Köszi! Ezek szerint akkor a hálózaton több gép között is lehet korrelációt megállapítani, mondjuk ha megfertőzött 3 gépet ugyanaz a malware, akkor a tünetek hasonlóak lesznek.

Igen, de az első tünetek lehetnek mások, pl. ha SMB V1-en keresztül van lateral movement.

Ezért fontos a több szintű, mélységi védelem. Egy endpoint AV önmagában nem képes átlátni a több eszközt érintő támadást, sőt, a hálozaton létező malware-eket sem.

[ Szerkesztve ]

A lateral movement az micsoda? Volt róla szó már érintőlegesen, de annyi új dolog van most, hogy nehéz most követni.

Amikor a támadó (ember vagy szoftver) az egyik rendszerről a másikra megy át.

Itt egy írás, amiben minden, akkori alaptechnikát bevetett az Anonymous: https://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack/2/

Köszi! Mindjárt elolvasom.

Eltudtok olyat képzelni, hogy egy gyártó terméke mondjuk véletlenül tévesen jelezne csatlakozási kísérletet egy eszközhöz, mondjuk azért, hogy előfizessen rá az ember vagy meghosszabbítsa a meglévő előfizetését? - Én el... Csak amiatt írom mindezt válaszban erre a hozzászólásra, mert meg lett említve benne.

[ Szerkesztve ]

Azt gondolom, hogy a választ mindenféleképpen ketté kell bontani.

1. A false positive riasztások a legnagyobb probléma minden monitorozó rendszerben, mert a túl sok ilyen túlterheli a staffot.
2. Ha szándékosan van ilyen, az valószínűleg törvénytelen, ebben az esetben a megfelelő szerveknél ezt jelezni kell.

Kicsit visszatértem ehhez a hsz-hez.

A Burp Suite-ból van ingyenes community edition, aminek a licence biztosítja, hogy cégen belül használd.

Köszönöm! Napi 200 feletti esetszám, de a router behatolásvédelme szerint semmi, azaz nulla.

Ez lehet beállítási hiba is a routeren. Láttam olyan Cisco ASA eszközt, ami nem riasztott, amikor kellett volna, mert csak a VPN hálózatot figyelte.

Itt a lényeg az lenne, hogy megvizsgáld, hogy mi váltotta ki a riasztást, és ha fals pozitívnak ítéled, akkor fel kell venni szabályt rá, hogy legközelebb ilyen esetben ne riasszon. Viszont itt azért elég alaposnak kell lenni, mert ha benézed, akkor a támadó a szabály felvétele után feltűnés nélkül csinálhatja tovább a dolgait. Szóval egy kicsit kétélű fegyver. Nekem az jött le, hogy érdemes egyszerre többféle szoftverrel figyelni a hálózatot, és az alapján talán könnyebb eldönteni, hogy mi a fals pozitív és mi nem az, mert eleve több információ áll rendelkezésre.

Na ezt jó tudni, majd ránézek.

SyslogNG-t ismered? Lenne néhány alap kérdésem vele kapcsolatban.

[ Szerkesztve ]

Nocsak, micsoda topic. Lehet hogy itt a helyem?

Egyértelmű. :-)

Egészen biztosan

Nem, sosem használtam.

Elvileg valami magyar log rendszer. Megkérdem akkor majd a fejlesztőit, csak attól tartok RTFM lesz belőle.

Black Hills Infosec: Sacred Cash Cow Tipping 2021 w/ John Strand & Testers (1-Hour) Thu, Feb 11, 2021 7:00 PM - 8:00 PM CET +/- 1 óra a téli időszámítás miatt [link]

[ Szerkesztve ]

Bakker...
Pythonban írt kb 10 soros keyloggert VT-re feltöltve összesen 10 engine detektálja...
Még meglepőbb, hogy olyanok, mint Crowdstrike, Cylance, FireEye nem...