Názory k článku
Loni žádná nuda. Armáda ČR v roce 2023 řešila přes 200 tisíc kybernetických útoků

Jen WAF mi na jednom vcelku zapadlem hobby-webserveru "sestrelil" jen za dnesek od pulnoci 105 podobnych pokusu, a to jeste neni konec dne :-) Jsou dny, kdy tamtez to da i 300+ zachytu. Ale rozhodne bych kolem toho nedelal PR stylem "nenudili jsme se" - tyhle veci se delaji a maji delat automatizovane, takze nuda to ve vysledku je... aneb koukli jsme na statistiku ze SIEMu.

To by mně fakt zajímalo, co na nich "řešili" :) Spíš "zaznamenali"? A je sken webu na běžné zranitelnosti vlastně "kybernetickým útokem"? :-) Když spočítám všechny pokusy o načtení wp-login.php nebo .env či adminer.php na "svých" webech, tak těch 200 tisíc "pokusů o útok" mám loni taky.. :-D

Ja mezi nimi rozlisovat umim... a taky znam ten marketingovy speach, co se kolem podobnych veci casto pouziva :-) A ten casto mezi podobnymi vecmi rozdil cinit neumi.

A co by si ušetřili starostí, kdyby nebyli online.

No to jsme na reportech NoName057(16) spojenych s nedostupnosti mj. army.cz take (opakovane) videli. Samozrejme podobne bojove "neuspechy" se do PR zprav uz tolik nehodi.

Resili = formulae o kyber incidentu, zaslani na nukib. Nektery shomeni delaj i zrcadlo hlaseni. Zaroven se zaviraj sd, ktery vytvori onen inc, nekdy se sejde komise specialistu atd, kdy vnikne napravne optreni, tj. Blok ip na fw, proste prace nad hlavu :)

Nevycházej, řešili o dva víc než zaznamenali

Samozřejmě, nějak ty masy je potřeba něčím nakrmit... :-)

No když nedokážete rozlišit mezi pojmy "řešili jsme" a "bylo na nás vedeno", tak vám ty čísla prostě vycházet nebudou :)

No pokud nekdo vali stovky udalosti denne k nejake rucni klasifikaci, tak zakonite ten operator tam driv nebo pozdeji u toho proste otupi. A jedinou vystupni hodnotou budou ty kolacove grafy do podobnych zpravicek. Coz v pripade tech "vasich" bank se ukazalo take - kdyz se neco fakt delo (ty utoky z Ruska), tak na to mnozi koukali zrovnatak jak vyvorana mys (a opakovane)... ostatne stejne jako ta armada (obrana). On ten web armady vubec neni zadna hitparada, co se dostupnosti tyce a na predmetnem telegramu se chlubi jeho sestrelenim taky pomerne casto. A ze by ta armada byla state-of-art? ;-) Zadne IPv6, zadne TLS1.3, preferovane DHE pred ECDHE... a DNSSECem bych se taky rozhodne nechlubil. Vzdyt tem rusakum musime bejt ve finale spis pro smich... a tak hlavne ze mame statistiku.

Svatá prostoto... Jsou to vojáci, působí i aktivně. Takže nějaká zívačka před monitory úplně nehrozí.

tak ono je opravdu možné, že to řešili, tj. ručně to ověřovali, což je běžná praxe, ne? WAF je jen takový kanárek, zpravidla tě zajímají věci, které WAFem projdou a nikdy není 100% záchyt. Když jsi důsledný tak zjišťuješ zdroj, taguješ a kategorizuješ. Tomu i odpovídá ten počet, 20k za rok u velké organizace není nereálné číslo těch větších záchytů, které se ručně ověřovali, je to příliš malé číslo, aby to byly všechná řádky z logů.

Mně tam spíše zaujalo těch 180k malware případů. Jako malware totiž často označujeme něco, co jde ze vnitř ven (ať už C&C nebo i nějaké pokusy o volání domů, načtení domény). Ten nepoměr je dost výrazný a kdoví co odchytávají, že by třeba mobilní aplikace? Nebo tam měli nějakého krtka, který se jim tam šířil?

Na rucni zpracovani prave ty cisla take moc nesedi. Aneb i kdyz vynechame zmineny malware, porad to mame skoro 14 incidentu "zpracovanych" za hodinu v ramci bezne pracovni doby (na kterou se hraje i v armade, tzn. klasika 8/5). I a kdyby se pracovalo opravdu non-stop (coz je nerealne), porad to jsou vic jak tri "resene" incidenty za hodinu. Takze je vlastne otazkou, co za hausnumero nam tu armadni PR oddeleni serviruje ;-)

Vzhledem k tomu ze nukib eviduje podstatne min kybernetickych utoku v cele CR tak bych rekl ze armada jim naprostou vetsinu utoku nehlasila.

A kdeze pisu o k? :-) Jako za seriozni rucni zpracovani incidentu (o kterem byla vyse rec) fakt nepovazuju to, ze nekdo tomu da fajfku, aby to na nej nesvitilo a bezi od toho... to je dobry fakt akorat na ty "ohromujici" statistiky z kategorie "wow, neco jsme vystrcili do internetu a ono do toho zacne neco busit". Do toho bude zapadat i vase "odbaveni" padesat udalosti za osm clovekohodin. Jasne, da se u toho skvele vykazovat cinnost :-)

Armáda NÚKIBu nemusí nic hlásit. Ten se to, pokud je to nezbytné, dozví jinými kanály.

Já v to jen doufám.

Ty jejich čísla neobhajuji, jen jsem chtěl rozporovat, že by to nestíhali ručně řešit. Takováhla kategorizace nedává smysl, ty počty jsou divné, není to vysvětleno a asi nemá smysl to nějak rozebírat.

Rád uvolním porty!

když odečtu malware, je to 27k na rok, což je asi sto denně (mimo víkendy). Kde jsi vzal 14k za hodinu?

V jedné naší velké bance to číslo je podobné, 4 lidi v pracovní době odbaví asi 200 událostí za směnu průměrně (zpravidla to je otagování, nastavení trapu, přidání metrik a contextu).

promiň, už špatně vidím :). Máš pravdu, píšeš o 14.

"Serizózní ruční zpracování" je klasifikace, kterou jsi si vytvořil, abys jí mohl rozporovat. Netuším jak si to představuješ. Ty události spolu vždy nějak souvisí a třídění, sledování, hledání indikací nějakého průniku či problému je běžná praxe.

Ano, i fajfka je ruční zpracování.

Jenze to by chudaci nemeli pristup k wiki, a tudiz ani k tajnym informacim (jestli neverite, tak tam bezte, treba za nekym z generelniho stabu ...)

jak jsem psal, 4 lidi cca 200 událostí (koukám na čtvrtletí průměr).

To, jestli takovýhle způsob je efektivní je jiná věc, ale však výš jak se to v těch korporátech někdy prostě tahá silou a ne logikou, na sofistikovaný útok si stejně musí tahat lidi z venku, aby jim s tím pomohli.

Armáda přece není web, ten si prostě nechali udělat a už na to nějakou dobu nešáhli. Jak neobvyklé.

Jisteze, armada neni jen web. Ale z podobnych detailu typu neco jsme nekam frkli a pak uz jsme na to nesahli jde dovozovat ledacos, aneb kde berete jistotu ze i jinde to nedelaji stejne? Aneb bavime se o kontinualnim procesu - a pokud se nekde systematicky zanedbava, pak to proste nedelaji dobre. A to, ze se to snazi zamaskovat nesmyslnou statistikou z kategorie vykazovani cinnosti to nevylepsuji.

Vytvářet domněnky o něčem, kde neznám souvislosti a nemám podrobné informace, je hloupost. Bez znalosti věci, lze jenom plkat na úrovni hospodských řečí.

Správně! :-) A teď mi řekni, co je to ta tvoje realita a s jakými fakty nebo ověřenými informacemi pracuješ. Drž se prosím obsahu tohoto článku.

Ja se drzim treba toho, jaka je treba dostupnost toho armadniho webu. A ta je mizerna. A "kyberobranci" ani neustoji najezdy jednoho blbeho rusaka - a to tak, ze si z toho dotycny akorat dela srandu na socialnich sitich. PR neni vyvazene - to se chlubi jen "uspechy". O failech (a tedy prilezitostech ke zlepseni) se nemluvi.

Stejne tak posuzovat veci podle PR prohlaseni, kde obsah sdeleni je fakticky neoveritelny dost dobre nejde, ze? :-) Zvlast kdyz celkem pravidelne se ta tiskova prohlaseni od reality dost lisi. Aneb to mate slunickove PR... a pak s s odstupem se nestacite divit, co se tam vlastne deje.