Lockout policies
Feb. 8th, 2016 12:12 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineИз отчёта Касперской лаборатории о ГЦМАН малвари:
...One interesting observation is that the real attack happened approximately 18 months before it was discovered.
...
...We discovered that about two months before the incident someone was trying different passwords for an admin account on a banking server. They were really persistent but doing it only three times a week and then only on Saturdays, in an effort to stay under the radar...
Т.е. чуваки месяцами подбирали пароль к серверу со скоростью три пароля в неделю. Судя по всему подобрали.
При этом, включенные политики локаута производят один вред: паралич работы брутфорсимых аккаунтов вплоть до ДДОС уровня всего предприятия.
Умные сделали выводы ещё после конфикера 7 лет назад -- фтопку локаут полисис. Потому что одним прекрасным утром все пришли на работу и половина компании не может залогониться, т.к. аккаунты залочены постоянным брутфорсом конфикера. А чтобы разлочить, нужно залогиниться под админами, которые, сюрприз, тоже залочены, в результате замкнутый круг, в котором все бегают по офису и никто не знает что делать.
К сожалению ПЦИ ДСС до сих пор пребывает в альтернативной реальности и требует локаут полисиз.
Как делать правильно? Правильно анализировать брутфорс/дикшнари на уровне СИЕМ, к которой прикручивать реакцию в виде шкрипта вмвари/венды/сиско, которые банят оффендера на уровне айпишнега-источника подборов. И то временно, допустим, на пару дней, в течение которых СОК аналисты, предполагается, найдут оффендера поругаются на него чтобы больше не безобразничал.
...One interesting observation is that the real attack happened approximately 18 months before it was discovered.
...
...We discovered that about two months before the incident someone was trying different passwords for an admin account on a banking server. They were really persistent but doing it only three times a week and then only on Saturdays, in an effort to stay under the radar...
Т.е. чуваки месяцами подбирали пароль к серверу со скоростью три пароля в неделю. Судя по всему подобрали.
При этом, включенные политики локаута производят один вред: паралич работы брутфорсимых аккаунтов вплоть до ДДОС уровня всего предприятия.
Умные сделали выводы ещё после конфикера 7 лет назад -- фтопку локаут полисис. Потому что одним прекрасным утром все пришли на работу и половина компании не может залогониться, т.к. аккаунты залочены постоянным брутфорсом конфикера. А чтобы разлочить, нужно залогиниться под админами, которые, сюрприз, тоже залочены, в результате замкнутый круг, в котором все бегают по офису и никто не знает что делать.
К сожалению ПЦИ ДСС до сих пор пребывает в альтернативной реальности и требует локаут полисиз.
Как делать правильно? Правильно анализировать брутфорс/дикшнари на уровне СИЕМ, к которой прикручивать реакцию в виде шкрипта вмвари/венды/сиско, которые банят оффендера на уровне айпишнега-источника подборов. И то временно, допустим, на пару дней, в течение которых СОК аналисты, предполагается, найдут оффендера поругаются на него чтобы больше не безобразничал.
