Комментарии 25
По факту весь защищаемый трафик еще и попадает в руки сторонней Group-IB.
Новая услуга «Защита от киберугроз» реализует нетривиальный формат поставки решения: нашему клиенту не нужно устанавливать никаких аппаратных или программных модулей на своей стороне для того, чтобы обеспечить кибербезопасность уровня Enterprise. Сервис подключается прозрачно и реализуется на облачных вычислительных мощностях Билайн Бизнес. По факту весь защищаемый трафик не выходит за границы инфраструктуры сети MEN ПАО «ВымпелКом».
Сам продукт может и не являться ни одним из вышеперечисленных решений. Однако назначением SIEM как раз и есть выявление аномалий в функционировани информационной системы на основании данных от систем защиты — IPS/IDS, файрволы, сэндбоксы и т.д. Аномалии — как раз и есть те самые неизвестные угрозы и целевые атаки. Потому, из описания, этот THF и выглядит как комплекс решений во главе с SIEM и продвинутым sandbox в ядре.
— сканируется как я понимаю не только почта, но и интернет трафик? Тогда какой процент трафика (а он зачастую шифруется) доступен вам для анализа?
— если вы запускаете объекты в песочнице (кстати — есть полный их список?), то какова задержка получения письма или открытия сайта?
В состав пакета «Расширенный» дополнительно входит защита сетевого трафика: анализ всех файлов, скачиваемых из сети Интернет, а также обнаружение аномалий в сетевых взаимодействиях инфраструктуры клиента с внешними серверами. «Защита от киберугроз» анализирует весь поступающий трафик. Для зашифрованного трафика у нас существуют отдельные правила анализа.
Если речь идет о списке «песочниц», то это программно-аппаратный комплекс детонации вредоносного кода, который называется Polygon. Если данная услуга подразумевает фильтрацию почтового трафика (inline-режим), то уникальные файлы задерживаются в анализе на 2-3 минуты.
В состав пакета «Расширенный» дополнительно входит защита сетевого трафика: анализ всех файлов, скачиваемых из сети Интернет, а также обнаружение аномалий в сетевых взаимодействиях инфраструктуры клиента с внешними серверами. «Защита от киберугроз» анализирует весь поступающий трафик. Для зашифрованного трафика у нас существуют отдельные правила анализа.
еще раз — как это работает, при условии, что весь клиентский трафик HTTP уже зашифрован TLS, вся почта тоже уже ходит по TLS????
Момент такой что если усложнять защиты всякие, то со временем найдётся и на них опытные специалисты, либо же сами бывшие разработчики которые решат хакнуть эту же защиту. Ведь прецеденты уже были и не раз.
Сервис развернут на облачных вычислительных мощностях Билайн Бизнес в ЦОДе, спроектированном в соответствии со стандартами Uptime Institute и сертифицированным по уровню Tier III.
Мне было бы спокойнее, чтобы сервис был в 2 ЦОД минимум. Почему? Да потому что Tier III ничего не значит — их, во-первых, три типа сертификации, а, во-вторых, была уже история, когда Xelent в Петербурге прилёг
https://m.fontanka.ru/2018/02/16/119/
Tier III говорите?
Запущенный совместно с партнёром сервис сканирует весь сетевой трафик, в том числе электронную почту, и обнаруживает все актуальные виды киберугроз: эксплойты, трояны, бэкдоры, вредоносные скрипты, скрытые каналы передачи данных, фишинговые ссылки и атаки, замаскированные под легитимные действия.
Ничего не понял. Объектами защиты является что? Ставятся какие-то агенты на оконечные узлы? Или защита просто подключается в ЛК и снифает весь сетевой трафик клиента? Но что делать, если весь трафик шифрованный — vpn, IPSec, https/tls etc.? Или предполагается, что клиент Билайна сдаст все ключи шифрования?
Ответ не по существу. Я прекрасно понимаю, что такое Tier. Еще раз — даже Tier III датацентры умудряются падать (пример я привел). Как будете избегать такой ситуации? Вариантов кроме размещаться во втором ЦОДе — я не вижу. И строить архитектуру системы с учетом этого.
По второму (будут ли сданы ключи шифрования трафика) — я тоже ответа не получил
Вариантов всего два — или сервисы располагают соотв. сертификатами (могут всё дешифровать) — т.е., вся секретность скомпрометирована — или же шифрованный трафик осмысленному анализу не поддаётся (т.е. судить можно только по адресам, которые им обмениваются).
Нос к носу с хакерами. Как мы защищаемся от новейших киберугроз