В последние десять лет системы безопасности в основном фокусируются на просмотре входящего интернет-трафика, что позволяет обнаруживать широкий ряд событий, нарушающих безопасность, таких как спам, фишинг, DDoS, SQL injection и переполнение буфера. За последние пару лет исследования, проведенные такими организациями, как Verizon, Symantec Research, Gartner, Mandiant, привели к тому, что стало понятно, что контролировать надо и выходящий трафик. Это позволяет обнаруживать соединения с ботнетами, серверами типа command-and-control, утечки данных и нарушения политик безопасности.

Что касается мониторинга "перпендикулярного" (скажем, подсеть-подсеть) трафика, то об этом почему-то забывают, хотя эти исследования могут помочь определить влияние атаки.

Проблема в том, чтобы нормально осуществлять такой мониторинг, необходимо множество зондов (пробов). Технологии типа NetFlow или IPFIX упрощают эту проблему, поскольку в качестве таких зондов можно использовать уже суще ... Читать дальше »

Недавно Twitter газеты Financial Times подвергся нападению проассадовских активистов, которые называют себя Сирийской электронной армией (СЭА). И это не первая их акция. Эта атака не была чем-то большим, чем вандализмом в социальных медиа, хотя само сообщение было страшным: опубликованные посты были связаны с видео на YouTube, где показана казнь повстанцами захваченных в плен солдат сирийской армии.

Более интересным, чем обсуждение политики безопасности твиттера газеты или трудностей самого Twitter, который недавно внедрил двухфакторную идентификацию, является вопрос о мотивах и оборотной стороне атак подобных политически мотивированных групп. Их намерение выходит за рамки обычных причин, связанных с похищением денег или данных, и связано непосредственно с желанием нанести вред репутации или нарушить нормальную активность.

Вспомним предыдущие акции СЭА, благодаря которым они смогли получить контроль на Associated Press и отправить несколько сообщений о многочис ... Читать дальше »