Компания Stamus Networks опубликовала выпуск специализированного дистрибутива SELKS 7.0, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется полностью готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Размер загрузочного образа 3 ГБ...Подробнее: https://www.opennet.me/opennews/art.shtml?num=56983
На первый взгляд очень достойно и ненаколеночно.
А на второй взгляд?
А на второй - нужно присмотреться.
а на третий день зоркий глаз увидел ElasticSearch
Это через который по дефолту все тырят?
Ага, и который ещё может внезапно пролиться через край и стать жертвой OOM Killer'а. И который при этом (и любом другом поводе) может войти в режим relocation hell. В общем, это Lady Java.
Сам организовал вторжение, сам зарепортил, удобно! Еще log4j надо было заюзать.
И не увидел сертификатов межведомственных партнеров, которые допускают его в корпоративную сеть. Значит - хотя и заманчиво, но нет.
Какие в стране одичалых нафиг сертификаты? Ставь ш...6ешплатное, пока скачать еще разрешают.
Вали с опеннета, дятел.
На Wazuh похоже. Но кроме сурикаты - он ещё и оссек умеет.
Смущает то, что линь под это дело ставят. Лучше было бы (надежней ), на мой взгляд, на BSD-ях это делать
Аджакс можно выкидывать?
ElasticSearch (T_T), Kibana (T_T), три гигабайта...
Под эту штукадрючину ещё и пару серверов отгружать что-ли?
У большинства корпоративов сразу встаёт вопрос: будет ли оно жить само по себе или можно интегрировать с имеющимися Прометеями и заббиксами. И многие резонно будут склоняться к "лучше я ещё алертных правил напишу".
С каких пор для корпоративных клиентов пара серверов это проблема, не говор уже о трёх гигах дискового пространства? Если только это не корпорация ОАО РосПил под санкциями, но этих и не жалко, пусть хоть сгорят.
Мнение подвальных умельцев считать чужие деньги очень важно для нас (нет).Обычно именно подвальным "пару серверов" не жалко совсем (все равно на них майнят втихушку).
А корпоративные клиенты...впрочем те обычно не ставят IDS из г-на и палок. А вот ООО под санкциями - теперь будут, их цискин файр - он файр, через неделю сдохнет.
Ты опять выходишь на связь? Все ж курсах давно, что до подвального умельца тебе на эникея ещё пять лет учиться. Кроме собственного локалхоста ничего в жизни не щупал, но своё мнение при каждом удобном случае кукарекнуть не забываешь. И, снова, сел в лужу со своим «аналлизом». Ей-богу, опеннет в несмешной цирк скатился. А когда-то был авторитетным ресурсом…
А ты что за тупое агро чтобы поха в его скиллы носом тыкать?
Зря ты так считаешь - вполне достойно работают корпоративные NIDS серверы на свободном ПО.При том десятки лет. Мы, к примеру, проходим постоянные тесты сторонних сертифицированных аудитчиков. Если делать качественно, от души IDS, то свободное ПО норм отрабатывает.От "Кисок" намеренно отказался еще 10 лет назад, как оказалось сейчас - не зря.
по моему ты какой-то неэффективный.> Под эту штукадрючину ещё и пару серверов отгружать что-ли?
чего это серверов?!
Пару кластеров! Зато смотри, смотри - pie charts!Менеджмент одобрит, зуб даю!
> три гигабайта...
это загрузочного образа. ЖРАТЬ оно будет - терабайтами.
P.S. причем вся эта красотень разумеется совершенно бесполезна в реальной жизни, ибо никто не ищет атаки в пай чартах. А anomaly detection из г-на не бывает (точнее бывает - такое же г-но получается).
P.P.S. ой, это я неподумавши. Очень даже может оказаться полезна, если как обычно, е6ластик без авторизации. Но не тем.
> Менеджмент одобрит, зуб даю!разумеется одобрит, там же графики красивые есть 🤣
Тем временем хаксоры в корпоративчике будут тихо ржать пока манагер пырится в графики в которых все-равно ничерта не смыслит, как и секурити-эксперт вкативший это решение. Они б и громко ржали, но если на всю фирму разослать OLOLO LOL 0WNED - пчелы начнут что-то подозревать.
> это загрузочного образа. ЖРАТЬ оно будет - терабайтами.Да, я как-то не сообразил что это не пакет и не ДОКЕРный образ. Если это целая ОС, то три гига - норм. А про данные - это у-у-у...
А поскольку тут такие стабильные и надёжные технологии как эластик, надо обязательно будет натравить пром/заб/нагиос на ЭТО чтобы оно не развалилось на шарды от первого ООМа. И что-то подсказывает мне, что эти анализаторы можно было бы оформить в виде экспортеров к тому же прому (хоть я его и не оч люблю) и выводить барахло в графану. Ну да пофиг.
Но это соображения, конечно. От реального APT вряд-ли защитит. А когда петух клюнет, и обычных алертов по bandwidth/io/disk utilization/ssh ping налетит.
Как будто в докерном образе она меньше займет? Там не целая ось, там целый зоопарк смузитехнологий.> и выводить барахло в графану.
фу какой ты немодный. Вот же - кибана!
пох дело говорит. Если чо за его зубами можно придти, он сам зуб дал, не толпимся встаем в очередь.
у большинства корпоратов подобные siem системы типа всяких qradar и прочих соларвиндов и так живут независимо от девляпсо/сре-мониторингов. это чисто для безопасников штуковина.
> Под эту штукадрючину ещё и пару серверов отгружать что-ли?Кто сейчас ставит на bare metal систему? На сервера ставится гипервизор и выделяются ресурсы, ну будет пара дополнительных виртуалок.
IDS? Действительно, кто эти м-ки? А, вон, циска какая-то...Да-да, давайте систему с доступом ко всей сети и возможностью легального перехвата всего траффика впихнем куда попало рядом с десятком аутсорсерских виртуалочек с чятиками, роботами поддержки и прочей неведомой херней, и все ограничения снимем. И ресурсов для нее из воздуха наберем - облачные же ж технологии, тут все из воздуха - и диски, и процессоры. И их дофига, дофигее, дофигища - все бесплатно и нахаляву.
А потом у них таких "ой, livemigration чавойта dead". Потому что мильен нужных и полезных виртуалочек по три гигабайта только одной самой системы. Ну и еще терабайтик нужных и полезных логов. Они правда почему-то вчера оказались кем-то нехорошим пошифрованными, но их все равно никто ж не читает.
И так у вас - всё.
> систему с доступом ко всей сети и возможностью легального перехвата всего траффикаТак удобно же, особенно атакующим....
Кто сча ставит гипервизоры? Серваки БУшные ген6 уже со складов подмели все, камазами перекупы вывозили - докер или lxc наше все, будет ну пару дополнительных контейнеров.
В следующий раз меня позовите, ладно? Мне просто пару сервов домой надо бы.
> В следующий раз меня позовите, ладно? Мне просто пару сервов домой надо
> бы.ты за эти деньги не захочешь.
А вот пару armhf могу продать. Но недешево обойдется, контрабандный товар. На сайте производителя - "рюйске корабль - иди куда обычно".
Научите работать с сурикатой? Я тут запускал, но на только панику в логах наводит, что очередной китайский ботнет ломится (каждый раз с нового айпи). Какую ценность эта информация представляет?
Блин, ну ты совсем бестолковый? Не работать тебе безопастником с большой паст....зарплатой.> Какую ценность эта информация представляет?
матеръяльную. Распечатываешь красивый отчот с чартиками как ты героично отразил эвона сколько атак, и идешь за премией. Вот эта штука их уже готовые содержит, не надо будет самому рисовать.
для всего остального шва6одкиные (as in free beer) идсы малопригодны.
Кстати, есть вакансия в одной знакомой лавке... 300 тыщ ржублей и премия по итогам (ну то есть хрен там а не премия потому что время спецоперационное). Поди вот плохо за такое?
Да они и проприетарные примерно так же. Круто надеяться что кто-то сделает безопасность 1 кнопкой збс, ага. Такое довольно дорогое плацебо, а что, пипл хавает же.
Ну чуть лучше. Там "кнопку" обеспечивает коллектив индусских рабов, безостановочно клепающих новые и новые сигнатуры (иногда ломает прод, но кому ж мы признаемся). Его услуги, разумеется, надо оплачивать, и по подписке, которая дороже аплайанса выходит, причем - в год.И еще моментик - аплайансы - они нынче thread prevention, а не только бестолковые графики рисовать умеют. Т.е. есть шанс что оно не только прод положит, но и вовремя оборвет сессию, не дав позашифровать его нахрен.
Правда, теперь уже не в Перде, а только в странах по ту сторону Стены.
все очень просто.
1) надоел мусор в логах
2) заблокировал китай|корею|бангладеш|афганистан|урину|... на вход
3) ids заткнулась
4) goto 1это психология.
А потом они переносят свои "навыки" с локалхоста на промышленные системы.Приходит менеджер, которому пожаловался китайский контрагент (тем более нынче ценный что других уже нет) - и увольняет "при помощи ноги".
> А потом они переносят свои "навыки" с локалхоста на промышленные системы.как известно "промышленные системы" - это те же локалхосты,
просто в рекламных буклетах про них написано "industry-level", или как-то так.> Приходит менеджер, которому пожаловался китайский контрагент (тем более нынче ценный что
> других уже нет)по большому счету и китайских уже нет.
> - и увольняет "при помощи ноги".
на зарплату в 2 раза больше.
>> А потом они переносят свои "навыки" с локалхоста на промышленные системы.
> как известно "промышленные системы" - это те же локалхосты,хорошие и правильные локалхосты - да (то есть меня на самом деле первые лет десять удивляло, когда я прихожу во что-то на порядок большее чем прошлое - неважно насколько то локалхост - и нахожу те же самые решения, в большинстве случаев, только отмасштабированные). Но это точно не те где блокируют китайские айпи "чтоб не светили в логах". Но так бывает тоже местами и временами. Ты вот не можешь в pro-active блокировки (куда более эффективно и меньше false positives) на основе данных _распределенной_ сети научиться на локалхосте или в подвале - хоть ты тресни. Нет у тебя просто для этого достаточного масштаба.
> просто в рекламных буклетах про них написано "industry-level", или как-то так.
не, вот это точно локалхосты, просто с манией величия. Те где не написано - там возможны варианты.
>> Приходит менеджер, которому пожаловался китайский контрагент (тем более нынче ценный что
>> других уже нет)
> по большому счету и китайских уже нет.ну здрасьте, а кому мы лес продаем тогда? Куда-то ж он девается. Между прочим - границу открыли! э... но есть нюанс. В смысле раисся открыла - а с той стороны - "идите на.... "
То есть пересекать ее можно - но только китайскоподданным (при въезде назад их сажают на двухнедельный карантин в запертом снаружи помещении, но можно). Оно и понятно - лес в трубу не запихаешь, кто-то должен его катить или тащить.>> - и увольняет "при помощи ноги".
> на зарплату в 2 раза больше.надейся и жди. Вся жизнь впереди... то есть - недолго осталось потерпеть. А потом - в рай!
Я извиняюсь, но тут просится название CELKS
>Наработки проекта распространяются под лицензией GPLv3Так и только так! А то некоторые MIT-ят и BSD-ят. Мы говорим - нет пермиссивщине!
Ещё фонатег с GPL головного мозга порвался, причем на ровном месте.
смари-смари - четыре уже! (несите следующх!)
> Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх KibanaДосвидания. Им только интерфейс для фильмов "про какеров" рисовать и красивые картинки начальству показывать, для повседневной работы это моргающее нечто непригодно.
Не, ну здрасьте! А для чего еще она там по-твоему присопливлена? Именно чтоб "красивые картинки начальству". И вполне себе красивые. Сам ты с ней, кстати, подзатрахаешься такое же выкозюливать.А по факту - "Крупнейший в России агрохолдинг подвергся атаке шифровальщика" (нихрена никого не жалко). И чо, помог ему тут дистрибутив целок или как там его? А обновления винды отключены, конечно, а то вражеский пентагон нашлет порчу. Ой, а он и так наслал... или не он... оно само.
Тундерболт с оперативной на печатной Плате, можно на прещепку. А то zrama не хватит, жопа тормозить бубет.