Как стать автором
Обновить
38
0
Алексей Лукацкий @alukatsky

Специалист по кибербезопасности

Отправить сообщение

Я вроде ясно написал "компании... управляют", а не "100 человек управляют". Каждый видит то, что он видит. Особенно, когда изначально настроен негативно. Но мы с вами готовы поделиться позитивом, нам не жалко.

Да там можно много кого отобразить. Мне важно было показать скорее два взгляда - монолитный и модульный. А уж кто как модули наполняет - это его дело.

Существуют компании на 100-200 человек, которые управляют активами из сотен тысяч узлов и ворочают миллиардами долларов оборота. Не количество сотрудников определяет необходимость в SIEM.

Вопрос не в количестве сотрудников, а в количестве средств защиты, которые вы будете заводить на SIEM. Если у вас, условно, антивирус и межсетевой экран на периметре, то от SIEM большого смысла не будет. Если у вас десятки (не преувеличение) различных средств защиты, то SIEM имеет смысл и при 100 сотрудниках. Ну и, конечно, играет роль количество узлов на мониторинге, а не число сотрудников. Но какого-то универсального правила, увы, нет

Я вас услышал!

Угу, SiteProtector, он самый

Ну тогда это не проблема продукта :-) Всего лишь нюанс конкретной организации

Так все зависит от настроек. Можно сделать так, чтобы локальная сетка не рубилась

Cisco Secure Desktop мы прекратили продавать в 2012-м году (https://www.cisco.com/c/en/us/obsolete/security/cisco-secure-desktop.html), а поддержку — в 2014-м.
Напишите на security-request at cisco dot com запрос с указанием своего ID на сайте Cisco
Ну давайте не навешивать на Netflow то, что ему не свойственно :-) На уровне приложений можно ловить различные атаки — я бы не сказал, что это невозможно. Но в целом, это не задача Netflow, и сильно будет зависеть уже от NTA. Но пример с прикладными атаками как раз хорошо показывает, зачем нужен SIEM и почему одного Netflow недостаточно.

Что касается примера с обрывом, то все зависит от того, что мы мониторим. Мы же можем отслеживать рост нагрузки на сервис и по динамике этого роста делать вывод. Если профиль будет выглядеть как «пила» (постепенный рост и падение), это одно и похоже на описанный вариант с переустановкой сессий. Если профиль выглядит как «шляпа» (внезапный рост и падение), то это может рассматриваться как DDoS. Так что все зависит от настройки анализатора Netflow
Вот именно собирать весь Netflow, да и sflow тоже, и отдавать его в SIEM — это смысла не имеет. А вот обрабатывает его на NTA, а алерты уже отдавать в SIEM, — вполне себе решение
Это классно, но относится преимущественно к траблшутингу, где отказ от анализа пакетов не сильно влияет на результат. В безопасности потеря пакетов критична
Никак не относится — он же Netflow генерит :-) При правильном планировании сети нужда в таких устройствах вообще отпадет и flow можно будет брать с самого сетевого устройства
Ну согласитесь, что если заменить слово Netflow на sflow, то статья вообще не поменяется :-)
Есть такие сети :-) Я sflow не обижаю. Просто он разрабатывался в другой парадигме и для других задач. По сути, это облегченный Netflow. Но для целей ИБ можно и его задействовать
А в заголовке прямо outlook.com указан? Или какой-нибудь outiook или outl0ok? А то и вовсем gmail? Может просто подмена адреса?
Нет. Обычный спам в расчете на то, что вы испугаетесь и переведете деньги
Не могу прокомментировать ситуацию с openconnect. Но отключается функция posture (hostscan) на шлюзе
Ну так это не наше ПО. Я тогда не знаю, что он запускает и почему. Тут уже вопросы его разработчикам надо задавать.

Нет, все управление политиками делается на стороне шлюза.

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Работает в
Дата рождения
Зарегистрирован
Активность