Vlákno názorů k článku
NÚKIB: DDoS útoky v březnu cílily hlavně na úřady od Uncaught ReferenceError: - Post analýzy incidentů a průběžné reportování NÚKIBu je...

Post analýzy incidentů a průběžné reportování NÚKIBu je u průniků na desítky až stovky stránek textu u těch středně závažných, u těch závazných je člověk opravdu zavelen papíry, dokumenty, reporty.

Pokud jde o průnik, tak někdy to je prostě mravenčí práce, zpravidla logů nemáš vůbec dostatek, útok mohl probíhat měsíce, často do toho jsou zapojeny další externí subjekty, u kterých získat nějaká data je problém.

Jedna věc je pak odhalit způsob jak k průniku došlo, to bývá většinou rychlé, když ale útočník využil nějaké neznámou 0-day zranitelnost, tak odhalit způsob je opravdu i na měsíce (viz třeba rodina zranitelností spectre, nemusí zanechat vůbec žádnou stopu). Druhá věc je zjistit, kdo za tím stál, jaké údaje mohli uniknout a kam všude mohl mít přístup, opět to mže trvat dlouho, zejména pokud byl útok dlouhý. (dá se to připodobnit tomu, když ti do kanceláří vznikne cizí osoba a pohybuje se tam, ne všude máš kamery, máš tam slepé úhly a vypátrat, u kterého stolu mohl být a co mohl vidět nebo co mohl slyšet není na chvilku, nikdy nemáš dos logů, svědectví a záznamů).

Samozřejme DDoS útok od Noname057(16) se už nemusí nijak analyzovat, jsou pořád stejný a identifikuješ je rychle.

Rekl bych ze se tak nejak predpoklada, ze ty logy a dalsi informace se zpracovavaji nejak prubezne bydefault, a v okamziku kdy se neco stane, dotycny vi kam se podivat, a co hledat.

A zkoumat neco dele nez radove dny prevazne nedava vubec smysl, protoze mezi tim se udeje spousta dalsich incidentu, ktere je treba take zkoumat ...

nehledáš práci? :)

Sebrat logy z různých míst, jak snadné...

Dle tveho prispevku by takovy Mandiant posel hlady. Delat analyzu jakehokoliv incidentu 2 roky muze tak 1 clovek bez zkusenosti v organizaci kde panuje totalni bordel. Jinak sebrat logy z ruznych mist, vzorky, atd a analyzovat je je otazkou dnu a tydnu, v extremnich pripadech u velkych organizaci to muze trvat mesice ale za svou 30+ karieru v cybersec jsem neslysel o pripadu kde by cely tym analyzoval incident dva roky.

Je vam jasne ze nemuzete incidenty resit jak delnik vyrobu u pasu? Nektere incidenty na analyzu zaberou i rok dva celemu tymu. Jine vyresite ve vetsich mnozstvich kazdy mesic.

15. 4. 2024, 14:01 editováno autorem komentáře

To vypadá na pěknou fušku! 0,04 incidentu na zaměstnance.. Vidím partu 20 profíků, jak makají na jednom incidentu celý měsíc a výsledkem je: Článek na Lupě! Ano. Gratulujeme a děkujeme!
Ještě by mě zajímalo, kolik stihli zaměstnat lidí u dotčených osob. Prostě všechno jak jsme si to malovali a chtěli. Demokracie vítězí, záškodníci a pachatele kyberzla byli poražení.