Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [bitpork:] Fogyasztásra ítélve
- [Re:] [bobalazs:] RTX 4070 Super Undervolting and Overclocking Alulfeszelés és túlhajtás
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [CPT.Pirk:] "Fényhűtés" ciksorozat (tuningnet.hu)
- [Re:] PLEX: multimédia az egész lakásban
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
API OWASP: https://owasp.org/www-project-api-security/
https://www.coreinfinity.tech
inf3rno
Topikgazda
Köszi!
Buliban hasznos! =]
Melack
veterán
Éles környezetben mennyi ideig kell megőrizni a logokat? Elég sok gyakorlat létezik, 3 hónaptól 5 évig, de konkrétumot nem találok róla.
Ex-Informatikai Szolgáltató Asztali Munkatárs
kraftxld
nagyúr
Milyen logot, milyen iparágban?
Ezer dologtól függ.
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
inf3rno
Topikgazda
Én ezt úgy próbálom megközelíteni most normál adatokkal, hogy mire használjuk fel őket, és menny idő után válnak szinte teljesen irrelevánssá. Mondjuk ha önéletrajzokról van szó, akkor arra jutottam, hogy sokkal jobb egy levlista email címekkel, mint letárolni az önéletrajzokat. Aztán minden levlistásnak kiküldjük az aktuális álláshirdetéseket, ők meg eldönthetik, hogy pályáznak e rájuk. Ha igen, akkor beküldik az aktuális CV-jüket, amit törlünk amikor megtaláltuk az új embert. Így csak addig kell a személyes adatokat tartalmazó CV-t tárolni, amíg ténylegesen szükség van rá. Agyaltunk amúgy, hogy mi van, ha megtartjuk későbbre. Akkor például lehetne úgy, hogy olyan 2 évente értelmét veszti, mert annyi idő elég komolyabb munkatapasztalat összeszedésére, vagy arra, hogy valaki magasabb fizetési kategóriába lépjen. Szerintem a naplóknál is ugyanígy végig kell gondolni, hogy pontosan mit tartalmaz, mire és hogyan tudjátok felhasználni, és mikor válik teljesen elavulttá. Még esetleg technikai szempontból is meg lehet közelíteni, hogy van x pénz az adattárolókra, és mi az a mennyiség, ami után már rotálni kell a naplókat, mert különben betelne a tárhely. Azon is el lehet gondolkodni, hogy mindenképp meg akarjátok e tartani a nyers naplókat, vagy csak valamilyen feldolgozott változatot.
Buliban hasznos! =]
Ez egyrészt függ a szolgáltatástól, amit igénybe veszel. Általánosságban elmondható, hogy a felhő szolgáltatások nagyon szeretik, ha ingyen eteted az AI-ukat, de nagyon nem, ha kivenni is akarsz.
Másodszor, ott vannak az adatvédelmi törvények, GDPR and so on.
Harmadszor: nincs az az időbeli tartalom, aminél régebbi security incidenst nem fedezhetsz fel.
Mindebből az következik, hogy nincs standard e téren és erősen bejátszik az adott szervezet risk appetite-je is.
https://www.coreinfinity.tech
Egon
nagyúr
Jogszabályi előírás kevés körre vonatkozik.
Ha személyes adatokat tartalmazó logokról van szó, és az adott iparágra nem vonatkozik jogszabályi megőrzési kötelezettség (pl. a 2003. évi C. törvény 157/A §), akkor jó eséllyel az adatkezelés jogalapja a jogos érdek - ebben az esetben az érdekmérlegelési teszt eredméyne határozza meg a megőrzési időt.
6-12 hónapnál hosszabban nem nagyon őriznék meg logokat, csak kivételes esetben.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Melack
veterán
Köszi mindenkinek, jogosak a pontosításra vonatkozó kérdések: szakmai programok, amiket a hivatal hostol. Itt leginkább a belogoláshoz köthető logokról van szó, de programonként változhat, hogy mit is akarnának megőrizni. Erre még nem kaptam választ.
Ex-Informatikai Szolgáltató Asztali Munkatárs
Belogolás - hová? OS? Webapp? Azure AD? GCP?
https://www.coreinfinity.tech
Melack
veterán
Szakrendszerbe - közben kiderült, hogy egy régi, 2017-es ügyhöz kellett volna, Az azért már erősen hosszú időtáv.
Ex-Informatikai Szolgáltató Asztali Munkatárs
Xpod
addikt
Hivatal esetén minimum 30 nap.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Hallottatok már a KECs-ről?
A "Cs" egy összetett szó, amelynek első fele: csapda.
Hogy ne legyek gané, itt egy kis info: [link]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
KECs majd akkor lesz ha elkészül, egyelőre még Kecske.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Figyelmes olvasás... Idézek a linkről:
A Kormányzati Elosztott Csapdarendszer első verziója (BBA-6.1.1-16-2016-00003 jelű projekt, továbbiakban GovProbe) a központi rendszerrel együtt korábban megvalósításra került
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Nem olvastam egyáltalán.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Egon
nagyúr
Egy kicsit leült a topic. Erről vélemény? [link]
Nekem kicsit fura hogy Kína ennyire passzív...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Vagy sokkal ügyesebbek, ergo nem szerepelnek a reportban.
https://www.coreinfinity.tech
Apollyon
Korrektor
Azért kíváncsi lettem volna usákia támadási adataira is, tippre az is szignifikáns.
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
inf3rno
Topikgazda
Hát nekem alig van időm a fórumra mostanában. Csinálom az adatvédelmi szabályzatokat, IBSZ-eket több intézménynél is. Most jutottam el odáig, hogy az adatvagyon leltár pipa, a hardverek és szoftverek lel leltárja is nagyjából megvan, és el lehet kezdeni foglalkozni a tényleges szabályozással. Azt hiszem az önkormányzathoz csinálok mégis egy közös szabályzatot pl jelszó kezelésről, ilyesmikről, és az intézmény specifikus szabályok ebből fognak leágazni.
Buliban hasznos! =]
inf3rno
Topikgazda
Szerintetek ha a hivatal épületében van anyakönyvvezető, választási információkat kezelő külön NISZ-es saját hálózaton, akkor azzal nekem van teendőm? Nem vagyok szerződésben csak az önkormányzattal, szóval nem kéne, hogy legyen, a gyakorlatban mégis relevánsnak érzem. Ugyanazon a gépen kezelik egy apróbb intézmény ügyeit is, de ott meg szinte nulla a nem közérdekből nyilvános személyes adat.
Buliban hasznos! =]
Attól függ, mire szerződtél - a teljes hálózatra, vagy meghatározott rendszerekre? Ha utóbbi, akkor a report készítésekor kitérhetsz arra, hogy van még dolog itt-ott-amott.
[ Szerkesztve ]
https://www.coreinfinity.tech
inf3rno
Topikgazda
Arra szerződtem, hogy ellátom az IBF feladatokat az önkormányzatnál, ez viszont állami rendszer, nem önkormányzati, igaz egy épületben van külön hálózaton.
Buliban hasznos! =]
Akkor semmi közöd hozzá.
https://www.coreinfinity.tech
inf3rno
Topikgazda
Köszi!
Buliban hasznos! =]
Arra figyelj, ha van megosztott eszköz, akkor a felelősség is megosztott, ha nincs külön kikötve megállapodásban, tehát ha pl. egy router van és arról kapja az internetet mindkét szervezet.
https://www.coreinfinity.tech
Egon
nagyúr
Felhasználók IT biztonsági oktatása, képzése, biztonságtudatosságának növelése témakörben kérném ki a véleményeteket.
A magam részéről fel szoktam villantani a kapcsolódó jogszabályokat, szabványokat, belső szabályzatokat; beszélek kicsit az információbiztonság fogalmáról (bizalmasság, sértetlenség, rendelkezésre állás), összetevőiről (személyi, fizikai, adminisztratív és elektronikus biztonsági intézkedések, példákkal), az adatosztályozásról, minősített adatkezelésről (ha releváns), ISO megfelelésről (ha releváns), felsorolom a legfontosabbnak tartott biztonsági előírásokat (pl. hogy zárolják a nyomorult munkaállomást, ha otthagyják), az incidenskezelésről röviden, felsorolok pár kifejezetten tiltott tevékenységet (nyilván amikkel gond szokott lenni), a veszélyforrások közül kiemelten beszélek a social engineering típusú támadásokról (ezen belül is az adathalászatról), a zsarolóvírusokról, kitérek a biztonságos jelszókezelésre (jó és rossz példákkal), amennyiben nincs külön adatvédelmi előadás, akkor az adatvédelmi részre is rászánok 2-3 diát, végül felsorolom a jellemző hibákat (ellenőrzések tapasztalatai alapján), és nem mulasztom el az esetleges következményekre is felhívni a figyelmet, amit egy esetleges mulasztás következtében előálló biztonsági incidens okozhat, a vevői bizalomvesztéstől a jogszabályi következményekig bezárólag. Mindezt kb. 30-32 diával megjelenítve.
Mi az amit még érdemes oktatni a júzereknek?
Illetve a kifejezetten vezetőknek tartandó képzéseken mit érdemes elmondani?
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
sztanozs
veterán
Remélem 1 dia a jogszabályi részletek és 30 dia a jó- és rossz gyakorlatok bemutatása
Szvsz a gyakorlati - interaktív - oktatás a legcélravezetőbb. Gyakorlati oldalról pedig érdemes ráfeküdni szerintem az malware/adathalászat felismerésre (illetve a tudatosságra): a felhasználók ezzel fognak a legtöbbet találkozni a mindennapi életben.
Vezetők felé pedig szerintem érdemes rendszeresen (legalább évente) szervezni egy jó kis tabletop gyakorlatot valami időszerű incidens témájában:
- Phishing -> BEC vagy BPC
- Beszállító kompromittálódása -> folyamatok leállása (kritikus beszállító kiesése/helyettesítése) vagy fertőzött szoftver települése (Non-Petya)
- Sebezhetőség kihasználása -> BPC vagy Ransomware vagy kémkedés (Solarwinds)
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
inf3rno
Topikgazda
Oké, utánanézek, hogy biztos legyen, de elvileg külön modem és router van neki.
Buliban hasznos! =]
inf3rno
Topikgazda
Nincs komoly tudásom a témában, de szerintem egy előadás akkor jó ezen a téren, ha nem a száraz jogszabályos anyagot hozod le, sőt próbálod ezt a részét minél inkább elnagyolni, mert úgysem érdekel senkit, akinek nem jogi végzettsége van, talán még azokat sem. A lényeg a gyakorlati része lenne, hogy ők a munkájuk során vagy akár a magánéletben mit tudnak használni, mire figyeljenek, stb. A másik lényeg egy előadásnál a történet mesélés. Az emberi agy olyan, hogy a történetek sokkal jobban megmaradnak, mert van mihez kötni a tudásanyagot, nem csak úgy a levegőben lóg. Pláne ha van valami hétköznapi eleme is a történetnek, amire könnyű emlékezni.
Egyébként pont ezen agyalok egy ideje, hogy egy ilyen oktatásra milyen példákat érdemes bevinnem, esetleg hogy intézményenként legyenek e eltérőek, vagy mindenkinél ugyanazt adjam e le.
Ja és még valami. Nem biztos, hogy mindenki beszél angolul, úgyhogy érdemes lefordítani az angol szakszavakat. Én erre már a szakdolgozatomnál is kimondottan odafigyeltem. Összesen 8 angol szó volt benne, azok is kényszerűségből, mert rövidítések voltak, pl SIEM, vagy mert nem volt igazán jó magyar fordításuk. Egy viszonylag laikus közönségnél meg nullára venném az ilyen szavak számát, ha csak lehet. Akár azon az áron is, hogy a social engineering-et simán csalásnak, megtévesztésnek, stb. fordítom.
Érdemes lehet még az alapfogalmakat tisztázni, hogy adat, információ, ilyesmik, mert kb. mindenki mást ért alattuk, de ebből sem túl jó, ha sok van. 7-nél több ne legyen, az a bűvös szám.
Ez persze mind csak vélemény, igazából nem értek hozzá.
[ Szerkesztve ]
Buliban hasznos! =]
jézusom
addikt
Sziasztok!
Van egy elképzelésem, nem tudom, hogy működőképes-e. Van egy cloudflare accountom domainnel.
Ezt szeretném valami vasra telepÍteni, de úgy, hogy tűzfalként üzemeljen, tehát minden eszközöm ez alatt legyen. Így a saját domainemmel elérném a cuccaimat, nast kamerákat stb. Egy darabig futott egy raspberry, de nem láttam így értelmét, nekem úgy kellene ilyen megoldás, hogy minden itthoni cuccom védve legyen. (ehhez 2 háló kártya is kell gondolom, switch meg ap van amúgy)
Most van egy kis celeron gépem OMV+home assistant fut rajta, esetleg ebbe konfigolnék egy cloudflaret meg plusz háló kártyát.
Van ráció az ötletemben?
Magyarországon most milyen megnevezésekkel futnak a kiberbiztonsági pozíciók és hol érdemes keresgélni?
https://www.coreinfinity.tech
VágniValó
addikt
kraftxld
nagyúr
Egon
nagyúr
Kérdés, hogy mit értesz kiberbiztonság alatt... Remélem nem csak SOC-t...
Egyébként tapasztalataim szerint a profession.hu-n érdemes leginkább nézelődni. Ha mellécsapod a Linkedin-t is, akkor kb. az összes olyan értelmes pozíciót látni fogod, amit hirdetnek.
Egyébként nálunk is megnyílik egy pozíció a közeljövőben. Csak még azt nem döntöttem el, hogy milyen embert vegyünk fel (etikus hackert, vagy inkább tanácsadói vénával rendelkező versenyzőt).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Köszönöm a válaszokat!
Egon: én sem SOC-os vagyok :) De adott esetben az is szóba jöhet.
[ Szerkesztve ]
https://www.coreinfinity.tech
sztanozs
veterán
Érdekes módon a glassdoor is ad releváns találatokat Magyarországra.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
https://www.coreinfinity.tech
section9
őstag
Ha esetleg valakinek lenne felesleges regi (2018) vagy uj kiadasu (2021) hivatalos ISC2 CISSP konyve meg gyakorlokerdesei, amitol meg szeretne szabadulni, az kerem keressen meg.
Egon
nagyúr
Ide is beírom, hátha tudtok valakit: keresünk etikus hackert, leginkább jövő év eleji kezdéssel, 3-5 év gyakorlattal (kevesebb is lehet, ha van pl. OSCP-je, vagy meggyőz, hogy van azon a szinten), változatos, izgalmas feladatokra.
Részleteket szívesen megosztom PM-ben.
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Egon
nagyúr
Ez valami vicc? [link]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
Xpod
addikt
Mire gondolsz? A lejárt tanúsítványra, vagy a semmit mondó weboldalra?
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
section9
őstag
Lejart tanusitvany ugy, hogy hardening.hu a domain.
Egon
nagyúr
Lejárt tanúsítvány, elérhetőségnél még cégnév se szerepel (nem sikerült kiderítenem, kik ezek), ehhez képest erős referenciák (hihető, hogy mondjuk a KPMG pont ilyenekkel dolgoztat, LOL).
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
kraftxld
nagyúr
section9
őstag
inf3rno
Topikgazda
Hardver beszerzésnél milyen oldalakról érdemes tájékozódni információbiztonság terén?
Buliban hasznos! =]
Eleve a gyártó oldalán - mi a legutolsó firmware kiadási dátuma, meddig van support.
Aztán jöhetnek a user review-k mindenhonnan.
https://www.coreinfinity.tech
Apollyon
Korrektor
Buli van:
Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package
#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
A cflinuxfs3-ban meg egy nagy rakás lehetséges code execution. CVSS 3 szerint legalább az egyik 7.2-es, ami a Canonical szerint Low priority...
[ Szerkesztve ]
https://www.coreinfinity.tech
Mai Hardverapró hirdetések
prémium kategóriában
- ZOTAC GeForce GTX 1080 AMP Edition 8GB GDDR5X 256bit
- Filmes gép gyűjtemény
- Nikon D5000 + AF-S DX NIKKOR 18-105 mm
- Bontatlan Seagate & Western Digital HDD-k 3TB - 12TB -ig - Számla + Garancia, Ár alatt! BeszámítOK!
- DJI Mini 4 pro FMC drón - 3 akku, RC2 táv, 2 táska, Filterek, 2025. decemberig garancia, DJI Care