-
Похожий контент
-
От ska79
Какой линукс установить на слабое устаревшее железо 2006 года выпуска?
-
От KL FC Bot
В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
Оценка потока информации
По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
View the full article
-
От KL FC Bot
Популярный у инженеров принцип «работает — не трогай» многие годы применялся и в мире компьютеров. Теперь он стал непозволительной роскошью. Распространение кибератак, в том числе на научные и медицинские организации, ставит перед IT- и ИБ-службами настоящую дилемму. Чтобы защитить важное оборудование от атак, его программную часть надо обновить. Ведь устаревшее ПО на такой технике — это простые в эксплуатации уязвимости, примитивное или вовсе отсутствующее шифрование, рудиментарный контроль доступа, в общем — подарок для атакующего. Но само обновление ПО очень часто сопряжено с крупными расходами и риском остановки бизнес-процессов. Правда ли все так сложно и как решить эту проблему?
В чем риски обновлений
Многие системы безотказно работают годами и даже десятилетиями. Основной страх их бизнес-владельцев состоит в том, что процедура обновления может нарушить работу системы, а восстановить ее работоспособность будет невозможно. Подобные опасения не беспочвенны. Бывает, что люди, которые знали все подробности работы системы, давно уволились или ушли на пенсию, а документация утеряна или вовсе никогда не существовала. Это встречается нередко, но иногда проявляется в экстремальных формах. Например, в налоговой службе США до сих пор используются компьютеры 1970-х годов и программы на почти мертвом языке COBOL. Бывает, что поставщик техники был перепродан или поглощен другой компанией, вышел из бизнеса или обанкротился. Тоже не редкость — в этом году обанкротился гигант по производству банкоматов Diebold Nixdorf.
Во всех этих случаях искать техподдержки и помощи после сбоев в обновлении будет негде.
Более того, в случае длительной эксплуатации многих видов техники у нее образуются связи с другими системами в организации, и эти связи далеко не всегда очевидны и документированы. Поэтому отключение системы может спровоцировать каскадные сбои или отключения в других системах, которые довольно трудно предвидеть и предотвратить.
Все перечисленное приводит к неприятному выводу — восстановление после такого инцидента займет дни или недели, а стоимость простоя будет огромной.
Посмотреть статью полностью
-
От KL FC Bot
Необновленные и вовсе не поддерживаемые версии Exchange создают неоспоримую опасность для корпоративной сети. И тем не менее многие администраторы не спешат обновлять их, очевидно руководствуясь древней мудростью «работает — не трогай». Компания Microsoft решила повлиять на администраторов со своей стороны, для чего разработала механизм Transport-based Enforcement System для Exchange Online.
В первую очередь, эта система служит для извещения администраторов о необходимости обновления. Однако если они не предпримут должных мер, то доставка почты от уязвимых серверов будет постепенно замедляться, а со временем и вовсе блокироваться. И в целом это хороший рычаг, позволяющий убедить владельцев серверов Exchange наконец-то обновить их.
Как работает Transport-based Enforcement System
Механизм крайне прост: когда инстанс Exchange Online получает через входящий коннектор типа OnPremises почту от сервера Exchange, он определяет точную версию билда, по которой можно оценить наличие патчей. Если сервер уязвим, то Exchange Online запоминает дату обнаружения и добавляет информацию об устаревшем сервере в отчет.
Если в течение 30 дней с момента первичного обнаружения ситуация не меняется, то сообщения от него начинают доставляться с задержкой. И время этой задержки увеличивается каждые 10 дней. Через 60 дней после обнаружения письма начинают блокироваться.
Microsoft планирует начать применение данного механизма исключительно к серверам Exchange 2007, однако впоследствии он будет работать и при подключении всех версий Exchange, причем не важно, как они подключаются к Exchange Online (то есть не только через коннектор типа OnPremises). Детали, касающиеся Transport-based Enforcement System, можно найти в официальном блог-посте команды Exchange. К сожалению, в нем нет информации о том, когда данная система начнет работать, а главное, когда планируется распространить ее на прочие версии Exchange.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти