Z
я раз в определенный срок сканирую весь пулл адресов внутренних на наличие ms17-010 и мне каждый раз есть о чем сказать админам)
Size: a a a
2018 June 07
Z
тоже самое с ссш серверами, рдп и тд
NK
Лучше автоматически в режиме близком к реальному, или периодически в полуручном режиме если нет возможности.
Z
не эффективно
Z
только пентест
Z
стоят эти автоматические средства, шаблоные бездушные машины))
L
ID:339250091
А вот это и есть "творческое дело" . И бессмысленно задавать вопрос "как?". Даже борщ никто не варит по рецепту из кулинарной книги. Нельзя построить абстрактный SOC без конкретной инфраструктуры конкретного бизнеса. Это все равно, что спроектировать систему пожарной сигнализации в здании площадью 20000 квадратных метров, когда ничего, кроме площади здания, вам неизвестно.
Полностью согласен, каждый soc строится под свои задачи
Z
вот пример сегодняшнего дня, ковырнул скуд российского производства, в скуде 2 переполнения буфера. Если злоумышленик будет знать о наличии этого скуда у нас - он одним пост запросом положит его и здрасте приехали
Z
в пост запросе не будет ровным счетом ничего, что могло бы детектится средствами защиты или корреляциями
v
только пентест
Вот что точно имеет в итоге низкую эффективность так это пентесты. Через нас в месяц их десяток проходит. Пентестер должен проникнуть в инфраструктуру найдя любой из возможных векторов. Причем статистика успешных пентестов год от года не меняется и крутиться около 100%. То есть мы всегда находим слабые места. Но вот только нет задачи найти все слабые места или самые слабые места и т.д. то есть пентест это экзамен вашей ИБ. Но никак не средство которое радикально увеличивает защищённость. Не надо путать с анализом защищённости, потому как нет попытки найти все уязвимости. Конечно сейчас выйдут те которые скажут у меня ничего нет уязвимого и вообще все здорово. Но давайте будем честны в среднем по палате это не так. И уязвимостей дофига , если до сих пор мы находим 17-010 значит других не столь шумных будет сотни. И заниматься надо полноценным процессом управления уязвимостями, и пентест в этом процессе вишенка но никак не эффективная основа
Z
Вот что точно имеет в итоге низкую эффективность так это пентесты. Через нас в месяц их десяток проходит. Пентестер должен проникнуть в инфраструктуру найдя любой из возможных векторов. Причем статистика успешных пентестов год от года не меняется и крутиться около 100%. То есть мы всегда находим слабые места. Но вот только нет задачи найти все слабые места или самые слабые места и т.д. то есть пентест это экзамен вашей ИБ. Но никак не средство которое радикально увеличивает защищённость. Не надо путать с анализом защищённости, потому как нет попытки найти все уязвимости. Конечно сейчас выйдут те которые скажут у меня ничего нет уязвимого и вообще все здорово. Но давайте будем честны в среднем по палате это не так. И уязвимостей дофига , если до сих пор мы находим 17-010 значит других не столь шумных будет сотни. И заниматься надо полноценным процессом управления уязвимостями, и пентест в этом процессе вишенка но никак не эффективная основа
мы занимаемся поиском всех
Z
т.е. я не ищу точку входа
Z
я ищу весь скоп
Z
у меня ситуация немножко иная, я действую как внутренний-внешний нарушитель
Z
много много офисов в одной большой сети
Z
и я в роли того кто подключился к сети
NK
в пост запросе не будет ровным счетом ничего, что могло бы детектится средствами защиты или корреляциями
Если говорить про rce , то будет если будет развитие атаки то можно пытаться ловить на этих этапах по признакам . т.е идём по этапам цепочки.
Z
ID:568590497
Если говорить про rce , то будет если будет развитие атаки то можно пытаться ловить на этих этапах по признакам . т.е идём по этапам цепочки.
а если ddos - то нет)
v
ID:568590497
Если говорить про rce , то будет если будет развитие атаки то можно пытаться ловить на этих этапах по признакам . т.е идём по этапам цепочки.
Скуд это тот же асутп, хорошо поддается профилированнию . Особенно трафика.