Как стать автором
Обновить
22
Карма
0
Рейтинг
CyberLympha @CyberLympha

Пользователь

Теоретические основы компьютерной безопасности, часть 1: Эволюция ЭВМ

Спасибо! Добавление действительно важное. Конечно разработкой ОС с разделением времени занимались не только в MIT и Multics не была единственной такой ОС в 60-ые.

Теоретические основы компьютерной безопасности, часть 1: Эволюция ЭВМ

Да, действительно не все так просто оказывается…

Как удалось найти в одной статье: ENIAC стал первым, потому что его первого презентовали широкой общественности, пока остальные играли в секретность. Вот такая несправедливость J

Но замечание ценное – про ABC почитаю (не буду лукавить – до вашего комментария про нее не слышал), а вот про борьбу за первенство с Колоссом есть интересная статья: https://shura.shu.ac.uk/9501/3/Atkinson_-_Eniac_versus_Colossus_paper_%26_url.pdf

Теоретические основы компьютерной безопасности, часть 1: Эволюция ЭВМ

ОС на тот момент было уже много (см., например, https://en.wikipedia.org/wiki/Timeline_of_operating_systems)

А слабости Willis Ware (который будет упомянут в следующей части) сформулировал очень просто:

Summary Comment. The detailed design of the Supervisor and the protective safeguards that it contains and that are afforded it are vital to adequate security control. Since commercially designed Supervisors and operating systems have not included security control, it is to be expected that the average commercial software will not provide the standards, conventions, and capabilities required. 

Т.е. он в своем отчете попросту делает вывод, что в коммерческих программах-супервизорах никаких адекватных механизмов безопасности нет вообще. и это подтверждается тем, что все реализованные на тот момент механизмы безопасности изначально проектировались, чтобы защищать программы и данные пользователей от неумышленной порчи, а про ту же конфиденциальность никто особо и не задумывался – сам термин multilevel security пришел из среды военных и предприятий оборонного комплекса.

Kerberoasting v2

Любая политика ужесточающая сетевой обмен в домене AD должна применяться аккуратно: это относится и к отключению легаси механизмов аутентификации, и к требованию по использованию LDAPs и пр.

И тут есть два варианта:

  1. Подождать, пока MS сделает соответствующую политику дефолтной – они это делают с учетом груза легаси, медленно и аккуратно. Например, сейчас те же соединения LDAP по умолчанию уже требуют безопасное соединение, а LM hash (наконец-то) больше не формируется вообще. Но надо понимать, что все время, пока MS не сделает эту опцию опцией по умолчанию – ваши системы будут уязвимы.

  2. Можно внедрить эту настройку, но аккуратно, как это делается для любых других харденингов взаимодействия клиент-сервер. Для этого нужно:

    1. Проверить, что домен удовлетворяет требованиям (все контроллеры домена с ОС не ниже Win server 2012, соответствующие функциональные уровни домена и леса).

    2. Включаем на серверах опцию использования FAST в рекомендуемом режиме (“Always provide claims”) – естественно, с помощью GPO, а не вручную. Далее, ту же опцию развертываем на клиенты (и тоже с помощью GPO). А потом долго и нудно мониторим события на предмет наличия клиентов, которые не смогли сформировать запрос с поддержкой FAST. И для каждого вида ПО изучаем, что можно сделать – обновить, заменить, сменить настройки и пр.

Повторюсь, что это верно для любой другой опции, которая ужесточает взаимодействие клиента и сервера – будь то переход на SMB новой версии, отключение уязвимых протоколов аутентификации или требование обязательного шифрования канала.

Использование рекуррентных нейронных сетей в Reinforcement Learning

Большое спасибо, что заметили опечатку! Исправлено

Использование рекуррентных нейронных сетей в Reinforcement Learning

теперь правильно)

Поиск аномалий во временных рядах

Все что можно сделать без машинного обучения – надо делать без машинного обучения )

Описанный Вами подход понятен и наверняка эффективен. Было бы интересно узнать метрики качества за какой-то продолжительный период.

Но важно отметить, что сейчас методы атак становятся все более изощренными, поэтому арсенал для защиты тоже необходимо развивать и применять методы, которые самообучаются в окружающей среде.

Поиск аномалий во временных рядах

Алексей, большое спасибо за столь развернутый комментарий, который сам достоин отдельной статьи на хабре! 😊

Со многими утверждениями в комментарии мы безусловно согласны, они даже коррелируют с тем, что в нашей статье написано.

Неэквидистантные ряды конечно существуют, но многие практические методы (автокорреляция, сглаживание, SARIMA методы и упомянутое Вами БПФ) к ним применять невозможно.

Поэтому, как Вы правильно указали, для пропущенных значений применяют заполнение интерполяцией или какими-то другими методами, в том числе предложенным Вами.

И это отдельная большая задача, требующая, в том числе, хорошего понимания предметной области и анализируемого процесса.

Модель скользящего среднего неявно фигурирует среди описанных в статье методов.

Мы обязательно посмотрим рекомендованную Вами статью и попробуем программу.

Наша сфера интересов – аналитика для информационной безопасности и технологических процессов, но мы уверены, что в методах для геофизики содержатся интересные идеи в том числе для нашей предметной области.

Руководитель исследовательского центра ООО «Сайберлимфа» Чернышов Юрий свяжется с Вами по указанной электронной почте, и будем рады сотрудничеству!

Поиск аномалий во временных рядах

Частично согласны) Тем не менее, алгоритмы-роботы, использующие различные методы анализа временных рядов, а также обучение с подкреплением (Reinforcement Learning) давно и эффективно работают в финансовом анализе, в том числе - торговле акциями.

Поиск аномалий во временных рядах

У нашей компании основное направление это информационная безопасность. Также мы применяем свои разработки для анализа данных технологических устройств.

Но, как мы написали в статье, многие методы можно применять для разных отраслей, и финансовая сфера действительно создает много хороших задач для аналитики.

Поскольку мы не специализируемся в области финансового анализа, то цели применять методы для анализа финансовых данных у нас нет.

Но мы открыты к сотрудничеству и совместным проектам и готовы оказать поддержку компаниям, которые интересуются применением методов аналитики для анализа финансовых данных.

Поиск аномалий во временных рядах

Шум в анализируемом сигнале всегда ухудшает извлечение полезной информации.

Если в сигнале преобладает шум, то ряд становится нестационарным и из него невозможно извлечь полезные сведения.

Убедиться в нестационарности можно, например, с использованием критерия Дики-Фуллера.

На практике часто применяются методы очистки от шума (например, алгоритмы сглаживания или автокодировщик-денойзер).

Определение классов сетевых узлов и выявление аномалий в их активности по сетевому трафику в пассивном режиме

Хорошему ПЛК от флагманов рынка действительно такие мелочи не страшны.

Но есть еще всякие древние устройства с непредсказуемым поведением, а также такой зверь как SoftPLC – где нет четкого деления на коммуникационные и процессорные блоки, и по факту весь код прошивки ПЛК выполняется под управлением ОС общего назначения.

В общем, уход ПЛК в перезагрузку вследствие элементарного сканирования портов – это не оборот для красного словца, а отголосок реального печального опыта на производственных объектах.

Изолированная программная среда – сферический конь в вакууме или …?

А еще проще для системы, выключенной из розетки :)

Очень просто решаются вопросы безопасности, когда есть четкая граница между доверенными элементами системы и недоверенными – поставили забор/межсетевой экран/горизонт событий и отгородились от всего этого злого мира вокруг.

Но реальность сложнее – мы не можем гарантировать, что отправитель или получатель нашей сверхзащищенной информации все еще тот, за кого он себя выдает. Да и многопользовательская система предполагает, что отправителей и получателей информации сильно больше двух. И у них разные права доступа, соответственно, надо как-то гарантировать, что не будет способа обойти начальное ограничение и передать то, что нельзя было передавать, третьему лицу.

Собственно, возвращаясь к примеру с DoD, оригинальная ОС Multics была с какими-никакими механизмами безопасности, но DoD не устраивала полная беззащитность Multics перед программами-троянами. Именно это и был основной предмет исследований. 

И, например, модель HRU (тоже артефакт тех лет) показывает, что в системе с добровольным (дискреционным) управлением доступом в общем случае вообще нельзя гарантировать безопасность! Т.е. нет способа проверить, что доступные в системе команды не позволяет рано или поздно изменить матрицу доступа так, что к ней получит доступ тот, кто не должен был.

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность