Comments 8
Предполагаются три версии – помощь инсайдера, классический фишинг или использование уязвимости в веб-сервисах с последующей организацией backdoor
Предполагаю ещё один вариант:
До этой атаки, история изменений компонентов Web приложений написанный разработчиками Sony, хранилась в HTML комментариях сами страниц.
С датами, ФИО и что было изменено.
Так что не удивлюсь, если кто-то из разработчиков добавил туда логины и пароли или ещё что-то в этом духе…
Ну это все, конечно, замечательно: красивые диаграммы, много кнопочек. Но тут все таки более подробно бы про Deep Packet Inspection: какие протоколы верхнего уровня, какие алгоритмы фильтрации на основе анализа заголовков и пейлоадов.
Если за фильты говорить, то алгоритмы, что делать с трафиком, вы сами можете формировать; FW трафик ловит, а дальше вы с ним делаете то, что вам нужно ( фильтруете, пропускаете молча, пропускаете и нотифицируете, например, можно открыть Yahoo Finance, а Yahoo Mail запретить и нотифицировать, и т.д.)
Если за IPS, то там правил оч. много и они разные — проверка по сигнатурам, статистический анализ, ZDI фильтры, и др.
Список протоколов в DPI, которые FW умеет разбирать до последнего бита, тоже достаточно большой и постоянно обновляется.
Если за IPS, то там правил оч. много и они разные — проверка по сигнатурам, статистический анализ, ZDI фильтры, и др.
Список протоколов в DPI, которые FW умеет разбирать до последнего бита, тоже достаточно большой и постоянно обновляется.
И что вы делаете с ssl'ем, когда клиенту не нравится ваш сертификат для его перехвата? А с другим шифрованным трафиком?
> «Установил и забыл», используя рекомендованные IPS настройки;
Никогда не мог понять этого «преимущества». Если у меня дом или маленький офис — да, все ок. Но если говорить о крупной компании, то потоки трафика в ней вряд ли просты и «рекомендованы». Кнопки «защити меня» не то чтобы не существует, но, если мы говорим о системе защиты, которая глубоко «раздумывает» над трафиком, и принимает решение не просто по принципу «запретить трафик на порт 443/tcp в мир», то системе нужно как-то понимать, что считать «плохим трафиком» в компании, где она установлена.
И что-то мне кажется, что «рекомендованные настройки» не справятся, если нужно будет бороться с трафиком по сложной логике.
Никогда не мог понять этого «преимущества». Если у меня дом или маленький офис — да, все ок. Но если говорить о крупной компании, то потоки трафика в ней вряд ли просты и «рекомендованы». Кнопки «защити меня» не то чтобы не существует, но, если мы говорим о системе защиты, которая глубоко «раздумывает» над трафиком, и принимает решение не просто по принципу «запретить трафик на порт 443/tcp в мир», то системе нужно как-то понимать, что считать «плохим трафиком» в компании, где она установлена.
И что-то мне кажется, что «рекомендованные настройки» не справятся, если нужно будет бороться с трафиком по сложной логике.
Я вам на это так скажу: для меня главный критерий правильно/не правильно — это практика. И практика показывает, что на реальных тестах, в очень больших компаниях, с очень сложными профайлами трафика и тестами прониктовения наш IPS показывает себя лучшим образом. Позиция, которую он занимает на рынке, это доказывает. И, конечно, система предварительно настраивается перед тем, как встать в реальную сеть на тесты.
А если правда ситуация такая уникальная и правда нужно написать кастомные фильтры, то для этого есть интерфейс, пожалуйста, можно упражняться. Единственно, нужно помнить про производительность, так как кастомные фильтры — они, как правило, не оптимизированы и если их много и они сложные, могут подсадить performance.
А если правда ситуация такая уникальная и правда нужно написать кастомные фильтры, то для этого есть интерфейс, пожалуйста, можно упражняться. Единственно, нужно помнить про производительность, так как кастомные фильтры — они, как правило, не оптимизированы и если их много и они сложные, могут подсадить performance.
Sign up to leave a comment.
Сетевая безопасность, Часть 2. Next-Generation Firewall