Rissone Ruggero wrote: > Nelle grandi realtà è più probabile trovare un presidio H24 che si preoccupi > degli allarmi generati dalle sonde di sicurezza
E quale e' la probabilita' che in tali realta' tale presidio sia effettivamente in grado di farvi fronte ? :) > Diventa però molto delicato un IDS messo direttamente davanti al web server Cough, mi viene in mente almeno una realta' che dovresti conoscere dove sono messi davanti ai firewall di frontiera ... :-) Riguardo a quell'inguaribile ottimista (*g*) di Marco Ermini: >> Sulla (non) efficacia di questi arnesi ce ne sarebbe da dire per ore. Non ci >> farei il conto. > > Beh, qualcuno che fa query SQL via web immagino che lo dovresti scoprire... Dici? Si', forse si', ma con quanti falsi positivi su un'infrastruttura grande? E' meno banale di quanto non sembri :) >> In ogni caso nella mia esperienza più è grande la realtà più è >> alta la probabilità che qualsiasi strumento di ID(P)S non funzioni affatto o >> non sia considerato, per la sindrome del "chi guarda i log". > > Le grandi realtà hanno anche strumenti di correlazione logs (Arcsight, > RSA envision...) Yes, di solito in splendide scatole su uno scaffale... :) Quei cosi purtroppo hanno bisogno di molto, molto lavoro di setup. Talmente tanto da renderli troppo costosi (per implementazione e mantenimento). Ma a parte cio', sei veramente sicuro che servano a ridurre il numero di cose da guardare? Io non ne sono cosi' convinto... -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
