Myslím, že článek pěkně ilustruje onu zoufalou zbytečnost celého aparátu CSIRT týmu:
a) CSIRT si všimul, že DOS útoků přibývá (no pánečku kdo by to čekal, myslím, že za posledních 20 let se to dost zhoršilo)
b) Nejčastěji se pry útočí na weby, také poměrně hodně šokující informace
c) Když dojde na lámaní chleba tak CSIRT tvrdí, že obrana je složitá, že měli málo informací a že je to celé vůbec komplikované.
d) Nebyli jste náhodou nedávno na cvičení (http://www.root.cz/clanky/cvicny-utok-na-site-eu-ocima-csirt-cz/), takže například včerejšek by v podstatě měla být hračka ne? Ale odhaduju, že si oprátoři poradili bez CSIRTu - k čemu by jej tak asi potřebovali.
Takže suma sumárum. Proboha, k čemu si všichni z našich peněz musíme cálovat něco jako CSIRT, který je v případě problémů tak jak tak naprosto bezzubý. Absolutně nechápu proč ty prostředky nemůžou jít například do rozpočtu policie, což je to orgán za tímto učelem zřízený, který je navíc vybavený odpovídajícími pravomocemi pro realizaci případného zásahu. Dokáže mi prosím toto někdo vysvětlit?
Nie nema. A to s takeho dvovdu ze pokial ja mam mat cloveka u ISP a obsahara denne 24/ 7 (ked uz ideme byt efektivny) tak sa mi viacej opati vytvorit soft ktory toto monitoruje a po nieakej inej linke koordinuje. Je to taka institucia o 2 veciach. Vid posledny utok. Zaujimalo by ma v com boly napomocny comu pomohly ako zasiahly dokopy su tam info onicom
Vlasto, skutecne velci hraci maji svoje systemy reakce na utoky plne automatizovane. Pri jejich cetnosti a velikosti totiz neni mozne zapojit do rozhodovaciho procesu lidske rozhodovani.
Takze ano, delate to nejmene stejne dobre jako ti nejlepsi v CZ, ale evropska spicka je jeste o kus dal.
Role CSIRT je koordinacni a pripadne metodicka.
Zkuste se podivat na to, jakou roli maji CSIRT vykonavat a za co zodpovidaji.
Jejich cinnost je koordinacni, nikoliv vykonna. Predstava, ze si nejaky poskytovatel obsahu necha sahat do sve site cizi subjekt jednajici v jakemsi vyssim zajmu, narazi na realitu dneska - tj. nikdo si to nepreje. Branit se DDoS utokum samozrejme lze, potrebujeme mit jen alokovano vice zdroju, nez ma utocnik. A to je uz jenom o ucetnickem "ma dati / dal". Napriklad, kdyz to sam nechcete/nemuzete resit, muzete pouzit sluzby nejake velke cdn - napriklad Akamai a mate "ochranu" v cene sluzby - jenom to stoji nejake ty penize.
Za kvalitu odpovedi muzou spise tazatele, odpovedi odpovidaji otazkam.
Asi nejsme úplně v rozporu :) Každý významný hráč (ISP/obsahář) pokud nechce hazardovat s pověstí, má 24x7 dohledové služby. CSIRT/CERT vnímám tak, že těmto stávajícím týmům je potřeba dodat nástroj a postupy, které se aplikují při detekci hrozby/útoku a naopak pomůžou tyto informace přijmout od jiných týmů.
Co jde zautomatizovat, nechť se zautomatizuje. Ale lidský faktor tam bude potřeba tak jako tak.
Ale nedramatizujte, většina kdo dělá svůj byznys dobře má situaci dobře zmapovanou ale:
1. mají nachystáno adhoc řešení až se stane, v normálním provozu by to neuplatili
2. útok je 100plus procentech jejich filtrační kapacity ->
Nejefektivnějš řešení je "redirect" test tj na masivní cdnce zjistit že Ip adresa skutečně komunikuje a pak udělat fallback na ten ostrej webserver s tím že v IP filtru by bylo pomocí api povoleno třeba na pět hodin daná ip a zbytek nemilosrdně filtrovat - vyžadovalo by to "entry page" cdnku.
CSIRT smysl má, ale ne jeden sám voják v poli, ale až bude doplněn o další pracoviště u významných ISP a obsahářů. Potom sdílení informací mezi týmy může lépe napomoci hledání původce problémů a dříve něco podniknout. Vždy to ve finále bude na adminech postižených sítí, ale mít se s kým koordinovat a ověřovat hypotézy, to je správná cesta.
Jenže ono se nechce. Jsou v tom sakra velké peníze a těžko si bude někdo kazit penězovod z veřejných peněz.
Hlavně že třeba v CZ.NIC Labs přesypávají miliony a investují do kravin.
Realita je taková, že ISP i majitelé serverů jsou nepřipravení a teprve v okamžiku útoku začínají zjišťovat, co to vůbec je a jak se bránit.
Internet Info Lupa.cz (www.lupa.cz)
Server o českém Internetu. ISSN 1213-0702
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.