z
Да бывает что внедряют и толку ноль! ))
Size: a a a
2021 February 18
z
ибо в сарае нет 4-й стены ))
U
для регуляторов
a6
У меня вот полные доступы везде и всюду и никакой длпшки нет у меня (на моих хостах откуда я хожу), потому что мне не выгодно гадости делать конторе потому что они того не стоят, исходя из этого вывод = плати достаточно людям и не надо будет внедрять длпшку, а если у тебя галера сраная с проходным двором где люди как скот, то тут не поможет ничего, ни ДЛП ни Кевин Митник в качестве CISO ни полное зарезание всего и вся.
z
У меня вот полные доступы везде и всюду и никакой длпшки нет у меня (на моих хостах откуда я хожу), потому что мне не выгодно гадости делать конторе потому что они того не стоят, исходя из этого вывод = плати достаточно людям и не надо будет внедрять длпшку, а если у тебя галера сраная с проходным двором где люди как скот, то тут не поможет ничего, ни ДЛП ни Кевин Митник в качестве CISO ни полное зарезание всего и вся.
В точку! )))))
z
Такая жиза )))
z
Сколько раз было что инцеденты секьюрные происходили из-за того что работодатель сам через чур хитрожопый... )))
a6
Если на контору средней паршивости нацелится серьёзная группа или даже одиночка, врядли её это спасёт, потому что длп это не панацея, должна быть культура безопасности, вот как человек перед едой руки моет и жопу вытирает после того как посрать сходил, если этого нет ничего не спасёт от серьёзной целевой атаки
AK
Спасибо за ответ)
"Событие доступа" по большей части - логин в систему или взаимодействие с ФС. "Компроментация" - повышение прав пользователя, при котором возникает возможность логи поправить.
Для сбора планирую использовать auditd с отправкой на удаленный сервер.
Проблема в предотвращении перезаписи логов на удаленном сервере, так как он также может быть скомпрометирован
"Событие доступа" по большей части - логин в систему или взаимодействие с ФС. "Компроментация" - повышение прав пользователя, при котором возникает возможность логи поправить.
Для сбора планирую использовать auditd с отправкой на удаленный сервер.
Проблема в предотвращении перезаписи логов на удаленном сервере, так как он также может быть скомпрометирован
используйте сторонний сервис, к которому даже у вас нет прав на удаление
a6
шлите боссу на ноутбук логи бродкастом
AK
Можно на несколько сервисов слать для уверенности. Вероятность одновременного взлома меньше будет.
АТ
шлите боссу на ноутбук логи бродкастом
вариант 😂
z
На личную телегу босу 10050 логов и в мыло ему же и на комп его ))
AK
вроде у s3 была опция настроить lifecycle policy так, что версии объектов вручную нельзя удалить
АТ
На личную телегу босу 10050 логов и в мыло ему же и на комп его ))
в телеге тоже можно удалять сообщения
a6
На личную телегу босу 10050 логов и в мыло ему же и на комп его ))
ну да, а когда дядя хакир просто отрубить гейт и потушит все кошки на этом всё это баловство и закончится
U
угу. потом замучаешься удалять. governance что то там
z
Ну слать логи в несколько хранилок за семью замками вполне годное решение.
AK
ну да, а когда дядя хакир просто отрубить гейт и потушит все кошки на этом всё это баловство и закончится
речь же по большей части о том, чтоб отловить аудитом первоначальные попытки взлома. По ssh надо смочь зайти перед тем, как отрубить ему логи
АТ
ну да, а когда дядя хакир просто отрубить гейт и потушит все кошки на этом всё это баловство и закончится
главное, чтобы логи о том, что дядя хакир пришел, улетели
остальное уже пофиг, гори оно огнём)
остальное уже пофиг, гори оно огнём)