Раз уж в последние несколько дней ходит шум вокруг уязвимости Cisco IOS XE CVE-2023-20198, то позволю и себе высказаться на эту тему. Не буду пересказывать первоисточники, переводя на русский, хотя краткую выжимку рекомендаций дам.
Когда возникает подобная новость об уязвимости, в первую очередь у ИБшника и владельца зоопарка систем возникает вопрос: а что же у меня под угрозой?
Список платформ, работающих на Cisco IOS XE, можно найти по ссылке.
Как понять, что ваша платформа уязвима?
Наверное, каждый обращал внимание, что редкая организация не спрашивает, как можно к вам обращаться, по какому бы вопросу ты ни звонил.
- Подскажите, где ближайший банкомат к станции метро такой-то?
- Как я могу к вам обращаться?
---
- Видел на сайте, что у вас в наличии автомобиль такой-то, по такой-то цене. Информация актуальна?
- Как я могу к вам обращаться?
---
Список можно продолжать очень долго. Когда-то я практиковал метод, при котором каждому новому ресурсу представлялся новым именем. Но имена быстро закончились, а вести таблицу было лень. Можно пробовать одно имя на целое направление (банки, автосалоны, магазины) - так таблица меньше. А можно вообще отвечать что-то типа:
- Как я могу к вам обращаться?
- Пока никак не нужно обращаться. Мне сейчас нужен только ответ на вопрос.
С той стороны может возникнуть замешательство, недоумение и прочие эмоции, кроме положительных, поэтому, кому не нравится такой поворот - метод не подойдет. Но какая-никакая эффективность у этого метода есть. Потом звонков меньше. Видать, пустое поле не особо заполняют, чтобы не возникало вопросов. Хотя, стоит учесть, что узнать имя человека по номеру телефона вполне легальным методом в большинстве случаев проблемы не составляет.
Но, кому не претит метод замалчивания имени - пользуйтесь.
Интересный высер от Business Insider, запроксированный сесуритулабом, прочитал я сегодня. Ну и, конечно, создал мем на эту тему, чтобы вы не унывали, дорогие представители одной из худших (оказывается) профессий по версии ИБшного портала.
Что на эту тему пишет первоисточник по-нерусски: "You spend a lot of time reviewing a lot of logs and then, just when you think you've solved a critical data breach, a new hacker erases all the good you've done, the world is not a better place and you are back at square one."
Конечно, если компания вместо создания собственного SOC либо покупки сервиса SOC нанимает аналитика, превращая в живой SIEM, то так себе его судьба, если не запилит автоматизированную корреляцию хотя бы на open source. Кстати, лет много назад я собеседовал человека, который как раз и был таким живым ArcSight'ом компании на тот момент. Дяденьке было 45+, и ничего.
Но если вернемся к инфе из Business Insider, то можно заметить, что цитата по-нерусски сгенерирована не кем-нибудь, а целой CEO of a tech career coaching service for women!
В отличие от остальных профессий из списка, Cybersecurity Analyst имеет уровни, и если в логе копается форензист либо threat hunter, то это уже всем логам лог. А они тоже аналитики кибербеза, но уже выбравшие специализацию. Правда, чтобы и на начальный уровень попасть, тоже нужно много чего знать. Тут да, легкий старт не выйдет.
Так что, пацаны, это работа для нас с вами. В обработке логов есть высший смысл и инструменты автоматизации. Если проникся - ты в игре.
Кибербез надо любить. Это мужская работа.
