After establishing access to the VPN, the attacker then began to use the compromised user account to logon to a large number of systems before beginning to pivot further into the environment. They moved into the Citrix environment, compromising a series of Citrix servers and eventually obtained privileged access to domain controllers.
After obtaining access to the domain controllers, the attacker began attempting to dump NTDS from them using “ntdsutil.exe” consistent with the following syntax:
Miután a támadó(k) hozzáfért VPN-en keresztül a Cisco céges hálózatához, egy kompromittálódott felhasználói fiók azonosítójával és jelszavával több rendszerhez hozzáfért. Betörtek a Citrix környezetbe, feltörtek számos Citrix szervert, majd kiemelt privilégiumos hozzáférésre tettek szert a tartományvezérlőhöz. Miután hozzáfértek a tartományvezérlőkhöz, elkezdték kidumpolni a címtár tartalmát.
Consistent with activity we previously observed in other separate but similar attacks, the adversary created an administrative user called “z” on the system using the built-in Windows “net.exe” commands. This account was then added to the local Administrators group. We also observed instances where the threat actor changed the password of existing local user accounts to the same value shown below. Notably, we have observed the creation of the “z” account by this actor in previous engagements prior to the Russian invasion of Ukraine.
A támadóknak sikerült helyi rendszergazdai csoportba tartozó felhasználót is felvenniük a megtámadott szervereken stb.
A teljes jelentés itt olvasható.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Milyen van a Cisco-nak:
- kurva sok pénze, IT büdzséje
- biztonsági termékportfóliója
- csúcs hálózati szakértelme (ha belegondolunk, hogy eleve a protokollok egy részét maga alkotta meg)
- saját Security Operation Center-e
- saját cybersecurity response csapata (blue team)
- feltételezhetően pentester / etikus hacker csapata, akik kívülről támadják saját kérésére / elemzik a rendszere sérülékenységeit (red team)
- ...
Na, akkor most nézzük ezek közül mije van egy random KKV-nak ... Mit várunk akkor mégis az ilyen vállalatokat üzemeltetőktől? Hogyan védjék meg a fentiek nélkül a saját hálózatukat, ha a Cisco is elesik?
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Főleg, ahogy elesik: "During the investigation, it was determined that a Cisco employee’s credentials were compromised after an attacker gained control of a personal Google account where credentials saved in the victim’s browser were being synchronized. The attacker conducted a series of sophisticated voice phishing attacks under the guise of various trusted organizations attempting to convince the victim to accept multi-factor authentication (MFA) push notifications initiated by the attacker. The attacker ultimately succeeded in achieving an MFA push acceptance, granting them access to VPN in the context of the targeted user. "
Ez eléggé nagy amatőrség egy admin jogú felhasználótól.
- A hozzászóláshoz be kell jelentkezni
Hiányzik ott sok minden a leírások alapján:
- IT sec. oktatás (social engineering ellen)
- IT biztonsági minőségbiztosítás, folyamatok és azok betartatása
- a shadow IT elleni hatékony küzdelem
- a hálózaton belüli hatékony izoláció és szeparáció
- a hatékony PAM rendszer
- a SoC hatékonysága
- ...
Stb. Ami számomra meglepő egy ekkora vállalatnál.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Valóban érdekes, itt elég sok mindennek kellett hiányoznia hogy ez megtörténhessen...
Az AD DomainControllerei egy valamire való cégnél tier 0 environmentben van, ami VPN-ről nem kéne hogy elérhető legyen... Másik hogy VPN access egy ekkora cégnél csak corporate device-ról kéne hogy működjön vagy ha nem corporate device akkor valami conditional access policy alapján landol valamilyen zónában ahonnan sok minden nem elérhető...
- A hozzászóláshoz be kell jelentkezni
Vagy léteznek már 10+ éve PAM eszközök, amivel korlátozhatók, felügyelhetők a rendszergazdák tevékenységei. Pl.
- milyen idősávban
- kinek az előzetes engedélyével
- mivel megfigyelés mellett (session levideózva)
- milyen IP címről
- milyen IP címekre
- a session-ben milyen parancsok futtathatók vagy csak milyen alkalmazások érhetők el kizárólag (nem engedett parancsok esetén terminálódik a session, riasztás megy ...)
SoC megléte, 24 órás felügyelet mellett (egyébként mi értelme?) ennyi szervert megtörni, vagy egyáltalán csak loginolni, nem is értem hogyan lehetett. Ez nem két perces meló volt.
Szóval, van ott pénz lóvéra, nem értem, hogy miért jutottak ilyen mélyre.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
- IT sec. oktatás (social engineering ellen)
Honnan tudod hogy hiányzik? Nekem maga a személy a gyenge láncszem itt, hiszen már eleve ez derült ki.
- IT biztonsági minőségbiztosítás, folyamatok és azok betartatása
Ez most hogyan is jön ide? Leírnád mire gondolsz
- a shadow IT elleni hatékony küzdelem
Tennél javaslatot is arra, hogy ezt hogyan lehetett volna felismerni? Pl. ha nem hagyjak otthonról dolgozni?
- a hálózaton belüli hatékony izoláció és szeparáció
Nem tudom ez hogy került az asztalra. Milyen plusz infod van?
- a hatékony PAM rendszer
- a SoC hatékonysága
- ...
???
Ne érts félre, van itt hiányosság. De itt azt kell látni, hogy azt kellene felismerni, hogy ki jelent tényleges veszélyt. Sok helyen ez megvan, de a legtöbb enterprisenál csak papíron.
- A hozzászóláshoz be kell jelentkezni
A helyi CISO-nak kellene ezeket a kérdéseket feltenni. Egyrészt, ezért alkalmazzák/fizetik, másrészt ő ismeri a rendszerüket.
Kívülről annyi látszik, hogy nem áll a helyzet magaslatán. Feljebb írtam példákat, hogy mivel lehetett volna a hozzáférés-szabályozást stb. megoldani.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Azért kérdeztem, mert sztem rossz helyen keresed a gondot.
- A hozzászóláshoz be kell jelentkezni
Tévedés. Te a probléma egyik oldalát világítod meg (rá akarod verni egy emberre), én meg a másikat. Vagy te tényleg úgy gondolod, hogy a vállalatnak itt semmilyen felelőssége sincs?
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A nagyvállalat felelőssége a munkaerőhöz történő hozzáállásban van. Ezen viszont nem fogsz változtatni. Ezért akarja a vállalatok nagy része az adminisztráció jellegű munkát gépiesíteni, mert azt nehéz meg social engineerelni vagy zsarolni.
Itt jön képbe, hogy a fennmaradó szükséges kevés ember akit muszáj megtartani, ismerni kellene, megfelelően bánni vele és megtartani. Mert tőlük sok minden függ. De ez sem fog rövidtávon változni.
Bonyolultabbá téve láttam már dolgokat, biztonságosabbnak nem láttam.
- A hozzászóláshoz be kell jelentkezni
A nagy ceg pont, hogy nagyobb attack surface, mint a kicsi. 1000 admin kozul biztosabban lehet egy losert talalni, mint 5 kozul.
- A hozzászóláshoz be kell jelentkezni
Biztosan te és willy is hallottatok már Privileged Access Management-ről. Egy komplett iparág lassan.
Ha nem, akkor lehet utána kéne nézni.
Azzal takarózni, hogy valami mekkora cég meg mekkora a veszélyeztetettsége ...
Mintha, ha az OTP-ből elvinnék a lóvédat, te meg azzal jönnél, hogy de nézd mekkora és mennyien akarják feltörni ... LOL
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Attól hogy van PA, a dolgok nem fognak változni, az ember a gyenge láncszem. Attól, hogy (ahogy láthatóan tudják mi történt) van erről log.
A PA nem védelem, csak dokumentálás az ember bármit is odaadott volna, ahogy le volt írva többször megadta a 2nd faktor kulcsát is. Ha pedig egyszer már bent vagy priv accba, akkor építheted amit terveztél. Nem értem hogy jön ez ide.
PA csak egy újabb megugrandó akadály, de PA accountos ember jogosultságával semmit nem ér, hogy "bárcsak lett volna PA"
- A hozzászóláshoz be kell jelentkezni
Úgy érted, hogy szerinted az normális, hogy egy VPN user/pass-szal ha benn vannak a hálózaton mert ellopták ezeket + megadta a 2FA-t is, akkor ugyanazzal az user/pass-szal végig lehet ballagni a cég összes szerverén :D
Jól értem? Szerinted a domain admin / pass az, amit az isten is a VPN belépésre teremtett, ráadásul a VPN belépés után minden szervernek elérhetőnek KELL lennie további korlátozások nélkül a belépett ember számára. :D
Tehát, semmi felelőssége nem volt annak, aki ezt megtervezte, dokumentálta, ISO 27001 vagy akármi folyamatokba foglalta, auditálta, aláírta, ellenőrizte, pentest-eltette ...
Ne röhögtess már .... :D
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Gyanús nekem, hogy marketing alapon van PA rendszer ismereted, de legalábbis túl nagy bizalmat fektetsz beléjük.
VPN -> megvolt
User pass -> megvolt
2nd factor -> megvolt
Ha az usernek vannak permanens PA jogai akkor nem kell kerni ideiglenest, de ha nincs perm PA hozzáférése az adott dologhoz ha kell, akkor kérsz a helyében, ha ezzel dologozik napi szinten, nem is akkora truváj. Vagy lopsz másik hozzáférést egy exploittal.
Van PA-> nekiállsz garázdálkodni, tök mindegy hogy egy időalapú rendszert használsz vagy hogy mindent felvesznek.
Hogy érted hogy minden szervernek? Még egyszer kérdem van belsős infód? Mert itt erről nem esett szó, és nem hinném hogy a szaftos részleteket valaha újságban olvasod, hogy néz ki a belső infra és milyen perimétereken haladt túl a támadó.
- A hozzászóláshoz be kell jelentkezni
Annyira tetszik, hogy a biztonság layereit egy ilyen legyintéssel intézed, hogy ez is meglesz meg az is meglesz :D Feleslegesen minek is bonyolítsák, mi? :D
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ha nem láttam volna hogy működik ez élőben, akkor nem mondtam volna neked, hogy hogy működik. A PA layer csak VSP szerepet tölt be többnyire (védd a segged papírral)
- A hozzászóláshoz be kell jelentkezni
Nem az egész itsec védd a segged papírral? Szerintem ha a jogász doktor it biztonsági püttypürüttyömnek eléraknák egy zeek vagy Suricata logot nézne mint a moziban....
- A hozzászóláshoz be kell jelentkezni
Melyik terméket láttad te működni élőben? Plz. konkrétumokat.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
HiPac és Cyberark részletesen, ManageEngine felületesen.
- A hozzászóláshoz be kell jelentkezni
Nem, ezt te mondod.
Én azt mondom, hogy nem tudod csupán technológiai eszközzel ezt kivédeni. Te pedig azt mondtad, hogy a Cisco által telepített nem hatékony és _ez az oka többek közt_ ennek a problémának. Ugye?
Ameddig egy ember megszemélyesíthető távolról, az összes megszemélyesítési információt meg lehet szerezni egy fluktuáló munkaerővel rendelkező enterprisenál nem tudsz olyan szabályrendszert csinálni ami nem teszi lehetetlenné a munkát, de biztosítja a lehetőséget arra, hogy technológiai biztonság legyen. Ezért dokumentálnak valamit (VSP) ami elfogadható (szinte biztos vagyok benne, hogy a Cisco rendelkezik egy ilyen pecsétes papírral és rendszerrel ez még a publikusan elérhető információból is elérhető, hogy minden monitorozva volt) és amikor beüt a probléma akkor mikromenedzselik.
- A hozzászóláshoz be kell jelentkezni
Én azt mondom, hogy nem tudod csupán technológiai eszközzel ezt kivédeni.
https://hup.hu/comment/2817739#comment-2817739
Számtalan dolgot soroltam, ami nem "csupán technológiai eszköz". Ha nem szeretnéd érteni, hogy miről beszélek, azon nem tudok segíteni.
A te kommentjeidből nekem az jön le, hogy teljesen felesleges bármilyen hardening, több rétegű security megoldás, mert az ember lesz a gyenge pont, azon meg nem tudunk segíteni.
Te pedig azt mondtad, hogy a Cisco által telepített nem hatékony és _ez az oka többek közt_ ennek a problémának.
Nem, én azt mondtam, hogy a Cisco-tól, a világ egyik vezető IT gyártójától, ami security portfólióval is, szakértelemmel is, kompetenciával is, dedikált IT sec csapattal is rendekezik, rendkívül gáz, hogy pont úgy megtörik, mint egy random kisvállalatot. Nem írom le ugyanazokat a köröket még egyszer.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nézd, nekem ebben a szálban ez az utolsó hozzászólásom, folyamatosan változtatgatod épp mi a fontos neked.
Először kijelented, hogy a Cisco szarul csinálta, felhozol egy listát amibe 99.9% hogy a Cisco-nak egy zöld pipát adtál volna _saját magad_ _mielőtt_ ez az eset megtörténik ha téged kérnek fel auditra. (ebben szinte 100% biztos vagyok)
De oké, hisz nem előtte, utána vagyunk a dolognak, ilyenkor mindenki okosabb. Ekkor rákérdezek jó pár dologra (tételesen, hogy gondolod), majd _te kiemeled_ a PA rendszereket, ironikusan érzékeltetve, hogy van itt valami amit igazán megnézhetnénk már:
Biztosan te és willy is hallottatok már Privileged Access Management-ről. Egy komplett iparág lassan.
Ha nem, akkor lehet utána kéne nézni.
Én erre elmondtam, hogy az EMBER a gyenge láncszem:
Attól hogy van PA, a dolgok nem fognak változni, az ember a gyenge láncszem. Attól, hogy (ahogy láthatóan tudják mi történt) van erről log...
Erre te felmondod a könyvet:
Tehát, semmi felelőssége nem volt annak, aki ezt megtervezte, dokumentálta, ISO 27001 vagy akármi folyamatokba foglalta, auditálta, aláírta, ellenőrizte, pentest-eltette .
Erre elmondom, hogy a technológiába vetett hited picit túlzó:
Gyanús nekem, hogy marketing alapon van PA rendszer ismereted, de legalábbis túl nagy bizalmat fektetsz beléjük.
Erre te megkérdezted, hogy _ezért_ _teljesen felesleges_-e:
Annyira tetszik, hogy a biztonság layereit egy ilyen legyintéssel intézed, hogy ez is meglesz meg az is meglesz :D Feleslegesen minek is bonyolítsák, mi? :D
Erre én elmondtam, hogy személyes tapasztalataim alapján, a PA rendszerek arra vannak, hogy dokumentálva legyen hogyan védjük magunkat, de azt amit _te elvársz_ (utalván a marketingre) azt nem teljesítik:
Ha nem láttam volna hogy működik ez élőben, akkor nem mondtam volna neked, hogy hogy működik. A PA layer csak VSP szerepet tölt be többnyire (védd a segged papírral)
Erre, valamiért úgy érzed, hogy meg kell tudnod, mégis milyen rendszereket láttam működni. Ezt megírom neked, majd ezt lefordítod arra, hogy "akkor szerinted ezek nem érnek semmit?". Amire én közlöm, de, érnek, de a helyén kell kezelni őket. Erre hirtelen dobod a PA rendszereket holott _te kötöttél ebbe bele, és kérdőjelezted meg ennek tekintetében a véleményem erősségét_:
Számtalan dolgot soroltam, ami nem "csupán technológiai eszköz". Ha nem szeretnéd érteni, hogy miről beszélek, azon nem tudok segíteni.
Majd belefogsz terelésbe, hogy hát arról van szó igazából, hogy én teljesen feleslegesnek tartom a PA rendszereket és haszontalanok és milyen full gáz, hogy a Cisco-tól sem elvárható, hogy ilyen ne történjen meg, holott a KKV-któl is elvárt.
Szóval miért írnék ebbe valamit? Eddig csak azt nem írtad le szerinted hogy te ismered az XYZ rendszereket és ennek használatával, ezt ilyen és ilyen módon simán kivédték volna. Te most vissza fogsz hivatkozni arra a listára amire én _tételes_ kérdéseket tettem fel, de te _tudatosan_ kipécézték egyet.
Ezzel ellentéteben én leírtam, hogy ezt úgy próbálják megoldani sok helyen, hogy automatizálják az ilyen munkát és vékony réteget tartanak fenn akinek ilyen jog kell. Azt is leírtam azonban, hogy sajnos ez enterprise filozófiával ezen embereket nem becsülik meg.
- A hozzászóláshoz be kell jelentkezni
Eleve, hozzá sem kellett volna szólnod, ha nem tudsz érdemben mit hozzátenni.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Bocs, azt hittem elolvastad amit írtam, de látszólag nem. Én elmondtam, hogy a való világban nem úgy oldják meg ahogy te javaslod és az a látásmód amit _sejtek_ (válaszok és info hiányában ez csak sejtés) részedről az kárt tud okozni.
- A hozzászóláshoz be kell jelentkezni
Jobb helyen azért ezt a VPN-t egy conditional access policy simán megfogta volna...
- A hozzászóláshoz be kell jelentkezni
Én nem így látom, max nehezítette volna a támadó dolgát, még az is lehet, hogy volt ilyen csak azt te itt nem kapod meg leírásként, mert az már elárulna olyan információt amit nem szeretnének megosztani.
- A hozzászóláshoz be kell jelentkezni
max nehezítette volna a támadó dolgát
Ez a lényege a többrétegű IT security-nek, amit úgy kell elképzelni, mint egy fej hagymát. Rétegeken kell átjutni, ha valaki a közepéhez akar hozzáférni. Nem, az nem megoldás, hogy szerinted egyik réteg sem ér semmit, ezért ne is használjuk.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
még az is lehet, hogy volt ilyen csak azt te itt nem kapod meg leírásként, mert az már elárulna olyan információt amit nem szeretnének megosztani.
Tegyük ide a levágott részletet jó?
- A hozzászóláshoz be kell jelentkezni
Már megint ez a feltételezés. A tény, hogy rommá törték őket. Ez egy tény. Te meg próbálod körömszakadtáig mentegetni őket, feltételezéseket gyártva mellettük.
Nem tudok másra gondolni, mint hogy egy Cisco corporate shill vagy. Érdekedben áll valamiért mentegetni őket.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem tudok másra gondolni, mint hogy egy Cisco corporate shill vagy. Érdekedben áll valamiért mentegetni őket.
Megint előjött a személyeskedés, én nem értek a PA-hoz, biztos érdekből védem a Cisco-t, etc.
Na akkor ide: Nem vásárolok semmit a Cisco-tól, csak ha nagyon muszáj. Volt közöm hozzájuk, mert egy ideig csináltam Cisco-s tanfolyamokat. Akit lehet lebeszélek, hogy tőlük vásároljon. Semmi közöm anyagilag vagy munka terén a Ciscohoz
Az adott témáról annyit tudok elmondani, hogy a Cisco részéről ez nagyon nagy blame és veszély az ügyfeleikre is. De aki már látott ilyet, pontosan tudja, hogy
- publikus analizisnél a legritkább esetben osztanak meg belső infot (teljes mértékben pláne nem)
- a leírás alapján ez egy emberi gyarlóságra visszavezetett felépített támadás ami ellen technológia módszerekkel teljes körűen védekezni lehetetlen.
- A hozzászóláshoz be kell jelentkezni
Milyen kötődést?
- A hozzászóláshoz be kell jelentkezni
Én is láttam benne a Soros szálat ;) A pptps vpn-t biztos ilyen védi XD Bár akkor még geo limit sincs rajta. Ez a nem szabványos porton (security by noonegonafindbuteverysecurityscannerwedonotbanbecausetheyareourfriends?) IIS kombóval (nem bántiból de így direktben?) azért kicsit erős , lehet felvették imot ;)
Még mielőtt bánti lenne soha nem használtam ciscos cuccot (nincs rá pénz meg amúgy se ;))
Trey: hint moon
- A hozzászóláshoz be kell jelentkezni
.
- A hozzászóláshoz be kell jelentkezni
Amilye nincs a KKV-nek:
- ekkora (és fluktuáló) munkaerő
- kitettség
- A hozzászóláshoz be kell jelentkezni
Dolgoztal mar nagy cegnel? Sok ember, rengeteg szerver/szolgaltatas, egy hatalmas mish-mash. Sokkal nehezebb azt biztosan tartani, mint egy kicsit.
Ezert is hodit a spotify modell: sok kis startup-like team, nagyfoku fuggetlenseggel, mindegyik sajat ACL-el. Nalunk mar kb. 200 ilyen team van (es novekszik tovabb), nyilvanvalo, hogy nem lehetseges 100%-os vedelmet nyujtani, de amit lehet, megtesz a security, a tobbi pedig damage control: ha el is esik, csak egy kisebb sziget esik el, nem az egesz ceges halozat.
Ezen a szinten mar nem az a kerdes, hogy betornek-e, hanem, hogy mennyire veszed eszre, es mennyire tudod limitalni a kart.
- A hozzászóláshoz be kell jelentkezni
ha el is esik, csak egy kisebb sziget esik el, nem az egesz ceges halozat.
Jól értem, trey "a hálózaton belüli hatékony izoláció és szeparáció" pontjával értesz egyet? (Vagy szerinted nem lehetséges hálózati szeparáció "cégszeparáció" nélkül?) :) )
- A hozzászóláshoz be kell jelentkezni
Erre generalis valasz nincs. Az biztos, hogy a dev-ek pattognak, ha nincs eleg hozzaferesuk, es nehez azt a pontot megtalalni, ahol mar nem pattognak nagyon de a minimum access elve meg ervenyesul.
Ha ugy veszed, a spotify modell egyfajta minimum access is egyben; nincs hozzaferesed mas team-ek api-jaihoz, ha nincs ra szukseged.
- A hozzászóláshoz be kell jelentkezni
Ohh, hát attól hogy ezek vannak neki, még nem biztos, hog saját magukra költik ezeket az erőforrásokat...
Sőt. megkockáztatom, hogy mivel ez a feltételezett tevékenységek nemcsak nem hoz pénzt, hanem sokkal inkább viszi, így jó kapitalista módon nem pazarolják felejlegesen az erőforrásaikat.
tudod, a suszter cipőjének tipukus esete.
szerintem.
- A hozzászóláshoz be kell jelentkezni
"Na, akkor most nézzük ezek közül mije van egy random KKV-nak ..."
Cisco tűzfala, mert adnak a biztonságra! :)
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
- A hozzászóláshoz be kell jelentkezni
marmint mije, nem?
- A hozzászóláshoz be kell jelentkezni
Nyugi. Ez a bossúra és totális kamu az egész.
Milye van?
- szar indiai support aki live-ban nyomkodja helyre a rendszert.
- drága licence minden szarra amit pl a Dell alapból ad.
- javitatlan bugok tömege piacvezető termékekben.
- teljesítetlen specifikáció funkciók amire bugid-t adnak majd ígérik, hogy 10 év múlva már jó lesz.
- drágább mindennél.
- mindenben le vannak maradva, kivéve az ISE.
- olyanok mint a HP, minden technológiájuk vásárolt párat kivéve így csak a felirat azonos, a minőség már nagyon nem.
A Cisco az a szar amit minden nagyvállalatnál el kell viselni, sajnos.
- A hozzászóláshoz be kell jelentkezni
Ennek ellenére a retardoknak hálózati aktív eszköz = Cisco. Nem is ismernek mást, egyszer olvasták a Chip Magazinban '99-ben, azóta nem tudnak lejönni róla.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ne retardozd a Nemzeti informatikát ;) Bár lehet egyszerűen abból lehet a közbeszerzés keretein belül a legtöbbet kimenteni ;)
- A hozzászóláshoz be kell jelentkezni
"nobody ever got fired for buying IBM" (vagy Cisco, vagy bármelyik hasonló brand)
Nem azért, mert az a legjobb, hanem mert a főnököd főnöke is hallott róluk, és ha jön a szarcunami, sokkal jobb esélyed van kitérni előle, mintha valami házibarkács megoldás lenne.
- A hozzászóláshoz be kell jelentkezni
Na igen, egy mérgező, áldozathibáztató céges légkörben ha a multira esik a felelősség, akkor nincs™ baj™, mert ott Istenek™ dolgoznak. Csak akkor van™ baj™, és kell kirúgni embert, ha egy becsületes rendszergazda által használt valamely open source megoldáson ütnek léket.
- A hozzászóláshoz be kell jelentkezni
Szerintem nem értetted, hogy mit jelent, amit írtam. Ha idomított majom dolgozik a beszállítónál, az sem érdekes. Onnantól, hogy zsebre teszik az órabért, van kit felelősségre vonni a helyi Becsületes Rendszergazdán kívül is. Ez az idealizált Becsületes Rendszergazdának is jól jön néha.
- A hozzászóláshoz be kell jelentkezni
Milyen alapon várod, hogy értse ezt? A "tm"-ek száma fordítottan arányos a megértési képességgel.
- A hozzászóláshoz be kell jelentkezni
A TM-ek száma egyenesen arányos az említett vállalat hazug marketing-kommunikációjával és arroganciaszintjével.
- A hozzászóláshoz be kell jelentkezni
Légyszi legalább egy mondatot erőlködj ki magadból ami szakmai és rendben van.
- A hozzászóláshoz be kell jelentkezni
Milyen van a Cisco-nak:
És mije nincs a Cisconak?
Emberei, akik értenek a Linuxhoz.
- A hozzászóláshoz be kell jelentkezni
- ...
Ide pont befér még a marketingcsapat, akiket azért fizetnek, hogy mindenkivel elhitessék, hogy ennyire jók™, a felsorolt csapatokat alkotó különféle IT-celebek pedig ugyanúgy ücsörögnek a babzsákjaikon, miután megtartották a huszonötezredik közhelyes előadást valamelyik meetupon, mint bármelyik koffein-kód konverzióra építő copy-paste startupnál vagy multinál.
Aztán akad valaki, aki nem hiszi el a mesét és össze-social-engineeringel magának egy accountot, amivel végrehajt egy sikeres támadást.
- A hozzászóláshoz be kell jelentkezni
Bár nem vagyok nagy angolos, de nem biztos, hogy jó ötlet használni a Windows-t egy ekkora cégnél/hálózatnál.? Meg amúgyse jó ötlet használni a Windows-t, még kliensnek se, nemhogy kiszolgálónak.
- A hozzászóláshoz be kell jelentkezni
Ha egy rendszergazda jogú ember jogosultságai kerülnek ki, akkor tök mindegy, hogy mi történt.
Ez social engineering volt, emberi hiba.
Semmi köze nem volt ahhoz, hogy Windows futtatnak , vagy mit.
"During the investigation, it was determined that a Cisco employee’s credentials were compromised after an attacker gained control of a personal Google account where credentials saved in the victim’s browser were being synchronized."
A Cisconál dolgozó, meglehetősen komoly hozzáférésekkel rendelkező emberke jelszavai stb. a saját privát Google accountjával voltak szinkronizálva. Ez hatalmas fail, és nem segít rajta az, hogy ha a szervereken nem használsz Windowst.
- A hozzászóláshoz be kell jelentkezni
Igen, végül is ha olyan OS lenne a desktopokon, amire nincs Chrome, akkor nem tudta volna a root jelszót szinkronizálni a Google felhőjébe.
- A hozzászóláshoz be kell jelentkezni
root usert nem is illik használni...
- A hozzászóláshoz be kell jelentkezni
Teljesen mindegy, egyik céges user jelszavát sem szinkronizáljuk fel a privát gmail accountunkkal.
- A hozzászóláshoz be kell jelentkezni
De, mivel tudjuk milyenek az emberek, ezért nem bízzuk egy ekkora vállalat védelmét kizárólag arra, hogy ez nem fog megtörténni, mert szóltunk neki, hogy ne tegye.
Főleg egy olyan cégnél, ahol az üzletág jó része biztonsági termékek és szolgáltatások értékesítéséből áll és egyébként a szakértelem és erőforrások is rendelkezésre állnak.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nyilván, de olvasd el, hogy honnan indult a thread.
- A hozzászóláshoz be kell jelentkezni
Elolvastam. Annyit fűztem hozzá, hogy noha szeretjük egy ember nyakába varrni az ilyen felelősséget, itt nem egy ember hibázott, hanem több. Tippre inkább több 10.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
És ez függ a használt OS-től?
- A hozzászóláshoz be kell jelentkezni
Nem. Nem is vitatkoztam azzal a részével, hogy hülyeség a Windows nyakába varrni. Bár, kétségtelen, hogy egy címtár esetén könnyebb tömegesen kompromittálni a gépeket, mintha single rendszerek lennének különböző admin jelszavakkal. Szerintem erre gondolhatott az OP.
Bár, a címtár megléte sem Windows sajátosság.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez igaz. Simán lehet, hogy ott is azon a színvonalon megy a security, hogy telepítsünk Windows helyett valami mást, hátha úgy jobb lesz. :)
- A hozzászóláshoz be kell jelentkezni
ott is azon a színvonalon megy a security
Szemmel láthatóan a nagy tömjénfüst mögé nézve, semmivel sem "megy jobban a security" náluk, mint a hazai cégeknél általában. Ami azért szomorú, mert a lehetőségeik lényegesen szélesebbek az iparágban elfoglalt helyük miatt.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Google annak idején pedig meglépte a project Aurora után. A helyzetet elemezve arra jutottak, ha már bent van a támadó akkor már veszett az ügy. Létre is hozták a BeyondCorp modelljüket mint egy korai Zero Trust implementációt. (Akkor még nem is hívták Zero Trust-nak az csak 2010-től van). Microsoft szerint sem lehet már sokra menni a sima perimeter security modellel: https://www.microsoft.com/security/blog/2019/10/23/perimeter-based-netw…
Itt profi IAB akció volt. Ha nem ír a CEO-nak lehet észre sem veszik egy ideig. Valamiért úgy gondolta, hogy nem adja el az access-t hanem a Ciscotól kér pénzt. (vagy így jó lesz később marketingnek)
- A hozzászóláshoz be kell jelentkezni
Hát nem tudom, te láttál már olyan nagy vállalati környezetet ahol nem használnak Active Directoryt például? Azért Sambat használni Windows kliensek managementjére meg Domain Controllere bátor dolog nagy vállalati környezetben.
- A hozzászóláshoz be kell jelentkezni
te láttál már olyan nagy vállalati környezetet ahol nem használnak Active Directoryt például?
Ahol nem használnak Windowst, ott biztosan nem használnak AD-t sem.
- A hozzászóláshoz be kell jelentkezni
Másképpen kérdezem, láttál már olyan nagy vállalatot ahol nem használnak directory service-t? Novell óta én nem igazán láttam AD alternatívát...
- A hozzászóláshoz be kell jelentkezni
Láttam olyan amerikai multit 30k+ dolgozóval, sok-sok országban irodával, ahol nem AD és nem Novell volt "A" directory service.
- A hozzászóláshoz be kell jelentkezni
Mit használtak? Tényleg érdekel...
- A hozzászóláshoz be kell jelentkezni
OK, ilyen céget én is ismerek (>100k), de csak IAM-re használják. Ettől függetlenül AD fut, group policy, sw distribution, endpoint mgmt-re.
- A hozzászóláshoz be kell jelentkezni
Multiknál sehol nem láttam jól működő és valóban EGYSÉGES directory service-t. Használnak AD-t a windows login-hez, meg 13 féle ldap és egyéb mást a 120-féle össze még csak véletlenül sem integrált minden más rendszereiken.
Évente-2évente cserélődik a középvezetés, az meg mindig hozza magával az éppen aktuális saját faszságait. Aztán még le se rakta, máris megy új "journey"-re, és kinevezik a következő hülyét, aki kezdi elölről az "utazást". (az összes idióta multik ismérve, h. bazdmeg utazunk folyamatosan, de a célt elérni definició szerint sose fogjuk). És ez így megy régóta, és fog még a jövőben is menni sokáig. Ilyen nagy otromba szervezeteknél a kinevezett középvezetők le kell foglalják magukat valamivel, mert a fölöttük levők dolgába már nem pofázhatnak vissza (a "jó" középvezető ismérve, h. parancsvégrehajtó robot, kérdés nélkül tolja le amit föntről kapott), ezért marad az a szórakozása, h. lefelé bassza szét amit valamelyik korábbi elődje valami csoda folytán jól megcsinált.
Na ezért kell külön akkount az SAP-hez, a tiketinghez, a TAKÁCS-hoz, meg a saját készítésű 19 belső portálhoz
- A hozzászóláshoz be kell jelentkezni
Szépen leírtad a ronda valóságot. =( Egyik kedvencem, mikor a cégnél van "az" öt leggyakrabban használt céges fiók; némelyiknél ugyanaz a felhasználóneved, mint más fióknál, más fiókoknál egyedi azonosítód van, máshol meg egy másik azonosítódból származtatott neved. Ha ez nem lenne elég, vannak minden nap használt céges weboldalak/alkalmazások, amik a "C" fiók felhasználónevét és az "A" fiók jelszavát kérik. (Mert csak.) Ilyen módon bejelentkezel két alkalmazásba, de a harmadik azt mondja, hogy nem jó a jelszavad/azonosítód. (Mert csak. Tegnap még neki is jó volt, ma már csak a másik kettőnek jó, neki nem. Mert csak.) "Megoldás"? Változtass jelszót... Ami után várni kell öt percet, hogy jól megsziknronizálódjon a dolog. Persze az az öt perc lehet ám 20-30 perc is, és addig nem használhatod az adott alkalmazást. ("Megcsináltad már?.... Miért nem?... Ja, jelszóváltoztatás... Hát ez ilyen.") És akkor ezt pár héten belül háromszor-négyszer is meg kell csinálni, mert az egyik alkalmazás úgy dönt, hogy neki (és csak neki) ma nem jó a jelszavad. Drályving innovésün, dilivöring veljú!
- A hozzászóláshoz be kell jelentkezni
Tehát akkor vissza át eredeti felvetésemhez, van-e large enterprise AD nelkul? :D
- A hozzászóláshoz be kell jelentkezni
Szerintem nincs. Max nem használják jól.
- A hozzászóláshoz be kell jelentkezni
Még egyszer: ha és amennyiben a cég nem óhajt windowsos munkaállomásokat menedzselni (értsd: az a standard működés, hogy a cég normál dolgozóinak el kell tudniuk végezni a munkájukat Windows nélkül, max. egy-két kivételes munkakör lehet, ahova valami speckó rendszer miatt kell Windows), akkor lehet létjogosultsága - a fentebb említett cég ilyen volt.
Az, hogy hány ilyen cég van, azt nem tudom. Elméletileg azért egy Red Hatnek vagy egy Apple-nek ilyennek kéne lennie, de hát az IBM óta tudjuk, hogy bárki lehet olyan "hiteles", hogy szarik a saját technológiáit használni, aztán valahogy mégis meg tudja győzni a kuncsaftjait, hogy mégse szar az, amit előállít (run IBM on IBM, run Apple on Apple, run RH on RH).
- A hozzászóláshoz be kell jelentkezni
Én a thread indítómban erre reagáltam.
"Bár nem vagyok nagy angolos, de nem biztos, hogy jó ötlet használni a Windows-t egy ekkora cégnél/hálózatnál.? Meg amúgyse jó ötlet használni a Windows-t, még kliensnek se, nemhogy kiszolgálónak."
Szóval lehet hogy éppen van három Fortune100-as cég ahol éppen nincs Windows, de ez atipikus... A tipikus az hogy ekkora méretű cégnél Windowst használnak (>97%), pont.
- A hozzászóláshoz be kell jelentkezni
Persze, különben nem is tudna kijönni a 9x%-os windows desktop piaci arány, ugye.
De ebből nem következik, hogy egy milliárd légy nem tévedhet...
- A hozzászóláshoz be kell jelentkezni
Igen, de...
The code base has not been updated since 2011
:)
- A hozzászóláshoz be kell jelentkezni
Ezt a fórumot olvasva az az érzésem, hogy ilyen típusú probléma csak a hanyatló nyugat pénzhajhász nagyvállalatainál fordulhat elő, mert itthon mindenki ért hozzá és a pénz vagy a munkavégzés hatékonysága sem számít, minden full biztonságos...
- A hozzászóláshoz be kell jelentkezni
"Te mond, hogy túlterheléses támadás mert a te hangod mélyebb"
- A hozzászóláshoz be kell jelentkezni
Ha már a zsarolóvírusok nem tudják betámadni az XP-met, jónéhány frissítésmániás, Microsoft-profitprotektor fősodratú mérnök úr nagy bánatára...
- A hozzászóláshoz be kell jelentkezni
Na végre lekötötted a netről?
- A hozzászóláshoz be kell jelentkezni
Már nem kompatibilisek vele...
- A hozzászóláshoz be kell jelentkezni
Nem, továbbra is interneten van.
Tudod, nekem nem kellenek OS-frissítések, meg Defender, hogy elkülönítsem a támadó weboldalt a nem támadótól, mert nem az OS-emtől várom el a biztonságos netezést, hanem saját magamtól.
- A hozzászóláshoz be kell jelentkezni
Jaj.
- A hozzászóláshoz be kell jelentkezni