Мой вопрос связан с моими пробелами в работе с командной строкой. Подскажите, пожалуйста, где я туплю.
Сервер расположен на AWS. Прокси работает идеально, пока в терминале так: ubuntu@ip-136-32-17-212:~$ cd mtprotoproxy
ubuntu@ip-136-32-17-212:~/mtprotoproxy$ python3 mtprotoproxy.py
tg: tg://proxy?server=17.221.145.24&port=4433&secret=ee20200004000700004000503450600001676f6f676c6rtyu36fsd (new)
То есть я зашёл по ssh, запустил прокси от пользователя ubuntu, и он от него работает. Но стоит мне закрыть терминал, как соединение с прокси в клиенте обрывается. Насколько я понимаю, «python3 mtprotoproxy.py» перестаёт выполняться. Как оставить его работать?
Пострадавших клиентов обещают уведомить по электронной почте и предлагают бесплатную подписку на сервис, отслеживающий появление приватных данных в сети.
Мне кажется, что от такой инициативы может быть больше вреда, чем пользы. Если у злоумышленников есть база утекших адресов почты, то они могут, прикрывшись этой инициативой, разослать фишинговые письма от имени Мариотта и собрать валидные пароли для других сервисов. Хотели как лучше, а получилось ещё лучшее.
В принципе, SIEM умеют смотреть события СКУД. Если АРМ может послать в SIEM своё состояние «заблокирован/не заблокирован», то можно и инцидент завести на основе корреляции.
Нет. Согласно руководству, вы можете говорить «Твоя работа — фигня», но не «Ты сам — тупица». Это всё-таки разные вещи. Никому и не приходится угождать.
Если вдруг кто-нибудь осилит прочитать ветвь комментариев, Darktrace умеет слать события в топовые SIEM: ArcSight, LogRythm, Qradar и Splunk.
Насколько я понимаю, DT помогает справиться с традиционной (ну в России, во всяком случае) проблемой сиемов — «Ну… Он у нас куплен. Стоит на полке. Работать с ним некому». Во всяком случае в части всего, что связано с сетевым взаимодействием.
Ух спасибо! Интереснейшие комментарии. Люблю такие истории. Мой скепсис по поводу ИИ в ИБ стал немного меньше.
А DT умеет слать свои подозрения на инциденты в SIEM или Incident Management? Мне запрошенные white-papers пока не прислали.
Что касается ползунка чувствительности, это данные, которые собрал сам DT? Или к нему какой-то логколлектор прикручивается, и DT может «лезть» в прошлое?
И второй вопрос: он у вас стоял рядом с каким-то более-менее традиционным средством защиты или отдельно? Не оценивали DT на false-positive в сравнении с чем-то другим? Действительно интересно, потому что фактически ты покупаешь чёрный ящик, на который полагаешься. И есть риск, что ты даже не знаешь, что что-то пропускаешь.
О да, так и хочется иногда спикеров притормозить!
По поводу Darktrace. Вы с ним работали или где-то видели презентацию на рабочем решении? Я посмотрел их сайт, сразу на ум приходит картинка из статьи, где «Прими своего спасителя». Наверное, я избалован (или привык к ним) всё-таки российскими сайтами с решениями по защите информации, где побольше технической информации и хотя бы становится понятно, как это всё работает. В общих чертах. У Darktrace запросил whitepapers и даташиты. Интересно будет почитать.
На одной из фотографий кнопки «Включение выключателя» и «Выключение выключателя». Занятные обороты.
Наверное, когда ты знаешь, что и зачем нужно на такой площадке, то можно работать. Но вот я бы близко не подошёл к этим штукам. То место, где Техника безопасности не пустой звук и пишется с большой буквы.
Сервер расположен на AWS. Прокси работает идеально, пока в терминале так:
ubuntu@ip-136-32-17-212:~$ cd mtprotoproxy
ubuntu@ip-136-32-17-212:~/mtprotoproxy$ python3 mtprotoproxy.py
tg: tg://proxy?server=17.221.145.24&port=4433&secret=ee20200004000700004000503450600001676f6f676c6rtyu36fsd (new)
То есть я зашёл по ssh, запустил прокси от пользователя ubuntu, и он от него работает. Но стоит мне закрыть терминал, как соединение с прокси в клиенте обрывается. Насколько я понимаю, «python3 mtprotoproxy.py» перестаёт выполняться. Как оставить его работать?
Мне кажется, что от такой инициативы может быть больше вреда, чем пользы. Если у злоумышленников есть база утекших адресов почты, то они могут, прикрывшись этой инициативой, разослать фишинговые письма от имени Мариотта и собрать валидные пароли для других сервисов. Хотели как лучше, а получилось ещё лучшее.
Насколько я понимаю, DT помогает справиться с традиционной (ну в России, во всяком случае) проблемой сиемов — «Ну… Он у нас куплен. Стоит на полке. Работать с ним некому». Во всяком случае в части всего, что связано с сетевым взаимодействием.
А DT умеет слать свои подозрения на инциденты в SIEM или Incident Management? Мне запрошенные white-papers пока не прислали.
И второй вопрос: он у вас стоял рядом с каким-то более-менее традиционным средством защиты или отдельно? Не оценивали DT на false-positive в сравнении с чем-то другим? Действительно интересно, потому что фактически ты покупаешь чёрный ящик, на который полагаешься. И есть риск, что ты даже не знаешь, что что-то пропускаешь.
По поводу Darktrace. Вы с ним работали или где-то видели презентацию на рабочем решении? Я посмотрел их сайт, сразу на ум приходит картинка из статьи, где «Прими своего спасителя». Наверное, я избалован (или привык к ним) всё-таки российскими сайтами с решениями по защите информации, где побольше технической информации и хотя бы становится понятно, как это всё работает. В общих чертах. У Darktrace запросил whitepapers и даташиты. Интересно будет почитать.
Наверное, когда ты знаешь, что и зачем нужно на такой площадке, то можно работать. Но вот я бы близко не подошёл к этим штукам. То место, где Техника безопасности не пустой звук и пишется с большой буквы.