Привет, спасибо за комментарий! Насколько я знаю, в TPM есть возможность генерить key blob, которые лежат на внешнем носителе (например на харде), но защищен ключом из TPM. И чтобы им пользоваться, нужно дергать ТРМ, согласен.
Спасибо за комментарий! Тоже рассматривали юбик как вариант, чем он немного под схему не подходит - его вытащить можно и вставить в другое устройство. Плюс денег стоит :)
В osquery действительно есть функционал rce, который можно отключить, что же касается остальных систем - их также нужно мониторить с помощью Security Opertaions Centre, причем с особой тщательностью.
Антивирус, кажется, довольно долго и дорого запускать. А запрос излишних прав - логгируем и отправляем в SOC для истории. В нормальном режиме запрос новых прав - редирект в IDM и проход по процессу получения доступов.
В macOS системные демоны лучше не прибивать. Один раз я прибил kerberos демон, при том что его вообще не использую, компьютеру помог только хард резет — иначе система просто уходила в бесконечную загрузку.
У некоторых тоже не воспроизводится, тут может быть ряд причин, в том числе описанных в комменте выше от masai. Надо смотреть каждый случай отдельно :)
Если прям на маке поставить фаервол и заблокировать все сетевые запросы от демона syspolicyd то запросы отправляться не будут. Думаю, если на роутере заблокировать, то примерно то же самое.
Привет, спасибо за комментарий! Насколько я знаю, в TPM есть возможность генерить key blob, которые лежат на внешнем носителе (например на харде), но защищен ключом из TPM. И чтобы им пользоваться, нужно дергать ТРМ, согласен.
Спасибо за комментарий! Тоже рассматривали юбик как вариант, чем он немного под схему не подходит - его вытащить можно и вставить в другое устройство. Плюс денег стоит :)
В osquery действительно есть функционал rce, который можно отключить, что же касается остальных систем - их также нужно мониторить с помощью Security Opertaions Centre, причем с особой тщательностью.
Для внедрения действительно нужен определенный уровень ИТ зрелости и достаточно большое количество ресурсов от иб, а также buy-in от руководства.
На первой паре первого курса мой преподаватель по программированию научил меня первому принципу программирования и ИТ - везде враги.
не совсем
Большое спасибо за комментарий, статей будет несколько, в следующих расскажу и дам ссылки на опенсорсный софт.
Антивирус, кажется, довольно долго и дорого запускать. А запрос излишних прав - логгируем и отправляем в SOC для истории. В нормальном режиме запрос новых прав - редирект в IDM и проход по процессу получения доступов.
Это ожидаемое поведение :)
Привет!
Мотивация в том, что нам интересны именно server-side баги, доплачивать $1000 за багу, которая стоит $150, видится неразумным.
Application security это не только бэкенд, но тут задача именно в том, чтобы найти условный флаг на бэкенде (как в ctf).
Вообще мы рады любым откликам, и рассматриваем все, что пришлют. Поэтому присылайте, что найдете, а дальше будем обсуждать.
Интересная статья, спасибо!
В macOS системные демоны лучше не прибивать. Один раз я прибил kerberos демон, при том что его вообще не использую, компьютеру помог только хард резет — иначе система просто уходила в бесконечную загрузку.
У некоторых тоже не воспроизводится, тут может быть ряд причин, в том числе описанных в комменте выше от masai. Надо смотреть каждый случай отдельно :)
И правда, но пока в документации не отразила видимо.
Да и в принципе решение спорное.
Если прям на маке поставить фаервол и заблокировать все сетевые запросы от демона syspolicyd то запросы отправляться не будут. Думаю, если на роутере заблокировать, то примерно то же самое.
Красавчик, братан!
Спасибо за статью, доступно изложены новые фичи протоколов. Можно брать на вооружение!
Я с детства угол рисовал