Существует одна из классификаций - делить информационную
безопасность на внутреннюю и внешнюю. Корректная ли она - вопрос дискуссионный, а я сегодня хотел бы поговорить
о кейсе, в котором случился в некотором роде симбиоз: даже не поймешь, к какой безопасности данный случай отнести. Не хочу отступать от
тематики и основной идеи блога, поэтому кейс так же из обычной жизни и вполне
может коснуться даже обычного сисадмина в маленькой компании.
Обычный сисадмин Ваня (со странной фамилией, не помню уже
точно, не то Краев, не то Крайнов) из Небольшой компании однажды понял, что его
вконец достал непонятный поток DNS-ответов
от некого белого IP адреса, пробив который по сервису WhoIS, он, как ответственный гражданин, написал
2 официальных письма: одно - организации-владельцу подсети (Большая компания),
другое – провайдеру-владельцу автономки (AS), из которой эта подсеть выделена. Кстати, Большая компания,
не дожидаясь, что мы придем к ним, сама пришла к нам по поводу этого письма,
предварительно, конечно же, проведя у себя расследование. Оно (расследование) и
правда выявило постоянные случаи массового DOS с одного из DNS серверов компании. Баги были пофикшены, патчи поставлены, заражения
устранены, заодно и обновлено ПО, до которого руки не доходили уже год-другой. Т.к.
компания весьма уважаемая и публичная, то повторение таких казусов службе ИБ
явно не к лицу. Тем приятнее было подключать услугу «Мониторинг трафика и
защита от DDOS-атак» и отвечать
на вопрос «вы сможете с этим что-то сделать?» утвердительно: «Да, мы мониторим
и исходящий трафик тоже».
Получив, как полагается, официальный ответ на письмо по всем
канонам «исх. №…. на вх. №….» Ваня был крайне горд за свою гражданскую позицию,
ведь он мог просто забанить вредные адреса, не сказав ни кому об этом, а он,
напротив, внес свою копеечку в наше общее дело спасения мира от киберугроз.
Будь как Ваня
No comments:
Post a Comment