Cała oryginalna treść jest tworzona po ukraińsku. Nie wszystkie treści zostały jeszcze przetłumaczone. Niektóre posty mogą być dostępne tylko po ukraińsku.Dowiedz się więcej
У мене питають як ми вираховуємо заражені компи в мережі? Вони ж ховають заражений трафік у незараженому. Та дуже просто, ми підключаємо наші роутери до системи стеження за подіями (SIEM).
Коротко як все це працює
Система вираховує який комп передавав зловмисний трафік на заражений сайт (інколи це сайт наших) і сповіщає кіберів. Чи можна так не робити? Звичайно ж можна, а от чому ми це робимо - розказую з реального кейса:Підключаємо нову інфраструктуру, вона розташована в звичайному гуртожитку. 16 комп'ютерів з внутрішньою мережею. Вже інфраструктура прокладена, тільки підключити і встановити. Бачу що в мережі отруєння. Не впарше, розкриваю що там і в мене все падає - нас просто підключили до мережі 255.255.240.0! Тобто адміністратор приміщення зробив єдину мережу під 4094 одночасних користувачів і жодного розділення трафіку між ними.
Будь який мамкін хакер може отримати розшарену інформацію. Наче повернувся в 2004 в часи DC++, а себе відчув адміном ігровухи по 1 грн/год))
Старі добрі часи, добре що вони скінчились)
Рішення просте: мікрот в бле́кадному Києві, укрпошта, siem система, налаштовуємо, все що ззовні - їх проблеми, у нас своя закрита пісочниця. Можна спокійно працювати всередині мережі і не боятись за конфіденційність інформації і перевірки.
Udostępnij ten post
Cytuj post
Wybierz i skopiuj wymagany standard cytowania:
Ten post nie ma jeszcze żadnych dodatków od autora.
