не совсем понятно. Есть условные бинарники антивируса, а есть контент/сигнатуры для него. В тексте статьи написано, что проблема случилась из-за неверного обновления контента. Но сам сбойный файл это драйвер *.sys. Получается что их сигнатуры это по сути исполняемый бинарный код что-ли? Если это так, то очень странная архитектура.
Обычно перед установкой в сети обновления антивируса, каждую его новую версию надо тщательно тестировать, прежде чем обновлять версию в организации. Это часть процесса тестирования и установки обновлений внутри фирмы. Безусловно эти же процессы делает и поставщик. Но никто в конторах не тестирует обновление сигнатур, т.к. они обновляются постоянно.
в итоге получается, что краудстрайк в эксплуатации моет подкинуть неприятный сюрприз для ИТ-админов любой конторе и никаким локальными процессами тестирования и применения релизов этот риск не уменьшить.
краудстрайку как компании до оракла, ИБМа, микрософта очень далеко, это нишевая компания в выскоконкуретном секторе. Формула1/большой яхтинг - это статус и престиж. Я к тому, что вместо понтов для больших компаний, столило бы потраченные ресурсы вложить в тестирование и разработку и таргетированную работу с корпоративными заказчиками.
А с учетом произошедшего, по моему мнению менеджмент компании слегка и раньше времени потерял берега от нахлынувших финансов. Это не причина, это индикатор. Надеюсь, что краудстрайк сделает выводы и подтюнит приоритеты.
То, что краудстрайк рекламирует себя в формуле1 является очень нехорошим звоночкам, что менеджмент компании теряет связь с реальностью: с одной стороны, а хорошие доходы позволяют сливать деньги на формулу 1. В общем я достаточно толерантно относился к ним, ибо лажают все рано или поздно, но вот формула1 - явный симптом.
В организациях имеющих системное значение (Банки, телекомы и т.п.) пункт взлома через ИТ-партнеров я был поставил значительно выше. Ибо такова реальность послденго времени.
есьт обновление базы данных антвивиря, а есть обновление самого антивря как ПО. Вот второе на автоапдейт ставить - чистое зло. Ибо ИБ-софт работает на уровне ядра и любая ошибка там фатальна, что и имеем возможность сейчас наблюдать. Косячат все, и разработчики ИБ-решений в частности.
Вот самый главный вопрос: неужели стоял автоапдейт версий самого антивируса? Тогда ой. Баги были есть и будут где угодно, поэтому обновления только вручную и только после предварительного тестирования. Это же аксиома.
а по кропам аналогичный рейтинг есть или уже для вас не актуально?
Я пользуюсь не любимым многими на DPR пиксель др..черами zeiss 16-70f4, т.к. по соотношению компактность и фокусные расстояния альтернатив нет. Жаль что не будет второй ревизии этого об]ектива уже никогда.
Статья про атаки на Линукс, а в качестве примера приводится атака на веб-сервер с дальнейшим запуском нагрузки (не увдивлюсь, если процесс веб-сервера работал под рутом, тогда тут ловить впринципе уже нечего). А интересно почитать именно про атаки на саму операционку.
Месяц назад интренет бурлил по поводу того, что IBM продал Palo Alto свой облачный SIEM QRoC и IBM Consulting заточился на продажу решения Palo Alto. А теперь вот еще и новость про "любовь" с микрософт, совсем эффективный менеджмент заедает голубого гиганта.
25 лет назад, когда СУБД были вообще центром всего в книгах и статьях относительно обеспечения целостности транзакций был очень важный раздел про то, что такое блокировки, типы блокировок и какие алгоритмы, а значит и стоимость по ресурсам используются для обеспечения этих блокировок. Без этой основы не возникнет инженерного понимания и может возникнуть соблазн перейти исключительно на serializable.
Я уже дано этим не знаимаюсь, но в памяти всплывают особенности: table level, page level, row level блокировок и алгоритмов их автоматической эскалации. Где зранится информация о блокировках: в памяти, на диске. Типы блокировок: intent, exclusive, shared. Выделение пулов памяти для хранение информации о блокировках (сейчас может все автоматом, но во времена Sybase ASE 11,12 или древнего оракла это надо было знать и мониторить). И это только начало, мастхэв юного писателя логики на СУБД.
"Go гораздо проще в использовании, чем Rust. Почему Rust проигрывает в гонке " В оригинале: "Go is much easier to use than Rust. Why losing Rust in performance race? " может надо перевести как: "Go гораздо проще в использовании, чем Rust. Почему он Rust-у проигрывает в гонке?"
Скажите, а правила пишутся именно ручками текстом с этими всеми тэгами, или есть некий конструктор? (хотя как например в qradar).
Можно ли писать правила которые учитывают последовательность событий, в том числе и сработку других SIEM правил. events sequence, event after another sequences, event in some event scope и т.п.
Можно ли обогощать событие внешними данными?
Как устроен процесс отладки правил? Есть ли профайлер по которому можно оценить "тяжесть" правила.
насколько я знаю, то этот вопрос исследовался, когда было открыто расширение вселенной. В результате оказалось, что нет такого центра, вселенная расширяется из каждой точки пространства.
не совсем понятно. Есть условные бинарники антивируса, а есть контент/сигнатуры для него. В тексте статьи написано, что проблема случилась из-за неверного обновления контента. Но сам сбойный файл это драйвер *.sys. Получается что их сигнатуры это по сути исполняемый бинарный код что-ли? Если это так, то очень странная архитектура.
Обычно перед установкой в сети обновления антивируса, каждую его новую версию надо тщательно тестировать, прежде чем обновлять версию в организации. Это часть процесса тестирования и установки обновлений внутри фирмы. Безусловно эти же процессы делает и поставщик. Но никто в конторах не тестирует обновление сигнатур, т.к. они обновляются постоянно.
в итоге получается, что краудстрайк в эксплуатации моет подкинуть неприятный сюрприз для ИТ-админов любой конторе и никаким локальными процессами тестирования и применения релизов этот риск не уменьшить.
краудстрайку как компании до оракла, ИБМа, микрософта очень далеко, это нишевая компания в выскоконкуретном секторе. Формула1/большой яхтинг - это статус и престиж. Я к тому, что вместо понтов для больших компаний, столило бы потраченные ресурсы вложить в тестирование и разработку и таргетированную работу с корпоративными заказчиками.
А с учетом произошедшего, по моему мнению менеджмент компании слегка и раньше времени потерял берега от нахлынувших финансов. Это не причина, это индикатор. Надеюсь, что краудстрайк сделает выводы и подтюнит приоритеты.
То, что краудстрайк рекламирует себя в формуле1 является очень нехорошим звоночкам, что менеджмент компании теряет связь с реальностью: с одной стороны, а хорошие доходы позволяют сливать деньги на формулу 1. В общем я достаточно толерантно относился к ним, ибо лажают все рано или поздно, но вот формула1 - явный симптом.
В организациях имеющих системное значение (Банки, телекомы и т.п.) пункт взлома через ИТ-партнеров я был поставил значительно выше. Ибо такова реальность послденго времени.
а потом сотрдуники достигнут дзена и прозреют тщету сует... ;)
есьт обновление базы данных антвивиря, а есть обновление самого антивря как ПО. Вот второе на автоапдейт ставить - чистое зло. Ибо ИБ-софт работает на уровне ядра и любая ошибка там фатальна, что и имеем возможность сейчас наблюдать. Косячат все, и разработчики ИБ-решений в частности.
у компании обвалились акции, так что бонусы наврядли выпишут. Там за такое жестко наказывают.
Вот самый главный вопрос: неужели стоял автоапдейт версий самого антивируса? Тогда ой. Баги были есть и будут где угодно, поэтому обновления только вручную и только после предварительного тестирования. Это же аксиома.
Классная статья, вы молодцы, да и ИБ компании тоже весьма и весьма неплоха и заботится о собственном развитии.
а по кропам аналогичный рейтинг есть или уже для вас не актуально?
Я пользуюсь не любимым многими на DPR пиксель др..черами zeiss 16-70f4, т.к. по соотношению компактность и фокусные расстояния альтернатив нет. Жаль что не будет второй ревизии этого об]ектива уже никогда.
в статье о редакторе ни слова собственно не сказано о самом редакторе и почему он нужен вообще. не первый же редактор.
Если не учитывать зрелость процессов, то с веротяностью 100% внедряемые мероприятия будут восприняты как благопожеления "мудрой" совы из анекдота.
Статья про атаки на Линукс, а в качестве примера приводится атака на веб-сервер с дальнейшим запуском нагрузки (не увдивлюсь, если процесс веб-сервера работал под рутом, тогда тут ловить впринципе уже нечего). А интересно почитать именно про атаки на саму операционку.
Месяц назад интренет бурлил по поводу того, что IBM продал Palo Alto свой облачный SIEM QRoC и IBM Consulting заточился на продажу решения Palo Alto. А теперь вот еще и новость про "любовь" с микрософт, совсем эффективный менеджмент заедает голубого гиганта.
а для меня это до сих пор ОС вышедшая "недавно" )))
25 лет назад, когда СУБД были вообще центром всего в книгах и статьях относительно обеспечения целостности транзакций был очень важный раздел про то, что такое блокировки, типы блокировок и какие алгоритмы, а значит и стоимость по ресурсам используются для обеспечения этих блокировок. Без этой основы не возникнет инженерного понимания и может возникнуть соблазн перейти исключительно на serializable.
Я уже дано этим не знаимаюсь, но в памяти всплывают особенности: table level, page level, row level блокировок и алгоритмов их автоматической эскалации. Где зранится информация о блокировках: в памяти, на диске. Типы блокировок: intent, exclusive, shared. Выделение пулов памяти для хранение информации о блокировках (сейчас может все автоматом, но во времена Sybase ASE 11,12 или древнего оракла это надо было знать и мониторить). И это только начало, мастхэв юного писателя логики на СУБД.
"Go гораздо проще в использовании, чем Rust. Почему Rust проигрывает в гонке "
В оригинале:
"Go is much easier to use than Rust. Why losing Rust in performance race? "
может надо перевести как:
"Go гораздо проще в использовании, чем Rust. Почему он Rust-у проигрывает в гонке?"
Так людям вкус кофе нравится и аромат, в некторых случаях это еще и ритуал, возможность сделать перерыв.. А микродозингом эту проблему не решить.
Скажите, а правила пишутся именно ручками текстом с этими всеми тэгами, или есть некий конструктор? (хотя как например в qradar).
Можно ли писать правила которые учитывают последовательность событий, в том числе и сработку других SIEM правил. events sequence, event after another sequences, event in some event scope и т.п.
Можно ли обогощать событие внешними данными?
Как устроен процесс отладки правил? Есть ли профайлер по которому можно оценить "тяжесть" правила.
насколько я знаю, то этот вопрос исследовался, когда было открыто расширение вселенной. В результате оказалось, что нет такого центра, вселенная расширяется из каждой точки пространства.