RI
Andrei Potseluev
Вы зачем идеи регуляторам подаёте? 😏
А это давным давно в радужных книгах было. Сейчас, боюсь, и этот способ достаточно легко обойти
Size: a a a
2020 September 02
2020 September 03
BB
Ruslan Ivanov
В одном очень известном американском банке этот вопрос был решён кардинально - стоял матричный широкоформатный принтер Epson с огромным рулоном бумаги и печатал логи вместе с контрольными суммами. Приходили аудиторы, выборочно сверяли.
Грета на вилы поднимет
m
Грета на вилы поднимет
К счастью с началом короны её мнение потеряло какое-либо значение
K
Ruslan Ivanov
В одном очень известном американском банке этот вопрос был решён кардинально - стоял матричный широкоформатный принтер Epson с огромным рулоном бумаги и печатал логи вместе с контрольными суммами. Приходили аудиторы, выборочно сверяли.
Дада, в одной очень известной компании тоже проверяли: https://medium.com/@ivlad/%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F-%D0%BF%D1%80%D0%BE-%D0%BB%D0%BE%D0%B3%D0%B8-63dbe37fd50c
A
Дада, в одной очень известной компании тоже проверяли: https://medium.com/@ivlad/%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F-%D0%BF%D1%80%D0%BE-%D0%BB%D0%BE%D0%B3%D0%B8-63dbe37fd50c
Это золото!!!
RI
Дада, в одной очень известной компании тоже проверяли: https://medium.com/@ivlad/%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F-%D0%BF%D1%80%D0%BE-%D0%BB%D0%BE%D0%B3%D0%B8-63dbe37fd50c
Нет, это другой случай, но забавно, да
DP
Всем привет.
Есть вопрос по мониторингу самого sysmon нативными средствами винды: достаточно ли следить за событиями завершения процесса и изменением значения ключа реестра с конфигом? Ну и unload driver.
Или есть еще какие-то полезные хитрости?
Есть вопрос по мониторингу самого sysmon нативными средствами винды: достаточно ли следить за событиями завершения процесса и изменением значения ключа реестра с конфигом? Ну и unload driver.
Или есть еще какие-то полезные хитрости?
RI
Угрозу подмену сообщений от него не рассматриваете, как сложную к реализации?
DP
Пока нет. Честно, и написанное выше при полной компрометации системы таксе защита. Скорее какие-то базовые мастхэв.
DP
Если есть какая-то экспертиза, которой можно открыто поделиться - с радостью послушаю
A
имеет смысл мониторить состояние ETW вообще, вероятно. Если речь идет о data fidelity / data integrity
DP
речь идет о конкретном сценарии вырубания средств мониторинга при компрометации системы, в данном случае о сисмоне
DP
как-то все печально там на самом деле
RI
как-то все печально там на самом деле
Quis custodiet ipsos custodes?
DP
ну типа того)
RI
речь идет о конкретном сценарии вырубания средств мониторинга при компрометации системы, в данном случае о сисмоне
Ну можно такое событие воспринимать как один из факторов компрометации, но нужно проверять что машина не выключена, активна, а средства безопасности не работоспособны. Zero Trust в полный рост
DP
да если б так просто было.
это событие еще надо получить.
просто мониторить отсутствие ивентов от сисмона у пока нет идей как, триггер на такое я не сделаю, фолзить постоянно будет.
это событие еще надо получить.
просто мониторить отсутствие ивентов от сисмона у пока нет идей как, триггер на такое я не сделаю, фолзить постоянно будет.
RI
Может проще EDR взять?
DP
Я передам слова бизнесу) Опять.
RI
Ну потому что в итоге это закончится написанием обёртки вокруг сисмона равной по функционалу EDR, только хуже