Názory k článku
Loni žádná nuda. Armáda ČR v roce 2023 řešila přes 200 tisíc kybernetických útoků

Ja se drzim treba toho, jaka je treba dostupnost toho armadniho webu. A ta je mizerna. A "kyberobranci" ani neustoji najezdy jednoho blbeho rusaka - a to tak, ze si z toho dotycny akorat dela srandu na socialnich sitich. PR neni vyvazene - to se chlubi jen "uspechy". O failech (a tedy prilezitostech ke zlepseni) se nemluvi.

Správně! :-) A teď mi řekni, co je to ta tvoje realita a s jakými fakty nebo ověřenými informacemi pracuješ. Drž se prosím obsahu tohoto článku.

Stejne tak posuzovat veci podle PR prohlaseni, kde obsah sdeleni je fakticky neoveritelny dost dobre nejde, ze? :-) Zvlast kdyz celkem pravidelne se ta tiskova prohlaseni od reality dost lisi. Aneb to mate slunickove PR... a pak s s odstupem se nestacite divit, co se tam vlastne deje.

Vytvářet domněnky o něčem, kde neznám souvislosti a nemám podrobné informace, je hloupost. Bez znalosti věci, lze jenom plkat na úrovni hospodských řečí.

Já v to jen doufám.

Ty jejich čísla neobhajuji, jen jsem chtěl rozporovat, že by to nestíhali ručně řešit. Takováhla kategorizace nedává smysl, ty počty jsou divné, není to vysvětleno a asi nemá smysl to nějak rozebírat.

Jisteze, armada neni jen web. Ale z podobnych detailu typu neco jsme nekam frkli a pak uz jsme na to nesahli jde dovozovat ledacos, aneb kde berete jistotu ze i jinde to nedelaji stejne? Aneb bavime se o kontinualnim procesu - a pokud se nekde systematicky zanedbava, pak to proste nedelaji dobre. A to, ze se to snazi zamaskovat nesmyslnou statistikou z kategorie vykazovani cinnosti to nevylepsuji.

jak jsem psal, 4 lidi cca 200 událostí (koukám na čtvrtletí průměr).

To, jestli takovýhle způsob je efektivní je jiná věc, ale však výš jak se to v těch korporátech někdy prostě tahá silou a ne logikou, na sofistikovaný útok si stejně musí tahat lidi z venku, aby jim s tím pomohli.

Armáda přece není web, ten si prostě nechali udělat a už na to nějakou dobu nešáhli. Jak neobvyklé.

No pokud nekdo vali stovky udalosti denne k nejake rucni klasifikaci, tak zakonite ten operator tam driv nebo pozdeji u toho proste otupi. A jedinou vystupni hodnotou budou ty kolacove grafy do podobnych zpravicek. Coz v pripade tech "vasich" bank se ukazalo take - kdyz se neco fakt delo (ty utoky z Ruska), tak na to mnozi koukali zrovnatak jak vyvorana mys (a opakovane)... ostatne stejne jako ta armada (obrana). On ten web armady vubec neni zadna hitparada, co se dostupnosti tyce a na predmetnem telegramu se chlubi jeho sestrelenim taky pomerne casto. A ze by ta armada byla state-of-art? ;-) Zadne IPv6, zadne TLS1.3, preferovane DHE pred ECDHE... a DNSSECem bych se taky rozhodne nechlubil. Vzdyt tem rusakum musime bejt ve finale spis pro smich... a tak hlavne ze mame statistiku.

Jenze to by chudaci nemeli pristup k wiki, a tudiz ani k tajnym informacim (jestli neverite, tak tam bezte, treba za nekym z generelniho stabu ...)

promiň, už špatně vidím :). Máš pravdu, píšeš o 14.

"Serizózní ruční zpracování" je klasifikace, kterou jsi si vytvořil, abys jí mohl rozporovat. Netuším jak si to představuješ. Ty události spolu vždy nějak souvisí a třídění, sledování, hledání indikací nějakého průniku či problému je běžná praxe.

Ano, i fajfka je ruční zpracování.

Armáda NÚKIBu nemusí nic hlásit. Ten se to, pokud je to nezbytné, dozví jinými kanály.

A kdeze pisu o k? :-) Jako za seriozni rucni zpracovani incidentu (o kterem byla vyse rec) fakt nepovazuju to, ze nekdo tomu da fajfku, aby to na nej nesvitilo a bezi od toho... to je dobry fakt akorat na ty "ohromujici" statistiky z kategorie "wow, neco jsme vystrcili do internetu a ono do toho zacne neco busit". Do toho bude zapadat i vase "odbaveni" padesat udalosti za osm clovekohodin. Jasne, da se u toho skvele vykazovat cinnost :-)

když odečtu malware, je to 27k na rok, což je asi sto denně (mimo víkendy). Kde jsi vzal 14k za hodinu?

V jedné naší velké bance to číslo je podobné, 4 lidi v pracovní době odbaví asi 200 událostí za směnu průměrně (zpravidla to je otagování, nastavení trapu, přidání metrik a contextu).

Vzhledem k tomu ze nukib eviduje podstatne min kybernetickych utoku v cele CR tak bych rekl ze armada jim naprostou vetsinu utoku nehlasila.

Na rucni zpracovani prave ty cisla take moc nesedi. Aneb i kdyz vynechame zmineny malware, porad to mame skoro 14 incidentu "zpracovanych" za hodinu v ramci bezne pracovni doby (na kterou se hraje i v armade, tzn. klasika 8/5). I a kdyby se pracovalo opravdu non-stop (coz je nerealne), porad to jsou vic jak tri "resene" incidenty za hodinu. Takze je vlastne otazkou, co za hausnumero nam tu armadni PR oddeleni serviruje ;-)

tak ono je opravdu možné, že to řešili, tj. ručně to ověřovali, což je běžná praxe, ne? WAF je jen takový kanárek, zpravidla tě zajímají věci, které WAFem projdou a nikdy není 100% záchyt. Když jsi důsledný tak zjišťuješ zdroj, taguješ a kategorizuješ. Tomu i odpovídá ten počet, 20k za rok u velké organizace není nereálné číslo těch větších záchytů, které se ručně ověřovali, je to příliš malé číslo, aby to byly všechná řádky z logů.

Mně tam spíše zaujalo těch 180k malware případů. Jako malware totiž často označujeme něco, co jde ze vnitř ven (ať už C&C nebo i nějaké pokusy o volání domů, načtení domény). Ten nepoměr je dost výrazný a kdoví co odchytávají, že by třeba mobilní aplikace? Nebo tam měli nějakého krtka, který se jim tam šířil?

Rád uvolním porty!

A co by si ušetřili starostí, kdyby nebyli online.

Nevycházej, řešili o dva víc než zaznamenali

Resili = formulae o kyber incidentu, zaslani na nukib. Nektery shomeni delaj i zrcadlo hlaseni. Zaroven se zaviraj sd, ktery vytvori onen inc, nekdy se sejde komise specialistu atd, kdy vnikne napravne optreni, tj. Blok ip na fw, proste prace nad hlavu :)

Ja mezi nimi rozlisovat umim... a taky znam ten marketingovy speach, co se kolem podobnych veci casto pouziva :-) A ten casto mezi podobnymi vecmi rozdil cinit neumi.

No když nedokážete rozlišit mezi pojmy "řešili jsme" a "bylo na nás vedeno", tak vám ty čísla prostě vycházet nebudou :)

To by mně fakt zajímalo, co na nich "řešili" :) Spíš "zaznamenali"? A je sken webu na běžné zranitelnosti vlastně "kybernetickým útokem"? :-) Když spočítám všechny pokusy o načtení wp-login.php nebo .env či adminer.php na "svých" webech, tak těch 200 tisíc "pokusů o útok" mám loni taky.. :-D

Samozřejmě, nějak ty masy je potřeba něčím nakrmit... :-)

No to jsme na reportech NoName057(16) spojenych s nedostupnosti mj. army.cz take (opakovane) videli. Samozrejme podobne bojove "neuspechy" se do PR zprav uz tolik nehodi.

Svatá prostoto... Jsou to vojáci, působí i aktivně. Takže nějaká zívačka před monitory úplně nehrozí.

Jen WAF mi na jednom vcelku zapadlem hobby-webserveru "sestrelil" jen za dnesek od pulnoci 105 podobnych pokusu, a to jeste neni konec dne :-) Jsou dny, kdy tamtez to da i 300+ zachytu. Ale rozhodne bych kolem toho nedelal PR stylem "nenudili jsme se" - tyhle veci se delaji a maji delat automatizovane, takze nuda to ve vysledku je... aneb koukli jsme na statistiku ze SIEMu.