Názory k článku Na návštěvě v bezpečnostním dohledovém centru O₂ ITS
-
jiný muf (neregistrovaný)
Rozumím tomu správně, že v rámci zvýšení bezpečnosti svého síťového provozu a důvěryhodnosti své interní IT infrastruktury si mám do svých strojů zavést nějaký proprietární soft, který odesílá veškerý můj vnitřní provoz cizí firmě ven do internetu a nechává ta data kolovat po všech čertech na notebooky nějakých "expertů", co si to můžou prohlížet přes VPN/TLS odkudkoliv? A to je jako bezpečné řešení?
-
"TLS 1.2 je, myslím si, v zásadě bezpečné. Kdyby mělo dojít k prolomení TLS, dojde i k prolomení VPN, soudí."
Zajímavá myšlenka od specialistů na bezpečnost. Jen tak na okraj - není problém posílat nešifrovaně data jak po TLS, tak po VPN borci :-) asi proto, že je to jen obálka do které se něco zabalí.
-
Trident (neregistrovaný)
Jak u nas ve firme. Plati se nehorazny prachy, ale nekdo musi denodenne vyhrozovat indum. A kdyz neni dodana sluzba, tak se proste nezaplati a nebo jen tolik co smlouva ohranicuje v pripade nedodani. Jednoduche. A pak si to vymahej mezi USA a Indii. To jenom cesi jsou pripopo. Nahodou amici se do soudnich sporu docela hrnou. Tam je to vyhodna financni investice.
-
NULL (neregistrovaný)
Jasné, co si sám neuděláš, to nemáš. Takže když si sám nepřečteš smlouvu, tak nemáš. Ale jako mít firmu, 1-2 provozáky/managery, 4-5 web developerů a platit si kvůli 1-2 serverům pro malé až max střední weby se ti určitě vyplatí držet si 2 vlastní administrátory serverů na směny s reakcí 24/7/365. A nebo když jsi třeba právní kancelář a potřebuješ svůj, oddělený server do kanclu, tak místo toho aby sis najal firmu, tak si zaplatíš admina s reakcí 24/7/365 a nikdy ti nedojde pozdě. No hurá.
-
xxmarv (neregistrovaný)
Sice se mi zdá že článek je spíše psaný PR, ale pro všeobecný přehled je dobré vědět co O2 má. čekal jsem spíše něco co O2 duševně vlastní a kde dá svoje know-how. Zatím to pro něho provádějí externí firmy. No ono už ubylo velkých firem, které chtějí něco řešit. Lépe a výhodněji je si to postavit sám a po té to nabízet zákazníkům.
Co se týče propustnosti sítě, ale v tomto článku zmíněno není. Je zde naznačen kolik zvládne samotný SEC, ale už se opomíjí kolik se zpomalí pak vlastní řešení míněno datová propustnost, protože všechna data pak stejně musíte zrcadlit a poslat do sondy. Také se zde optimalizuje datový tok na syslogu což je vlastně zahazovaní paketů ze syslogu-ng a to zrovna, když vám chybí kus záznamu, co zrovna útok udělal je pak problém dohledat. Možná je to míněno, jako útok na dané notifikace a po té to umí zahazovat, kdo ví. V tomto systému je také potřeba škálovatelnosti a říci že umí obsloužit 1,7TB dat denně není na dnešní dobu nějak závratný tok. Bavíme se o indexu ne o vyhodnocení důležitosti zprávy.
Spíše s toho mám dojem, velké řešení spousta peněz a výsledek je mnoho logů, s kterými si pak nikdo neví rady.
Z článku je patrné, že je to opravdu jen otázka síťové bezpečnosti. Takových věcí tu máme. Připojit do SIEM nástroje jako snort nebo jiný flow monitor by mělo být samozřejmostí. Otázka je tu proč se radši někdo nesnaží použít již stávající technologii, kterou tu máme.
Další nedodělek je jak vyhodnocovat do SIEMu a dostat host logy služeb o těch tu není ani zmínka a pokud chceme mít obraz o systému je potřeba mít i tyto logy.
ČLÁNKY DO MAILU