2009/10/30 Samuele Battistoni: [...] > Sarà per deformazione professionale, ma un vedo una grossa differenza fra la > gestione di un SIEM e quella di un IPS: > > Mediamente ho visto realtà con dietro l'IPS sistemi "abbastanza" standard; > in questo caso puoi accontentarti di una configurazione consigliata dal > vendor e fare un po' di tuning per le tue esigenze specifiche: rilevi un > migliaio di attacchi noti e aggiungi le tue 10-15 personalizzazioni in più o > meno.
Per esperienza, le configurazioni "abbastanza" standard hanno un 50% di falsi positivi, il che può andar bene se è un IDS ma non se è un IPS - non si gestiscono esattamente allo stesso modo... Il vero lavoro è la personalizzazione che in ambiente enterprise è molto di più che "10-15 personalizzazioni". Quelle vanno bene per il singolo Snort che protegge alcuni server, forse. > Un SIEM nasce vuoto e devi fare tutto da solo (a parte le due o tre > correlazioni standard che propone come esempio). Credo che le differenze siano molte di più :-) ma su questo specifico punto della personalizzazione, credo che in ambienti abbastanza grandi alla fine ci sia poca differenza. Anche i SIEM hanno dei pattern già preconfigurati per importare feed dai brand più importanti. Ma anche qua, credo che in ambienti un può più "vasti" devi personalizzare massicciamente. > PS: Se scegli come prossimo lavoro la strada dell'outsourced, alla fine > proporrai come fanno adesso quelli sul mercato la rilevazione del migliaio > di attacchi SENZA la 10-15 personalizzazioni di sopra :-) Io invece vorrei lavorare in grandi aziende alla personalizzazione di SIEM, IDS/IPS, Arbor Peakflow e Firewall in modo "organico", che è un po' di più che scrivere 15 Open Signature ;-) > My 2 cents, > Samuele Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Düsseldorf, North Rhine-Westphalia, Germany ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
