Заголовок абсолютно корректный и отражает суть проделанной работы и используемых технологий — использование только SPLT (частотно-временные характеристики размеров пакетов), BD/BE (побайтное распределение/энтропия) для многих семейств вредоносов уже даёт точность порядка 70% и выше.
Общее представление о точности той или иной комбинации можно посмотреть тут (первая колонка — точность обнаружения, вторая — инвертированный false detect rate, для получения привычной частоты ложных срабатываний обоих родов вычтите из 100% цифру из второй колонки):
Это доводно точный (дословный) перевод записи в блоге Talos. Технически, да, всё именно так — файлы шифруются AES, ключи AES закрываются RSA 2048. В любом случае, без знания приватного ключа мы не можем расшифровать данные, что гарантированно их делает недоступными.
Есть целый поток на глобальных Cisco конференциях — Cisco Live, он так и называется, Cisco on Cisco. Наши коллеги из IT на нём и делятся опытом эксплуатации.
28 слайд http://www.cisco.com/assets/global/RU/events/cisco-connect/presentation/kon1/18/18_00_19_00.pdf
Авторизация endpoint укладывается в разумные рамки даже для самых дальних офисов. Равно как и аутентификация (как показывает опыт, беспроводные клиенты более толерантны к задержкам, чем проводные).
Матрица безопасности относительно небольшая — несколько десятков групп пользователей и около двух десятков ресурсов. Уж чего чего, а меток — более чем достаточно ;)
Проще всего посмотреть мою презентацию с прошлогоднего Cisco Connect — ответы на большинство вопросов там даны.
Если коротко — есть две независимые сети, гостевая (Cisco ION — Internet Only Network) и сеть для сотрудников. Это два независимых кластера ISE. Оба развёрнуты глобально. Политики отличаются.
Вы не поверите (с) www.zakonrf.info/uk/274/
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
[Уголовный кодекс РФ] [Глава 28] [Статья 274]
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, — наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, — наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
Я думаю, что Андрей имел в виду следующее: риски снижаются у компании, которая защищается.
Уменьшаются они потому, что мы снижаем вероятность реализации данной угрозы путём увеличения сложности её реализации и повышаем вероятность вовремя её обнаружить и предотвратить.
Общее представление о точности той или иной комбинации можно посмотреть тут (первая колонка — точность обнаружения, вторая — инвертированный false detect rate, для получения привычной частоты ложных срабатываний обоих родов вычтите из 100% цифру из второй колонки):
и эталонная реализация в рамках Open DayLight — https://wiki.opendaylight.org/view/SXP:Main
Исходники доступны здесь: https://github.com/opendaylight/sxp
Авторизация endpoint укладывается в разумные рамки даже для самых дальних офисов. Равно как и аутентификация (как показывает опыт, беспроводные клиенты более толерантны к задержкам, чем проводные).
Если коротко — есть две независимые сети, гостевая (Cisco ION — Internet Only Network) и сеть для сотрудников. Это два независимых кластера ISE. Оба развёрнуты глобально. Политики отличаются.
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
[Уголовный кодекс РФ] [Глава 28] [Статья 274]
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, — наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, — наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
Уменьшаются они потому, что мы снижаем вероятность реализации данной угрозы путём увеличения сложности её реализации и повышаем вероятность вовремя её обнаружить и предотвратить.