Köszi! Ezek szerint akkor a hálózaton több gép között is lehet korrelációt megállapítani, mondjuk ha megfertőzött 3 gépet ugyanaz a malware, akkor a tünetek hasonlóak lesznek.
Információbiztonság, kiberbiztonság, adatvédelem - Infotech fórum
hozzászólások
Igen, de az első tünetek lehetnek mások, pl. ha SMB V1-en keresztül van lateral movement.
Ezért fontos a több szintű, mélységi védelem. Egy endpoint AV önmagában nem képes átlátni a több eszközt érintő támadást, sőt, a hálozaton létező malware-eket sem.
[ Szerkesztve ]
A lateral movement az micsoda? Volt róla szó már érintőlegesen, de annyi új dolog van most, hogy nehéz most követni.
Amikor a támadó (ember vagy szoftver) az egyik rendszerről a másikra megy át.
Itt egy írás, amiben minden, akkori alaptechnikát bevetett az Anonymous: https://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack/2/
RoyalFlush
(őstag)
Eltudtok olyat képzelni, hogy egy gyártó terméke mondjuk véletlenül tévesen jelezne csatlakozási kísérletet egy eszközhöz, mondjuk azért, hogy előfizessen rá az ember vagy meghosszabbítsa a meglévő előfizetését? - Én el... Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.
[ Szerkesztve ]
Azt gondolom, hogy a választ mindenféleképpen ketté kell bontani.
1. A false positive riasztások a legnagyobb probléma minden monitorozó rendszerben, mert a túl sok ilyen túlterheli a staffot.
2. Ha szándékosan van ilyen, az valószínűleg törvénytelen, ebben az esetben a megfelelő szerveknél ezt jelezni kell.
Kicsit visszatértem ehhez a hsz-hez.
A Burp Suite-ból van ingyenes community edition, aminek a licence biztosítja, hogy cégen belül használd.
RoyalFlush
(őstag)
Köszönöm! Napi 200 feletti esetszám, de a router behatolásvédelme szerint semmi, azaz nulla.
Ez lehet beállítási hiba is a routeren. Láttam olyan Cisco ASA eszközt, ami nem riasztott, amikor kellett volna, mert csak a VPN hálózatot figyelte.
Itt a lényeg az lenne, hogy megvizsgáld, hogy mi váltotta ki a riasztást, és ha fals pozitívnak ítéled, akkor fel kell venni szabályt rá, hogy legközelebb ilyen esetben ne riasszon. Viszont itt azért elég alaposnak kell lenni, mert ha benézed, akkor a támadó a szabály felvétele után feltűnés nélkül csinálhatja tovább a dolgait. Szóval egy kicsit kétélű fegyver. Nekem az jött le, hogy érdemes egyszerre többféle szoftverrel figyelni a hálózatot, és az alapján talán könnyebb eldönteni, hogy mi a fals pozitív és mi nem az, mert eleve több információ áll rendelkezésre.
Na ezt jó tudni, majd ránézek.
SyslogNG-t ismered? Lenne néhány alap kérdésem vele kapcsolatban.
[ Szerkesztve ]
Elvileg valami magyar log rendszer. Megkérdem akkor majd a fejlesztőit, csak attól tartok RTFM lesz belőle.
Black Hills Infosec: Sacred Cash Cow Tipping 2021 w/ John Strand & Testers (1-Hour) Thu, Feb 11, 2021 7:00 PM - 8:00 PM CET +/- 1 óra a téli időszámítás miatt [link]
[ Szerkesztve ]