Vlákno názorů k článku Regulace podle NIS2: Poznatky o útocích je potřeba včas dostat k dalším možným cílům od bez prezdivky ... - A jak se diskutovalo i minule ... mr...

A jak se diskutovalo i minule ... mr Filip si to predstavuje jako hurvinek...

Jednak se banky jednoduse nemuzou odriznout od sveta, druhak zasah do aplikaci si muze dovolit nekdo, kdo provozuje zcela nezajimavy system, ktery kdyz umre, tak se vlastne nic nedeje. Tomu ostatne presne odpovida mojeid.

Jakykoli zasah do bankovni aplikace bude na mesice, kdyz to pujde rychle.

Jedine co mohlo nastat a nenastalo bylo zverejneni maximalne podrobnych informaci, ale ty se misto toho utajuji. To aby utocnik nahodou nevedel na co a jak utoci.

BTW: Pokud url ktere vylova zatez serveru lze blokovat, proc tam takove vubec je?

Myslím, že toto šlo filtrovat na WAFce (nebo Reverse Proxy), kterou bych předpokládál, že všechny banky před svými aplikacemi mají. Tzn. zásah přímo do aplikace nebyl nutný.

Hlavne resit to fakt az v ty koncovy aplikaci by tu aplikaci umlatilo zrovnatak (protoze to je misto, kde ty zdroje dojdou nejdriv). Ono kdyz se rekne reseni na aplikacni urovni, tak to neznamena nutne zasah do kodu aplikace - proste se jen mluvi o sedme vrstve dle referencniho ISO/OSI modelu, ktere spousta lidi nezna ci neumi aplikovat. A http(s) je samozrejme na te aplikacni vrstve... a minimalne se z ni hodi informace, co pripadne nasledne zablokovat i na nizsich vrstvach.

Určitě je lepší optimalizovat obojí. Jak ten backend pro autorizaci tak samozřejmě ten endpoint prostě shapovat na WAF (extrémně nízký bitrate a omezení na IP apod tak aby normální provoz ještě prošel) a tak se to běžně dělá.

Umřít už na aplikační úrovni je smutné...

To je drobny detail, stejne musite nejak overit a nechat si 148 razitky potvrdit, ze to reseni je specielne v bankovni aplikaci nasaditelne. A to neudelate v radu hodin. To byste na neco takoveho musel byt pripraven predem.

Zatimco proste zablokovani komunikace z nejakych rozsahu je vicemene nic proti nicemu. Tedy az na tu drobnost, ze to je presne to, co utocnik chce.

banky umí dnes dělat u řady svých systémů rolling release a změnu zpropagovat do desítek minut, hodin. Problém je, že bankovní systémy jsou složeny ze stovek, z tisíců různých aplikací a databází, vždy se najde nějaká neprůžná, ale vše směřuje k daleko větší pružnosti.

Dokonce se pracuje i na možnosti, aby bezpečnostní oddělení mohlo některé zásahy provést samo bez nutnosti, aby u toho byly vývojáři, některé banky jsou v tom už dál, některé o tom zatím přemýšlí.