У мене питають як ми вираховуємо заражені компи в мережі? Вони ж ховають заражений трафік у незараженому. Та дуже просто, ми підключаємо наші роутери до системи стеження за подіями (SIEM).
Коротко як все це працює
Система вираховує який комп передавав зловмисний трафік на заражений сайт (інколи це сайт наших) і сповіщає кіберів. Чи можна так не робити? Звичайно ж можна, а от чому ми це робимо - розказую з реального кейса:Підключаємо нову інфраструктуру, вона розташована в звичайному гуртожитку. 16 комп'ютерів з внутрішньою мережею. Вже інфраструктура прокладена, тільки підключити і встановити. Бачу що в мережі отруєння. Не впарше, розкриваю що там і в мене все падає - нас просто підключили до мережі 255.255.240.0! Тобто адміністратор приміщення зробив єдину мережу під 4094 одночасних користувачів і жодного розділення трафіку між ними.
Будь який мамкін хакер може отримати розшарену інформацію. Наче повернувся в 2004 в часи DC++, а себе відчув адміном ігровухи по 1 грн/год))
Старі добрі часи, добре що вони скінчились)
Рішення просте: мікрот в бле́кадному Києві, укрпошта, siem система, налаштовуємо, все що ззовні - їх проблеми, у нас своя закрита пісочниця. Можна спокійно працювати всередині мережі і не боятись за конфіденційність інформації і перевірки.
Поширити цей допис
Цитувати допис
Вибір формату цитування
Цей допис поки що не має жодних доповнень від автора/ки.
