T
А мнение насчет иоков общее сформировалось? Даже на примере нашей фуры... вот я организация, чем меня спасут иоки вашей организации, если я попал под апт?
Мне так не кажется.
А реагировать на тех от кого я не помню тем для обсуждения… ну такое
Size: a a a
2021 August 25
$
Устраивай)
T
Я тоже много думал про иоки и старался читать исследования николая... но сейчас вижу это так: если по всем ударил один и тот же вредонос, то я могу его увидеть через общие иоки... но если это что-то широкое, то не должно ли оно быть остановлено в зародыше?
$
Возможно тем, что вы узнаете тех кто увёл у вас. Или распознаете на момент кражи(есть видео с распознаванием лиц). Или один из них проходит через вашу проходную
T
Мне не понравилась аналогия с фурами, тк отпечатки пальцев смотрят уже после факта... а не проверяют заранее
T
Фото больше похоже на правду
$
На проходной вход по пальцу. Группа использует инсайдера, устраивая его на работу в организацию перед хищением
T
Но опять же, если это апт, то людей поменять несложно, тогда иоки на вашей краже крайне маловероятны для меня
T
Если же это условно обычные мошенники, то их надо откидывать здравым смыслом (мое сообщение про обычные сзи)
$
Людей в городе конечное количество, но да, справедливо
T
Итого: от апт иоки не спасут, а в случае масштабного бедствия они скорее всего придут уже поздно
$
А в сзи хэши не процессами ti попадают в том числе?)
T
Скажем так: если есть условный кпсн, то мне, как заказчику, неважно, откуда там появятся хэши.. и в целом я верю, что каспер добавит их без моего мониторинга твиттера
T
Я для себя сыормулировал парадигму локальных иоков.. выглядит так: есть адрес с которого я видел подозрительную активность... если потом с этого адреса произошло что-то успешное, то на это стоит обратить внимание
$
Спорное утверждение.
И от апт спасают и от массовости. Как и наоборот.
И от апт спасают и от массовости. Как и наоборот.
T
Я могу ошибаться, поэтому и включился в диалог
$
А вот тут я уже согласен
T
Спасибо)
$
Да было бы за что.
Наличие собственного ti подразделения это очень дорого и не особо целесообразно в большинстве организаций.
Ровно как и in-house SOC :)
Наличие собственного ti подразделения это очень дорого и не особо целесообразно в большинстве организаций.
Ровно как и in-house SOC :)