Интересно, кстати, каково число сочетаний для этой фразы? Один регистр, слова через пробел. Может ошибся, но вроде выходит так:
В русском языке 150-200 тыс. слов. Для пароля будут использовать тысяч 30, но пусть будет 100 тыс. С разными формами слова будем считать пол миллиона вариантов на 1 слово. 31,25*10^27 вариантов. Английский алфавит в 2 регистрах плюс спецсимволы для пароля - это около 100 символов на выбор. 100^14 = 10*10^27. То есть "этот пароль очень трудно подобрать" будет примерно соответствовать паролю типа "R0s11@.pA&jkm" длиной в 13 символов. Скорее меньше, потому что словарный запас не позволит разгулятся, но даже 12 в целом неплохо.
Для типичной крупной компании ИМХО это все равно что спросить "А что мешает ставить security updates в течение 6 часов после их выхода?". В теории - ничего не мешает.
Был недавно схожий опыт на проекте: WAF мешал в первую очередь фаззить, сильно замедляя обследование. Удалось найти копию сайта, не защищенную WAF, найти уязвимости на нем, а затем точечно пробить основной исследуемый сайт. Также использовался один из российских WAF.
В данном случае, судя по описанию, либо агент сам запускал плеер с флешки (пришел подрядчик, хочет послушать музыку), либо носители использовали в рамках социальной инженерии (тот же подрядчик, например, дает сотрудникам заказчика послушать музыку со своей флешки).
Интересный вопрос, заставил задуматься. За это время были и другие сертификации, но до сих пор субъективно CISSP кажется самым обстоятельным и объемным. Продолжаю рекомендовать коллегам сдавать его. Недавно смотрели: число действующих CISSP в России перевалило за 200. По мировым меркам не ахти, но тенденция не может не радовать.
Не думаю. По опыту, спецы заказчиков во время пентеста наоборот бдят вдвойне.
Гораздо более распространенный кейс, когда сам DDoS маскирует направленную атаку на компанию.
В данном случае интриги и вовсе нет. Атака была массовая, сразу на десяток банков. Ее автор сообщил, что это заказ политически мотивирован и связан с местью за вмешательство России в выборы в США. Сам злоумышленник активно пиарился, надеясь найти новых заказчиков.
По факту компании заявления подают только после хищения денег вследствие взлома, да и то не всегда. Если кто-то и пытался по факту DDoS возбудить уголовное дело, я не знаю ни одного случая в России, когда бы это принесло какие-то плоды.
Наше законодательство сейчас абсолютно устарело в части компьютерных преступлений. Есть 272, 273 и 274 статьи УК РФ, которым сто лет в обед. Если кого-то и ловят из серьезных хакеров (например, выводящих деньги со счетов банков), то они идут по несколько притянутым за уши «смежным» статьям.
Злоумышленники явно распыляли силы на большое число банков. Это видно и по небольшому объему атаки, и по тому, как они с задержкой реагировали на блокировку очередной волны.
Будь это полноценный Mirai, такую драматичную историю можно было бы писать уже не от лица банка, а от лица Ростелекома:)
Но не все же Брайны Кребсы. Обычные атаки, которым российские компании подвергаются каждый день, гораздо менее эпичны.
Рассказываем, как есть. Реальность, увы, всегда отличается от идеальных «правильных» случаев.
Облачные сервисы оказываются по подписке и их можно подключить быстро. А ставить ненастроенный WAF в режиме блокирования в разрез — лучший способ полностью положить сайт. Но тут были и орг проблемы с его установкой.
1. Разумеется, железо, отдаваемое под WAF, планируется с учетом необходимости обработки SSL. Сама по себе нагрузка от выполнения криптографических операций никуда не исчезает, но ее перенос именно на WAF необходим для обеспечения работы с данными на L7. При этом нагрузка на серверы приложений может быть существенно снижена не только за счет переноса точки обработки SSL, но и за счет возможности фильтрации паразитного трафика или выполнения дополнительной оптимизации на стороне WAF.
Железо WAF рассчитывается на такие нагрузки, поддерживает кластеризацию, балансировку, может иметь аппаратную ssl-акселерацию и т.п.
2. Да, в общем случае на WAF импортируются ключ и сертификат, или же ключевая пара генерируется прямо на WAF, после чего сертификат подписывается и импортируется. Таким образом круг пользователей, которым доступен ключ, сокращается до администраторов ИБ. Далее функция ssl offloading'а выполняется на WAF, чаще всего в режиме reverse proxy с балансировкой, но возможны и более экзотические варианты. Для передачи от WAF до серверов приложений может использоваться как http, так и ssl в случае архитектурных ограничений и отсутствия по каким-либо причинам доверия к среде передачи данных.
Да, если говорить о расшифровке HTTPS, то ничем бы не помог. Этот вопрос был решен в лоб переносом шифрования на более производительные серверы. WAF тут мог бы помочь, по нашему опыту, в трех вопросах:
1) Мониторинг трафика. Средствами WAF намного проще разобраться, что происходит в данный момент и как можно блокировать очередную волну.
2) К WAF можно прикрутить скрипты, которые позволяют по-разному обрабатывать различные запросы. Например, делать задержки.
3) С точки зрения возможного развития атаки. Злоумышленник увидел, что наиболее пробивной является маскировка под реальных пользователей. Когда сайт перестал валиться из-за SSL, логично было бы переключиться на «тяжелые» запросы. Тем более в рамках разведки за день до атаки хакер их явно нащупал. Тут WAF бы очень пригодился для отделения реальных пользователей от ботов и мониторинга запросов.
Конечно, все это можно сделать и без WAF, но не так удобно и быстро. Самое обидное, что WAF был, стоял чуть ли не в соседней стойке, но воспользоваться им возможности не было.
Главная проблема правоприменения по нормативке по персональным данным ИМХО в том, что нарушением является по сути несоответствие формальным требованиям, а не реальные факты разглашения данных. То есть вас могут наказать на n тысяч рублей (именно n, а не N) за отсутствие необходимой организационно-распорядительной документации, но в случае «слива» ПДн десятков тысяч людей ничего особенного не происходит.
Бизнес работает по риск-ориентированной модели. Не сделал бумажек — вплоть до приостановки деятельности. Украли ПДн — ничего страшного.
Есть 152 ФЗ (текст закона), но кто должен следить за его исполнением?
Основными регуляторами в этой области являются РосКомНадзор, ФСТЭК и ФСБ (отсортировал по уменьшению субъективной степени вовлеченности в процесс).
Спасибо за замечания по поводу конфига, приму к сведению.
По поводу Вашего вопроса. Настройки шифрования выбирались исходя из того, что у нас помимо OpenVPN на одной железке будут работать NETFilter, Suricata и Snorby, поэтому необходимо минимизировать затраты ресурсов аппаратной платформы. Если же у нас под рукой есть более производительный сервер, на который будем производить установку, то Ваш вариант, конечно, будет лучше.
Установка отличаться ничем не будет.
Как указано в начале статьи, FWBuilder использовали только для удобства настройки. Если кому-то ближе работать c чистым iptables, то пункт с установкой данного ПО можно просто пропустить.
Интересно, кстати, каково число сочетаний для этой фразы? Один регистр, слова через пробел. Может ошибся, но вроде выходит так:
В русском языке 150-200 тыс. слов. Для пароля будут использовать тысяч 30, но пусть будет 100 тыс. С разными формами слова будем считать пол миллиона вариантов на 1 слово. 31,25*10^27 вариантов. Английский алфавит в 2 регистрах плюс спецсимволы для пароля - это около 100 символов на выбор. 100^14 = 10*10^27. То есть "этот пароль очень трудно подобрать" будет примерно соответствовать паролю типа "R0s11@.pA&jkm" длиной в 13 символов. Скорее меньше, потому что словарный запас не позволит разгулятся, но даже 12 в целом неплохо.
Для типичной крупной компании ИМХО это все равно что спросить "А что мешает ставить security updates в течение 6 часов после их выхода?". В теории - ничего не мешает.
Гораздо более распространенный кейс, когда сам DDoS маскирует направленную атаку на компанию.
В данном случае интриги и вовсе нет. Атака была массовая, сразу на десяток банков. Ее автор сообщил, что это заказ политически мотивирован и связан с местью за вмешательство России в выборы в США. Сам злоумышленник активно пиарился, надеясь найти новых заказчиков.
Наше законодательство сейчас абсолютно устарело в части компьютерных преступлений. Есть 272, 273 и 274 статьи УК РФ, которым сто лет в обед. Если кого-то и ловят из серьезных хакеров (например, выводящих деньги со счетов банков), то они идут по несколько притянутым за уши «смежным» статьям.
Будь это полноценный Mirai, такую драматичную историю можно было бы писать уже не от лица банка, а от лица Ростелекома:)
Но не все же Брайны Кребсы. Обычные атаки, которым российские компании подвергаются каждый день, гораздо менее эпичны.
Облачные сервисы оказываются по подписке и их можно подключить быстро. А ставить ненастроенный WAF в режиме блокирования в разрез — лучший способ полностью положить сайт. Но тут были и орг проблемы с его установкой.
1. Разумеется, железо, отдаваемое под WAF, планируется с учетом необходимости обработки SSL. Сама по себе нагрузка от выполнения криптографических операций никуда не исчезает, но ее перенос именно на WAF необходим для обеспечения работы с данными на L7. При этом нагрузка на серверы приложений может быть существенно снижена не только за счет переноса точки обработки SSL, но и за счет возможности фильтрации паразитного трафика или выполнения дополнительной оптимизации на стороне WAF.
Железо WAF рассчитывается на такие нагрузки, поддерживает кластеризацию, балансировку, может иметь аппаратную ssl-акселерацию и т.п.
2. Да, в общем случае на WAF импортируются ключ и сертификат, или же ключевая пара генерируется прямо на WAF, после чего сертификат подписывается и импортируется. Таким образом круг пользователей, которым доступен ключ, сокращается до администраторов ИБ. Далее функция ssl offloading'а выполняется на WAF, чаще всего в режиме reverse proxy с балансировкой, но возможны и более экзотические варианты. Для передачи от WAF до серверов приложений может использоваться как http, так и ssl в случае архитектурных ограничений и отсутствия по каким-либо причинам доверия к среде передачи данных.
1) Мониторинг трафика. Средствами WAF намного проще разобраться, что происходит в данный момент и как можно блокировать очередную волну.
2) К WAF можно прикрутить скрипты, которые позволяют по-разному обрабатывать различные запросы. Например, делать задержки.
3) С точки зрения возможного развития атаки. Злоумышленник увидел, что наиболее пробивной является маскировка под реальных пользователей. Когда сайт перестал валиться из-за SSL, логично было бы переключиться на «тяжелые» запросы. Тем более в рамках разведки за день до атаки хакер их явно нащупал. Тут WAF бы очень пригодился для отделения реальных пользователей от ботов и мониторинга запросов.
Конечно, все это можно сделать и без WAF, но не так удобно и быстро. Самое обидное, что WAF был, стоял чуть ли не в соседней стойке, но воспользоваться им возможности не было.
Бизнес работает по риск-ориентированной модели. Не сделал бумажек — вплоть до приостановки деятельности. Украли ПДн — ничего страшного.
Основными регуляторами в этой области являются РосКомНадзор, ФСТЭК и ФСБ (отсортировал по уменьшению субъективной степени вовлеченности в процесс).
production bundle exec rake snorby:backup, к сожалению, нет.Через
bundle installтоже можно обновляться, согласен.По поводу Вашего вопроса. Настройки шифрования выбирались исходя из того, что у нас помимо OpenVPN на одной железке будут работать NETFilter, Suricata и Snorby, поэтому необходимо минимизировать затраты ресурсов аппаратной платформы. Если же у нас под рукой есть более производительный сервер, на который будем производить установку, то Ваш вариант, конечно, будет лучше.
Как указано в начале статьи, FWBuilder использовали только для удобства настройки. Если кому-то ближе работать c чистым iptables, то пункт с установкой данного ПО можно просто пропустить.