Pull to refresh

Comments 6

что делать, если зловред уже сидит на диске и ждёт своего часа? как его выявить?
Это может сделать ботнет-детектор, если зловред «постучится» на командный сервер, который есть в базах. Но, конечно, это не 100% метод. Тут нужен комплекс средств, включающий анализ трафика и процессов на рабочих станциях.

По сути, такие системы идеально работают, когда атакующий ничего не знает об инфраструктуре, в которую лезет. Это выглядит очень здорово в случае случайных атак. Но вот в случае направленных… Тут хотелось бы узнать, что о таких системах говорят практики с "той" стороны. :) Если атака направленная, это обычно подразумевает некую подготовку к ней. Допустим, хакер знает, что в инфраструктуре может стоять подобная штука. На мой (не самый подготовленный, впрочем) взгляд, любой инсайд (информация о реальных именах хостов, с которыми пользователи общаются, например) эффективность если не совсем сводит на нет, то крайне ослабляет. Или, скажем, вектор атаки типа "важное письмо из налоговой". Компрометируется пользовательский ПК (в более тяжелом случае терминальный сервер), некоторое время мониторится реальная активность — какие тут могут быть проблемы отличить реальную активность пользователя от фейковых токенов?

Совершенно верно, если у злоумышленника будет достоверная и актуальная информация о структуре сети, то такие решения его не остановят. Но в реальной жизни такое бывает редко, так как требует или активного участия в атаке технического инсайдера, или, как минимум, предварительного сговора с ним. Для атакующей стороны это повышает риск успешной деанонимизации.
Что касается анализа поведения — тоже верно. Но не все токены одинаково бесполезны в таком случае:) Например, доп.записи и комментарии в hosts файле, которые будут вести куда то на «бекап» сервер (куда по логике не ходят каждый день), фейковые сервисные учетки, которыми тоже каждый день не пользуются, будут вполне себе успешно работать против такого осторожного злоумышленника.

1.Какая средняя стоимость решения.


  1. Сейчас модно атаковать средства защиты. Тут у нас постоянно торчат порты куда-то. Что у данного средства реализованно по части самозащиты?
1. Решение лицензируются по количеству подключённых vlan-ов. Поэтому нет такого понятия как средняя цена. Но мы, конечно же, можем перейти в личную переписку, обменяться контактными данными и сделать квоту под конкретный проект.

2. Хороший вопрос. И консоль управления, и TSA сами по себе тоже являются специфическиии ловушками. Поэтому любое обращение к ним за рамками штатного функционала вызывает сработку и оповещение.
Ну и, само собой, трафик шифруется, audit log тоже присутствует.
Sign up to leave a comment.