Добрый день! полезная рекомендация. Однако есть нюанс с точки зрения реагирования на киберинциденты - важно проанализировать всю имеющуюся фактуру на скомпрометированных серверах перед их вайпом, для того чтобы получить объективную информацию о реализованных механиках и задействованных в атаке компонентах инфраструктуры. Хорошей практикой является изоляция сервера на уровне сети, без отключения или вайпа сервера. Хотя на практике, мы обычно настраиваем на авто-респонс EDR (агент детектирования признаком компрометации - endpoint detection and response) на изоляцию хоста с использованием host-based firewall (в случае с Linux-based это, например, iptables ACL).
Добрый день! Спасибо за обратную связь. Сгенерированный пароль аналогичной длины и с применением спецсимволов, бесспорно, надежнее с точки зрения подбора. Авторы статьи не утверждали обратного.
В публикации есть тезис о том, что обычный пользователь не может запоминать такие сложные пароли, которые создает генератор, в результате чего, пользователь записывает их на бумажку или в txt на рабочем столе. Это статистический факт (что сделает простой пользователь не из ИТ, которому саппорт пришлет сгенерированный пароль?). Если в организации работает хотя бы 1000 сотрудников, вы не сможете их всех убедить использовать менеджер паролей или проконтролировать, что все они используют менеджер паролей. Да, вы сможете им всем установить менеджер паролей, сделаете распоряжении о запрете хранения паролей в открытом виде, проверите инструментами отсутствие файлов txt с названием "пароль". Но это не гарантирует использование менеджера паролей.
Авторы статьи дают рекомендацию, как облегчить работу пользователей с паролями, сохранив при этом достаточный уровень защищенности.
Кроме того, для работы с менеджером пароля пользователю также потребуется аутентификация, и скорее всего она тоже будет с применением пароля.
Хотя интуитивно кажется, что количество вариантов огромно и никто не сможет догадаться, как именно вы исказили название любимой песни, пространство поиска таких паролей ничтожно по сравнению с честным случайным паролем такой же
Мы все таки писали про корпоративную безопасность. Если злоумышленник пытается поломать пароль конкретного пользователя, конечно же он может собрать инфу из открытых источников и попытаться составить словари таргетированно на этого человека (Crunch'ем нагенерировать комбинаций на основе названий фильмов, слов любимой песни, имен близких, знаменательных дат и так далее). Но по этому словарю ему все равно придется брутить пароль, от чего авторы статьи также предлагают не только защищаться, но и обязательно мониторить такие попытки.
не очень понятно в чем именно автор не прав? шифрование кредов в Basic Auth не используется, креды передаются закодированные в base64.
Залетайте к нам в тг @defhubcommunity там есть еще полезного про кибербезопасность.
Добрый день! полезная рекомендация. Однако есть нюанс с точки зрения реагирования на киберинциденты - важно проанализировать всю имеющуюся фактуру на скомпрометированных серверах перед их вайпом, для того чтобы получить объективную информацию о реализованных механиках и задействованных в атаке компонентах инфраструктуры. Хорошей практикой является изоляция сервера на уровне сети, без отключения или вайпа сервера. Хотя на практике, мы обычно настраиваем на авто-респонс EDR (агент детектирования признаком компрометации - endpoint detection and response) на изоляцию хоста с использованием host-based firewall (в случае с Linux-based это, например, iptables ACL).
Велкам к нам в тг @defhubcommunity там много интересного и полезного про кибербезопасность.
Велкам к нам в тг @defhubcommunity там много интересного и полезного про кибербезопасность.
Велкам к нам в тг @defhubcommunity там много интересного и полезного про кибербезопасность.
Добрый день! Спасибо за обратную связь. Сгенерированный пароль аналогичной длины и с применением спецсимволов, бесспорно, надежнее с точки зрения подбора. Авторы статьи не утверждали обратного.
В публикации есть тезис о том, что обычный пользователь не может запоминать такие сложные пароли, которые создает генератор, в результате чего, пользователь записывает их на бумажку или в txt на рабочем столе. Это статистический факт (что сделает простой пользователь не из ИТ, которому саппорт пришлет сгенерированный пароль?). Если в организации работает хотя бы 1000 сотрудников, вы не сможете их всех убедить использовать менеджер паролей или проконтролировать, что все они используют менеджер паролей. Да, вы сможете им всем установить менеджер паролей, сделаете распоряжении о запрете хранения паролей в открытом виде, проверите инструментами отсутствие файлов txt с названием "пароль". Но это не гарантирует использование менеджера паролей.
Авторы статьи дают рекомендацию, как облегчить работу пользователей с паролями, сохранив при этом достаточный уровень защищенности.
Кроме того, для работы с менеджером пароля пользователю также потребуется аутентификация, и скорее всего она тоже будет с применением пароля.
Мы все таки писали про корпоративную безопасность. Если злоумышленник пытается поломать пароль конкретного пользователя, конечно же он может собрать инфу из открытых источников и попытаться составить словари таргетированно на этого человека (Crunch'ем нагенерировать комбинаций на основе названий фильмов, слов любимой песни, имен близких, знаменательных дат и так далее). Но по этому словарю ему все равно придется брутить пароль, от чего авторы статьи также предлагают не только защищаться, но и обязательно мониторить такие попытки.
Велкам к нам в тг @defhubcommunity там много интересного и полезного про кибербезопасность.
Благодарим Вас за такую обратную связь!
NIST - база, не вопрос. Договор с соком несколько млн. Мы - только про круглосуточный мониторинг рабочих станций и серверов с соответсвующим прайсом.
Велкам к нам в тг https://t.me/defhubcommunity