AK
после того как система взломана, конечно нет оснований доверять любым данным из неё
Size: a a a
2021 February 18
a6
речь же по большей части о том, чтоб отловить аудитом первоначальные попытки взлома. По ssh надо смочь зайти перед тем, как отрубить ему логи
Куда? Я ему на гейт через snmpv3 отрублю default vlan и привет, какое ssh кек
AK
Куда? Я ему на гейт через snmpv3 отрублю default vlan и привет, какое ssh кек
ну так аудит можно сделать не только на вход ssh, но и на другие события
AK
конечно, всегда можно найти вариант. Как бы вы не защищали сервак от DDOS, это не спасёт его от злоумышленника с кувалдй в серверной
AK
с аудитом тоже самое
АТ
Ну слать логи в несколько хранилок за семью замками вполне годное решение.
кмк, использовать больше одной хранилки нет смысла. Если дядя хакир скомпрометировал одну систему хранения логов, то сможет скомпрометировать и несколько
z
кмк, использовать больше одной хранилки нет смысла. Если дядя хакир скомпрометировал одну систему хранения логов, то сможет скомпрометировать и несколько
Ну такое себе предположение. О сферическом дяде хакере в вакууме. Если шлешь логи в разные ДЦ.
АТ
Ну такое себе предположение. О сферическом дяде хакере в вакууме. Если шлешь логи в разные ДЦ.
не, ну если разные ДЦ, разные провайдеры и разные системы, то мб.
Я просто на это смотрю сквозь призму своей задачи, а там и ДЦ один, и пров
Я просто на это смотрю сквозь призму своей задачи, а там и ДЦ один, и пров
a6
Читайте выше, всё это бесполезно если нет культуры и сама конторая жадная, ну прислали вы 10 тб логов, а чем вы их парсить будете и кто это будет делать, ну распарсили увидели шелшок изнутри на внутренний сервис и всё на этом, а src хост это прокся допустим или нат и что, и ничего.
a6
(прежде чем что-то внедрять по ИБ, нужно подготовить всё для этого, это не тям лям аудитд, это последовательность мер и и мероприятий как физических так и бумажных, с многими инфраструктурными изменениями).
AK
кмк, использовать больше одной хранилки нет смысла. Если дядя хакир скомпрометировал одну систему хранения логов, то сможет скомпрометировать и несколько
ну нет. Чем больше систем надо взломать, тем меньше вероятность сделать это а) успешно б) одновременно в) не наследив
z
(прежде чем что-то внедрять по ИБ, нужно подготовить всё для этого, это не тям лям аудитд, это последовательность мер и и мероприятий как физических так и бумажных, с многими инфраструктурными изменениями).
Увы но не все это понимают!
z
ИБ - комплекс мер в частности как административных так и софтверных.
z
Иногда вообще хватает административных ))
a6
Увы но не все это понимают!
смысла нет это обсуждать в девопс чате, это отдельная глубокая тема на долгие часы
z
Вал для администрирования... с вазелином!
АТ
ну нет. Чем больше систем надо взломать, тем меньше вероятность сделать это а) успешно б) одновременно в) не наследив
чем больше систем, тем больше вероятность в одной из них сделать (найти) дырку. Да и увеличение сложности системы не слишком хорошо на нее повлияет
z
смысла нет это обсуждать в девопс чате, это отдельная глубокая тема на долгие часы
Поддерживаю!
АТ
смысла нет это обсуждать в девопс чате, это отдельная глубокая тема на долгие часы
+, давайте завершать тему) Спасибо еще раз всем заинтересовавшимся
AK
чем больше систем, тем больше вероятность в одной из них сделать (найти) дырку. Да и увеличение сложности системы не слишком хорошо на нее повлияет
палка о двух концах. Если вы сбрасываете логи в датадог, то чтобы вас взломать и скрыть это, надо взломать и вас, и датадог. Но если у вас в датадог отправляются сырые логи в которых вдруг могут быть выжные данные (типа паролей от базы или карточки), то это может облегчить взлом вашей системы. Или даже взламывать вас не придётся, все данные в логах.