RA
Ruslan Ivanov
мы анализируем порядка полутора миллионов сейчас. Problems, officer?
Сэмплов в день. Ок. Но это же WW цифры
Size: a a a
2019 November 19
A
Сэмплов в день. Ок. Но это же WW цифры
Щас не очень понятно было. Это в стиле ибэмэ отмазка или уже рогатая? :О)))
VB
Ruslan Ivanov
мы анализируем порядка полутора миллионов сейчас. Problems, officer?
А на выходе, как у сбера - единица? :)))
SM
Каждый день 60к сэмплов даже кетайцы по заветам аджайл не напишут
«И различных индикаторов компрометации»
RI
А на выходе, как у сбера - единица? :)))
А на выходе - крупнейший на планете центр глобальной репутации.
A
А на выходе, как у сбера - единица? :)))
Сравнили сбер с сиско. Кто-то обрадовался, кто-то оскорбился
SM
Ruslan Ivanov
мы анализируем порядка полутора миллионов сейчас. Problems, officer?
Ну да, никто же не говорит «уникальных» ;)
K
Ну да, никто же не говорит «уникальных» ;)
еще не понятно про какой промежуток времени речь :)
SM
еще не понятно про какой промежуток времени речь :)
Вроде ежедневно ;)
K
Вроде ежедневно ;)
пардон, не обратил внимание
VB
Ruslan Ivanov
А на выходе - крупнейший на планете центр глобальной репутации.
как сегодня на форуме сказали - у нас свой путь :)
RI
Ну да, никто же не говорит «уникальных» ;)
Новых, т.е. отсутствующих в базе.
P
вот тут хорошие примеры разницы, думаю ты поймешь
https://docs.zeek.org/en/stable/examples/ids/index.html
https://docs.zeek.org/en/stable/examples/ids/index.html
Кстати, а сурикатой не получится написать детект брутфорса?
RI
как сегодня на форуме сказали - у нас свой путь :)
Ну да, соответствуем общему тренду отказу от глобализации и переходу к модели региональных центров силы 😉
SM
Ruslan Ivanov
Новых, т.е. отсутствующих в базе.
жертвы обфускации или реально уникальные?
RI
Реально уникальные. Понятное дело, что далеко не все на выходе являются вредоносами, но многие - таки да. Есть же огромное количество техник обфускации, упаковщиков и т.д.
SM
если уникальные, то не иначе инопланетяне атакуют
RI
Берём известное семейство вредоносов, конструируем свою нагрузку, упаковываем, обфусцируем так, чтобы не детектилось на VT и в песочнице потенциальной жертвы = новый сэмпл. Технически он новый, хотя и относится к известному семейтву или создан на его базе (на примере Кобальта того же)
RI
Есть даже специальные сервисы, которые проверяют как детектится вредонос, стейджинг заражения делают и т.д.
RI
Именно поэтому Владимир Дрюков и сетовал на неэффективность песочниц. Да, они что-то ловят. Но далеко не всё, и далеко не всё в автомате.