Here's how the NSA spied on Cisco firewalls for years

same nowosci
Wiadomość
Autor
lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Here's how the NSA spied on Cisco firewalls for years

#16

#16 Post autor: lbromirs »

rysic pisze:No tak, byłem na prezentacjach wszystkich trzech graczy. Każdy zwie to firewallem nowej generacji :-) Każdy uważa, że więcej wykrywa w swojej chmurze a konkurencja czegoś tam nie wykryła :-D
Oczywiście.
rysic pisze:A co do badań w prawie czasie rzeczywistym - to jeśli dobrze zrozumiałem polega raczej na tym, że analizujemy i szukamy sygnatur, które już znamy
Już w bardzo małym stopniu. Często równolegle do innych działań - w tym uczenia maszynowego i tzw. głębokiego. W ten sposób szuka się anomalii różnego rodzaju i jest to działanie dużo skuteczniejsze niż sygnatury, a wręcz jedyne działające jeśli chodzi o dzisiejsze botnety - w szczególności ransomware. Zespół z Cisco poprowadził ostatnio prezentację na BlackHat o malware używającym SSLa i wykrywaniu malware ukrywającego się w szyfrowanych połączeniach. etty i podobne narzędzia dają niesamowite wyniki, a jeśli masz dużą bazę danych... fajnie wiele rzeczy widać.
rysic pisze:Zabawne jest jednak to, że szkodniki już ewoluowały to sprawdzenia przed działaniem, czy przypadkiem nie zostały wysłane gdzieś do chmury
"Szkodnik" nie wie o tym co się z nim dzieję. Telemetria razem z FPC poszła do chmury równolegle. Z dużym prawdopodobieństwem zanim zacznie działać będzie go można złapać między nogami. Ale - tylko prawdopodobieństwem. Nie ma cudownych pudełkowo-bezchmurowych rozwiązań za 3 a nawet za 300$, które robią wszystko.

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Here's how the NSA spied on Cisco firewalls for years

#17

#17 Post autor: Kyniu »

rysic pisze:A co do badań w prawie czasie rzeczywistym - to jeśli dobrze zrozumiałem polega raczej na tym, że analizujemy i szukamy sygnatur, które już znamy
Nie, chyba nie zrozumiałeś. Na przykład jeden z tych mechanizmów to analizowanie i budowanie wzorców ruchu DNS, jak to opisowo mówią ludzie z OpenDNS, tworzą oni "muzykę internetu" a potem pilnują, czy "muzyka gra czysto" czy też pojawiają się "fałszywe nuty". A co więcej, jeśli pada podejrzenie, że do "nut" wdarł się fałszywy element, to można "muzykę" zatrzymać i pogrzebać głębiej.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Here's how the NSA spied on Cisco firewalls for years

#18

#18 Post autor: konradrz »

lbromirs pisze:warto zajrzeć na blogi naszych rodaków dłubiących dla Google'a w Szwajcarii, j00ru
Kompletna prawda.
lbromirs pisze:czy też Travisa Normandy
Tavis Ormandy :) Damn autocorrect!

Skądinąd, jeśli ktoś chce sobie "małego linuksa na router do pracy" postawić, to NetBSD ma całkiem mało CVE. "TCP last ACK" prawie każdy miał (linux included), zamiast ntpd można ntpdate używać.
Czy to dlatego że bezpieczny, czy "bo mało kto używa" - to temat chyba na inny wątek.

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Here's how the NSA spied on Cisco firewalls for years

#19

#19 Post autor: lbromirs »

konradrz pisze:
lbromirs pisze:czy też Travisa Normandy
Tavis Ormandy :) Damn autocorrect!
Fck. Dzięki ;)
konradrz pisze:Skądinąd, jeśli ktoś chce sobie "małego linuksa na router do pracy" postawić, to NetBSD ma całkiem mało CVE. "TCP last ACK" prawie każdy miał (linux included), zamiast ntpd można ntpdate używać.
Czy to dlatego że bezpieczny, czy "bo mało kto używa" - to temat chyba na inny wątek.
FreeBSD. FreeBSD. FreeBSD... ;)

(albo jak ktoś bardzo musi - pfSense)

ODPOWIEDZ