Нет. Я вообще не говорю о том, как DPI будет применяться на практике. В целом и в частности это - взгляд инженера на саму технологию и ее перспективы ее развития.
Точное замечание. Да, при обучении без учителя есть риск “зацементировать” в норме уже существующие аномалии. Поэтому на этапе инициализации важно провести аудит трафика совместно с ИБ-специалистами или SOC - чтобы baseline строился на действительно "чистом потоке". На практике обычно применяют контролируемое окно обучения и последующую переоценку модели, чтобы со временем корректировать норму.
Крутая статья, спасибо! Сейчас как раз вникаю в это направление - недавно познакомился с системами NDR - и этот класс решений очень заинтересовал меня. Получается, по-сути: NDR-NG - это DPI+flow-анализ+TI+ML+интеграции с СЗИ для реагирования. Что получаем в итоге: micro(SIEM+SOAR) сетевого уровня в одном флаконе. Выглядит очень перспективно! Я считаю, что будущее именно за такими решениями. Обязательно изучу тему поглубже - так и тянет написать статью в визионерском духе)
Спасибо за информативную статью. Пожалуй, добавлю только, что есть еще архитектурный подход MILS - ограниченного применения (военные системы, атомные станции, авионика, другие критические системы) но все же - для полноты отразить стоило бы.
"А рассуждения из статьи мне кажутся очень наивными. О какой этике можно говорить применительно к спецслужбам? Вы к ним с этикой, а они вам с подброшенным кокаином." — если вы внимательно почитаете статью, то можете обратить внимание на смысловую дифференциацию: «этика» также относится к «профессионалу», как «долг гражданина» к «государству». И это не мешается в одну кучу. Чувствуете, где у вас когнитивное искажение?
Ключевой момент: Ни в одной стране мира нет защиты для информаторов, раскрывающих секреты, связанные с национальной безопасностью. Это глобальная норма, даже в самых либеральных демократиях. Например, США — Espionage Act 1917 (аналогично жёсткий): «Любая передача секретной информации иностранцам — преступление, даже если цель — предотвратить военное преступление». Разница лишь в процедуре: В США информаторов судят публично (но всё равно осуждают). В России — в закрытом режиме, без огласки. В Китае — ст. 110 УК КНР, наказание — вплоть до смертной казни.
Вкратце. Нет «хороших» и «плохих» стран в кибервойне — есть государства, которые используют APT‑группы как часть своей безопасности. И все перечисленные вами страны это делают. Основное: — Если вы гражданин страны, вы автоматически становитесь частью этой системы. — Ваша роль — работать в рамках её правил, а не решать, «хорошо» это или «плохо». — Вы не имеете права оценивать легитимность операций своего государства, если это касается безопасности.
Думаю, все будет зависеть от моральных качеств каждого специалиста в отдельности. Документ-то носит рекомендательный характер. Это как с "клятвой Гиппократа" у врачей. Антипримеров в наше время - более чем достаточно.
Согласен в целом. Тоже на уме тот случай со Сноуденом. Только в его случае моральная сторона дела более прозрачная. А с Сачковым - большой вопрос... Но я умышленно не делаю здесь резких суждений, т.к. на домыслах далеко не уедешь.
Информация
В рейтинге
Не участвует
Откуда
Москва и Московская обл., Россия
Зарегистрирован
Активность
Специализация
Специалист по информационной безопасности, Архитектор информационной безопасности
Нет. Я вообще не говорю о том, как DPI будет применяться на практике. В целом и в частности это - взгляд инженера на саму технологию и ее перспективы ее развития.
Точное замечание. Да, при обучении без учителя есть риск “зацементировать” в норме уже существующие аномалии. Поэтому на этапе инициализации важно провести аудит трафика совместно с ИБ-специалистами или SOC - чтобы baseline строился на действительно "чистом потоке". На практике обычно применяют контролируемое окно обучения и последующую переоценку модели, чтобы со временем корректировать норму.
Крутая статья, спасибо!
Сейчас как раз вникаю в это направление - недавно познакомился с системами NDR - и этот класс решений очень заинтересовал меня.
Получается, по-сути: NDR-NG - это DPI+flow-анализ+TI+ML+интеграции с СЗИ для реагирования. Что получаем в итоге: micro(SIEM+SOAR) сетевого уровня в одном флаконе. Выглядит очень перспективно!
Я считаю, что будущее именно за такими решениями. Обязательно изучу тему поглубже - так и тянет написать статью в визионерском духе)
Спасибо за информативную статью. Пожалуй, добавлю только, что есть еще архитектурный подход MILS - ограниченного применения (военные системы, атомные станции, авионика, другие критические системы) но все же - для полноты отразить стоило бы.
"А рассуждения из статьи мне кажутся очень наивными. О какой этике можно говорить применительно к спецслужбам? Вы к ним с этикой, а они вам с подброшенным кокаином."
— если вы внимательно почитаете статью, то можете обратить внимание на смысловую дифференциацию: «этика» также относится к «профессионалу», как «долг гражданина» к «государству». И это не мешается в одну кучу.
Чувствуете, где у вас когнитивное искажение?
Ключевой момент: Ни в одной стране мира нет защиты для информаторов, раскрывающих секреты, связанные с национальной безопасностью. Это глобальная норма, даже в самых либеральных демократиях. Например, США — Espionage Act 1917 (аналогично жёсткий): «Любая передача секретной информации иностранцам — преступление, даже если цель — предотвратить военное преступление». Разница лишь в процедуре: В США информаторов судят публично (но всё равно осуждают). В России — в закрытом режиме, без огласки. В Китае — ст. 110 УК КНР, наказание — вплоть до смертной казни.
Я корректно подаю информацию. Но - согласен, вариант напрашивается.
Вкратце. Нет «хороших» и «плохих» стран в кибервойне — есть государства, которые используют APT‑группы как часть своей безопасности. И все перечисленные вами страны это делают.
Основное:
— Если вы гражданин страны, вы автоматически становитесь частью этой системы.
— Ваша роль — работать в рамках её правил, а не решать, «хорошо» это или «плохо».
— Вы не имеете права оценивать легитимность операций своего государства, если это касается безопасности.
Логика - 100%. Все же, у нас нет полной картины, что там действительно было.
Думаю, все будет зависеть от моральных качеств каждого специалиста в отдельности. Документ-то носит рекомендательный характер. Это как с "клятвой Гиппократа" у врачей. Антипримеров в наше время - более чем достаточно.
Согласен в целом. Тоже на уме тот случай со Сноуденом. Только в его случае моральная сторона дела более прозрачная. А с Сачковым - большой вопрос... Но я умышленно не делаю здесь резких суждений, т.к. на домыслах далеко не уедешь.