.30? Ali kdo shranjuje kopije blagajniških računov? Kaj pa uskladitev z davčno blagajno? Podrejo se zaloge, nastane cela štala, ki ti jo klasični backup ne bo rešil.
Ne, te stvari niso hec.
tiborrr ::
Malo za šalo, malo zares - v tem primeru plačaš tistega 0.1 bitcoina in upaš, da dobiš kodo za odklep :D
Don't test the captain's validity or his vulnerability!
jukoz ::
Ha ha, ta s timerjem mi je všeč. Ker nimam časa prebrat vsega bi samo prosil Dpool, da navede tista orodja za katera sem ga prosil.
mat xxl ::
SeMiNeSanja ima seveda veliko prav, mojega podjetja vseeno ne poznaš, dovolj dobro, da bi lahko sodil, viruse dobivam navadno ravno jaz od strank, pa tudi uglednih tujih dobaviteljev, ki so precej velike firme, vendar me še vsaj zaznavno ne niso uspeli okužiti.
Vsekakor vsak za sebe ve, koliko izpada si lahko privošči, žal mene veliko bolj, kot nek virus skrbi podtaknjen nezaznan back door, ravno zato, moram tudi v skladu z protokoli imeti določene zadeve na sistemu izven sistema, pa še to vse fizično varovano.
Je pa res na splošno varnostna kultura in zaščita na dokaj nizkem nivoju, ko pa podatki gredo pa jok.....
Sem sodeloval z nasveti pri odklepanju 2 firm brez bakupov z zaklenjenimi fajli, obe sta plačali, ena dobila podatke tudi nazaj, druga pa kljub plačilu NE.
Tako, da po toči zvoniti ne pomaga, moraš vsake toliko časa prav organizirati napad na lastno infrastrukturo in videti, do kam prideš.....
Se pa da tudi za ugodno ceno dobro urediti zaščito, ni nujno, da stane, recimo A1, ponuja, kar ugodne rešitve celo takim, ki so sicer pri konkurenci.
Vsekakor vsak za sebe ve, koliko izpada si lahko privošči, žal mene veliko bolj, kot nek virus skrbi podtaknjen nezaznan back door, ravno zato, moram tudi v skladu z protokoli imeti določene zadeve na sistemu izven sistema, pa še to vse fizično varovano.
Je pa res na splošno varnostna kultura in zaščita na dokaj nizkem nivoju, ko pa podatki gredo pa jok.....
Sem sodeloval z nasveti pri odklepanju 2 firm brez bakupov z zaklenjenimi fajli, obe sta plačali, ena dobila podatke tudi nazaj, druga pa kljub plačilu NE.
Tako, da po toči zvoniti ne pomaga, moraš vsake toliko časa prav organizirati napad na lastno infrastrukturo in videti, do kam prideš.....
Se pa da tudi za ugodno ceno dobro urediti zaščito, ni nujno, da stane, recimo A1, ponuja, kar ugodne rešitve celo takim, ki so sicer pri konkurenci.
SeMiNeSanja ::
Ne vem, kaj ti A1 ponuja in po kateri ceni.
Če nisi iz točno te 'niše' IT področja, te lahko hitro nategnejo, da ti ponujajo nevemkaj...
Ravno področje IT varnosti se je v zadnjih letih tako prepojilo z raznoraznimi buzzwordi in polresnicami, ki jih trosijo marketingarji, da si kot nepoznavalec že v štartu izgubljen. Potem pa samo še poslišaš sladke besede in obljube, ki ti iz žepa izvabijo tvoj denar, ti se pa pri tem še počutiš kot srečnež.
Z tehničnimi podrobnostmi se pa nihče noče kaj preveč ukvarjat. Na eni strani se prodajalci v tehniko eno figo zastopijo, povprečni SMB kupec pa še toliko manj.
Zato v tujini tako zelo cveti "Managed Security Services Provider" področje, ker samo še izbereš kateri ponudnik ti je všeč, potem pa lahko vtakneš glavo v pesek in se ne sprašuješ več, kaj on pravzaprav dela.
Kot povsod imaš tudi na tem področju bele in črne ovce. Kot vedno pa je največji problem, da ima marketing glavno besedo, ker se ljudje v tehnologijo ne zastopijo in večinoma sploh ne znajo ločiti kaj eden ali drugi ponudnik dejansko nudi.
Šment pa je, da lahko z nekaj sreče celo desetletje dobro furaš. Potem te pa enega dne nekdo naheca, da daj nekomu neodvisnemu izvesti penetracijski test.....
Marsikdo misli, kako ima stvari odlično poštimane, a žal nima tistega kančka dvoma, ki bi mu velel, da naj enkrat najame enega neodvisnega eksperta, da mu malo 'pretrese' omrežje, da bi se videlo, koliko gnilih jabolk bo padlo z vej.
Žal tak test ni zastonj, pa tudi ne pokaže celovite slike. Tudi ni vse samo v tehniki, dejansko bi moral še zaposlene podvreči 'testu znanja'.....da vidiš, če vsaj lastno varnostno politiko podjetja poznajo (kjer jo imajo) in kako dobro obvladajo splošne dobre prakse.
Kakorkoli obračaš, vedno znova se nekje loviš kot pes lastni rep....vrti se pa vse skupaj okoli besede ZNANJE.
Koliko smo dejansko odprti za osvajanje novih znanj? Ali imamo že vsega vrh glave in nam zmanjkuje časa, da bi se ukvarjali še s takimi 'bedarijami' kot je cybersecurity?
Koliko vas je v zadnjem letu zaprosilo za brezplačno neobvezujočo demonstracijo kakšne varnostne rešitve? Koliko se vas je udeležilo kakšne predstavitve varnostnih rešitev?
Dejansko še tiste brezplačne vire informacij, ki se vam ponujajo ne izkoristite, da bi malo razširili obzorje.
Jaz, čeprav sem 'prefarban v Watchguard barve' skušam izkoristiti vsako priložnost, ki se mi ponuja, da si grem pogledat tudi predstavitve konkurentov. Dejansko je to edina priložnost, da pogledaš še malo izza kulis nekih rešitev, da ne gledaš samo polakirane letake, ki izpostavljajo le svetle plati neke rešitve.
Na drugi strani pa se čudiš, kako hudo 'nezahtevni' so lahko uporabniki. Imaš občutek, da so povsem resignirali, ker so prepogosto slišali tisti 'to se pa ne da' in sploh ne rinejo več v kakšne resnejše zahteve, ko se gre za konfiguriranje varnostnih rešitev.
Če nisi iz točno te 'niše' IT področja, te lahko hitro nategnejo, da ti ponujajo nevemkaj...
Ravno področje IT varnosti se je v zadnjih letih tako prepojilo z raznoraznimi buzzwordi in polresnicami, ki jih trosijo marketingarji, da si kot nepoznavalec že v štartu izgubljen. Potem pa samo še poslišaš sladke besede in obljube, ki ti iz žepa izvabijo tvoj denar, ti se pa pri tem še počutiš kot srečnež.
Z tehničnimi podrobnostmi se pa nihče noče kaj preveč ukvarjat. Na eni strani se prodajalci v tehniko eno figo zastopijo, povprečni SMB kupec pa še toliko manj.
Zato v tujini tako zelo cveti "Managed Security Services Provider" področje, ker samo še izbereš kateri ponudnik ti je všeč, potem pa lahko vtakneš glavo v pesek in se ne sprašuješ več, kaj on pravzaprav dela.
Kot povsod imaš tudi na tem področju bele in črne ovce. Kot vedno pa je največji problem, da ima marketing glavno besedo, ker se ljudje v tehnologijo ne zastopijo in večinoma sploh ne znajo ločiti kaj eden ali drugi ponudnik dejansko nudi.
Šment pa je, da lahko z nekaj sreče celo desetletje dobro furaš. Potem te pa enega dne nekdo naheca, da daj nekomu neodvisnemu izvesti penetracijski test.....
Marsikdo misli, kako ima stvari odlično poštimane, a žal nima tistega kančka dvoma, ki bi mu velel, da naj enkrat najame enega neodvisnega eksperta, da mu malo 'pretrese' omrežje, da bi se videlo, koliko gnilih jabolk bo padlo z vej.
Žal tak test ni zastonj, pa tudi ne pokaže celovite slike. Tudi ni vse samo v tehniki, dejansko bi moral še zaposlene podvreči 'testu znanja'.....da vidiš, če vsaj lastno varnostno politiko podjetja poznajo (kjer jo imajo) in kako dobro obvladajo splošne dobre prakse.
Kakorkoli obračaš, vedno znova se nekje loviš kot pes lastni rep....vrti se pa vse skupaj okoli besede ZNANJE.
Koliko smo dejansko odprti za osvajanje novih znanj? Ali imamo že vsega vrh glave in nam zmanjkuje časa, da bi se ukvarjali še s takimi 'bedarijami' kot je cybersecurity?
Koliko vas je v zadnjem letu zaprosilo za brezplačno neobvezujočo demonstracijo kakšne varnostne rešitve? Koliko se vas je udeležilo kakšne predstavitve varnostnih rešitev?
Dejansko še tiste brezplačne vire informacij, ki se vam ponujajo ne izkoristite, da bi malo razširili obzorje.
Jaz, čeprav sem 'prefarban v Watchguard barve' skušam izkoristiti vsako priložnost, ki se mi ponuja, da si grem pogledat tudi predstavitve konkurentov. Dejansko je to edina priložnost, da pogledaš še malo izza kulis nekih rešitev, da ne gledaš samo polakirane letake, ki izpostavljajo le svetle plati neke rešitve.
Na drugi strani pa se čudiš, kako hudo 'nezahtevni' so lahko uporabniki. Imaš občutek, da so povsem resignirali, ker so prepogosto slišali tisti 'to se pa ne da' in sploh ne rinejo več v kakšne resnejše zahteve, ko se gre za konfiguriranje varnostnih rešitev.
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
jukoz ::
Dpool, a lahko prosim navedeš tista orodja za EDR, NIDS, HIDS, Honeypots, VA..., ki jih lahko uporabiš na desktop mašinah.
A_A ::
SeMiNeSanja ::
V SOCu, ja.
SOC = Serbian Orthodox Church
Ali izraz "Nadzorni Center" res ni dovolj imeniten? Ali resnično rabimo to zmešnjavo okrajšav?
crniangeo ::
Ker soc? Ibm/ts al kje drugje? :)
Convictions are more dangerous foes of truth than lies.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | windows defenderOddelek: Pomoč in nasveti | 1082 (733) | SeMiNeSanja |
» | Backdoor-i v Cisco (in drugih) napravah (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 31329 (26175) | jukoz |
» | PFsense vs Sonic Wall (strani: 1 2 )Oddelek: Informacijska varnost | 18347 (14998) | Blisk |
» | Zamenjava za Cisco 1600 routerOddelek: Omrežja in internet | 6084 (5351) | deadbeef |
» | Locky Virus (strani: 1 2 )Oddelek: Informacijska varnost | 27809 (24825) | Manna |