API OWASP: https://owasp.org/www-project-api-security/

https://www.coreinfinity.tech

Köszi!

Buliban hasznos! =]

Éles környezetben mennyi ideig kell megőrizni a logokat? Elég sok gyakorlat létezik, 3 hónaptól 5 évig, de konkrétumot nem találok róla.

Ex-Informatikai Szolgáltató Asztali Munkatárs

Milyen logot, milyen iparágban?
Ezer dologtól függ.

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Én ezt úgy próbálom megközelíteni most normál adatokkal, hogy mire használjuk fel őket, és menny idő után válnak szinte teljesen irrelevánssá. Mondjuk ha önéletrajzokról van szó, akkor arra jutottam, hogy sokkal jobb egy levlista email címekkel, mint letárolni az önéletrajzokat. Aztán minden levlistásnak kiküldjük az aktuális álláshirdetéseket, ők meg eldönthetik, hogy pályáznak e rájuk. Ha igen, akkor beküldik az aktuális CV-jüket, amit törlünk amikor megtaláltuk az új embert. Így csak addig kell a személyes adatokat tartalmazó CV-t tárolni, amíg ténylegesen szükség van rá. Agyaltunk amúgy, hogy mi van, ha megtartjuk későbbre. Akkor például lehetne úgy, hogy olyan 2 évente értelmét veszti, mert annyi idő elég komolyabb munkatapasztalat összeszedésére, vagy arra, hogy valaki magasabb fizetési kategóriába lépjen. Szerintem a naplóknál is ugyanígy végig kell gondolni, hogy pontosan mit tartalmaz, mire és hogyan tudjátok felhasználni, és mikor válik teljesen elavulttá. Még esetleg technikai szempontból is meg lehet közelíteni, hogy van x pénz az adattárolókra, és mi az a mennyiség, ami után már rotálni kell a naplókat, mert különben betelne a tárhely. Azon is el lehet gondolkodni, hogy mindenképp meg akarjátok e tartani a nyers naplókat, vagy csak valamilyen feldolgozott változatot.

Buliban hasznos! =]

Ez egyrészt függ a szolgáltatástól, amit igénybe veszel. Általánosságban elmondható, hogy a felhő szolgáltatások nagyon szeretik, ha ingyen eteted az AI-ukat, de nagyon nem, ha kivenni is akarsz.
Másodszor, ott vannak az adatvédelmi törvények, GDPR and so on.
Harmadszor: nincs az az időbeli tartalom, aminél régebbi security incidenst nem fedezhetsz fel.

Mindebből az következik, hogy nincs standard e téren és erősen bejátszik az adott szervezet risk appetite-je is.

https://www.coreinfinity.tech

Jogszabályi előírás kevés körre vonatkozik.
Ha személyes adatokat tartalmazó logokról van szó, és az adott iparágra nem vonatkozik jogszabályi megőrzési kötelezettség (pl. a 2003. évi C. törvény 157/A §), akkor jó eséllyel az adatkezelés jogalapja a jogos érdek - ebben az esetben az érdekmérlegelési teszt eredméyne határozza meg a megőrzési időt.
6-12 hónapnál hosszabban nem nagyon őriznék meg logokat, csak kivételes esetben.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Köszi mindenkinek, jogosak a pontosításra vonatkozó kérdések: szakmai programok, amiket a hivatal hostol. Itt leginkább a belogoláshoz köthető logokról van szó, de programonként változhat, hogy mit is akarnának megőrizni. Erre még nem kaptam választ.

Ex-Informatikai Szolgáltató Asztali Munkatárs

Belogolás - hová? OS? Webapp? Azure AD? GCP?

https://www.coreinfinity.tech

Szakrendszerbe - közben kiderült, hogy egy régi, 2017-es ügyhöz kellett volna, Az azért már erősen hosszú időtáv.

Ex-Informatikai Szolgáltató Asztali Munkatárs

Hivatal esetén minimum 30 nap.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Hallottatok már a KECs-ről?
A "Cs" egy összetett szó, amelynek első fele: csapda.
Hogy ne legyek gané, itt egy kis info: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

KECs majd akkor lesz ha elkészül, egyelőre még Kecske.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Nem olvastam egyáltalán.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Egy kicsit leült a topic. Erről vélemény? [link]
Nekem kicsit fura hogy Kína ennyire passzív...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Vagy sokkal ügyesebbek, ergo nem szerepelnek a reportban.

https://www.coreinfinity.tech

Azért kíváncsi lettem volna usákia támadási adataira is, tippre az is szignifikáns.

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

Hát nekem alig van időm a fórumra mostanában. Csinálom az adatvédelmi szabályzatokat, IBSZ-eket több intézménynél is. Most jutottam el odáig, hogy az adatvagyon leltár pipa, a hardverek és szoftverek lel leltárja is nagyjából megvan, és el lehet kezdeni foglalkozni a tényleges szabályozással. Azt hiszem az önkormányzathoz csinálok mégis egy közös szabályzatot pl jelszó kezelésről, ilyesmikről, és az intézmény specifikus szabályok ebből fognak leágazni.

Buliban hasznos! =]

Szerintetek ha a hivatal épületében van anyakönyvvezető, választási információkat kezelő külön NISZ-es saját hálózaton, akkor azzal nekem van teendőm? Nem vagyok szerződésben csak az önkormányzattal, szóval nem kéne, hogy legyen, a gyakorlatban mégis relevánsnak érzem. Ugyanazon a gépen kezelik egy apróbb intézmény ügyeit is, de ott meg szinte nulla a nem közérdekből nyilvános személyes adat.

Buliban hasznos! =]

Attól függ, mire szerződtél - a teljes hálózatra, vagy meghatározott rendszerekre? Ha utóbbi, akkor a report készítésekor kitérhetsz arra, hogy van még dolog itt-ott-amott.

[ Szerkesztve ]

https://www.coreinfinity.tech

Arra szerződtem, hogy ellátom az IBF feladatokat az önkormányzatnál, ez viszont állami rendszer, nem önkormányzati, igaz egy épületben van külön hálózaton.

Buliban hasznos! =]

Akkor semmi közöd hozzá.

https://www.coreinfinity.tech

Köszi!

Buliban hasznos! =]

Arra figyelj, ha van megosztott eszköz, akkor a felelősség is megosztott, ha nincs külön kikötve megállapodásban, tehát ha pl. egy router van és arról kapja az internetet mindkét szervezet.

https://www.coreinfinity.tech

Felhasználók IT biztonsági oktatása, képzése, biztonságtudatosságának növelése témakörben kérném ki a véleményeteket.
A magam részéről fel szoktam villantani a kapcsolódó jogszabályokat, szabványokat, belső szabályzatokat; beszélek kicsit az információbiztonság fogalmáról (bizalmasság, sértetlenség, rendelkezésre állás), összetevőiről (személyi, fizikai, adminisztratív és elektronikus biztonsági intézkedések, példákkal), az adatosztályozásról, minősített adatkezelésről (ha releváns), ISO megfelelésről (ha releváns), felsorolom a legfontosabbnak tartott biztonsági előírásokat (pl. hogy zárolják a nyomorult munkaállomást, ha otthagyják), az incidenskezelésről röviden, felsorolok pár kifejezetten tiltott tevékenységet (nyilván amikkel gond szokott lenni), a veszélyforrások közül kiemelten beszélek a social engineering típusú támadásokról (ezen belül is az adathalászatról), a zsarolóvírusokról, kitérek a biztonságos jelszókezelésre (jó és rossz példákkal), amennyiben nincs külön adatvédelmi előadás, akkor az adatvédelmi részre is rászánok 2-3 diát, végül felsorolom a jellemző hibákat (ellenőrzések tapasztalatai alapján), és nem mulasztom el az esetleges következményekre is felhívni a figyelmet, amit egy esetleges mulasztás következtében előálló biztonsági incidens okozhat, a vevői bizalomvesztéstől a jogszabályi következményekig bezárólag. Mindezt kb. 30-32 diával megjelenítve.
Mi az amit még érdemes oktatni a júzereknek?
Illetve a kifejezetten vezetőknek tartandó képzéseken mit érdemes elmondani?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Remélem 1 dia a jogszabályi részletek és 30 dia a jó- és rossz gyakorlatok bemutatása
Szvsz a gyakorlati - interaktív - oktatás a legcélravezetőbb. Gyakorlati oldalról pedig érdemes ráfeküdni szerintem az malware/adathalászat felismerésre (illetve a tudatosságra): a felhasználók ezzel fognak a legtöbbet találkozni a mindennapi életben.
Vezetők felé pedig szerintem érdemes rendszeresen (legalább évente) szervezni egy jó kis tabletop gyakorlatot valami időszerű incidens témájában:
- Phishing -> BEC vagy BPC
- Beszállító kompromittálódása -> folyamatok leállása (kritikus beszállító kiesése/helyettesítése) vagy fertőzött szoftver települése (Non-Petya)
- Sebezhetőség kihasználása -> BPC vagy Ransomware vagy kémkedés (Solarwinds)

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Oké, utánanézek, hogy biztos legyen, de elvileg külön modem és router van neki.

Buliban hasznos! =]

Sziasztok!

Van egy elképzelésem, nem tudom, hogy működőképes-e. Van egy cloudflare accountom domainnel.
Ezt szeretném valami vasra telepÍteni, de úgy, hogy tűzfalként üzemeljen, tehát minden eszközöm ez alatt legyen. Így a saját domainemmel elérném a cuccaimat, nast kamerákat stb. Egy darabig futott egy raspberry, de nem láttam így értelmét, nekem úgy kellene ilyen megoldás, hogy minden itthoni cuccom védve legyen. (ehhez 2 háló kártya is kell gondolom, switch meg ap van amúgy)
Most van egy kis celeron gépem OMV+home assistant fut rajta, esetleg ebbe konfigolnék egy cloudflaret meg plusz háló kártyát.

Van ráció az ötletemben?

Magyarországon most milyen megnevezésekkel futnak a kiberbiztonsági pozíciók és hol érdemes keresgélni?

https://www.coreinfinity.tech

Pl profession-ön "Állások" felül, majd jobb oldalt "IT üzemeltetés, Telekommunikáció" alatta utána már látni is fogod és katt.

[ Szerkesztve ]

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Én inkább a LinkedIn-en nézelődnék:

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Kérdés, hogy mit értesz kiberbiztonság alatt... Remélem nem csak SOC-t...
Egyébként tapasztalataim szerint a profession.hu-n érdemes leginkább nézelődni. Ha mellécsapod a Linkedin-t is, akkor kb. az összes olyan értelmes pozíciót látni fogod, amit hirdetnek.
Egyébként nálunk is megnyílik egy pozíció a közeljövőben. Csak még azt nem döntöttem el, hogy milyen embert vegyünk fel (etikus hackert, vagy inkább tanácsadói vénával rendelkező versenyzőt).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Köszönöm a válaszokat!

Egon: én sem SOC-os vagyok :) De adott esetben az is szóba jöhet.

[ Szerkesztve ]

https://www.coreinfinity.tech

Érdekes módon a glassdoor is ad releváns találatokat Magyarországra.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

https://www.coreinfinity.tech

Ha esetleg valakinek lenne felesleges regi (2018) vagy uj kiadasu (2021) hivatalos ISC2 CISSP konyve meg gyakorlokerdesei, amitol meg szeretne szabadulni, az kerem keressen meg.

Ide is beírom, hátha tudtok valakit: keresünk etikus hackert, leginkább jövő év eleji kezdéssel, 3-5 év gyakorlattal (kevesebb is lehet, ha van pl. OSCP-je, vagy meggyőz, hogy van azon a szinten), változatos, izgalmas feladatokra.
Részleteket szívesen megosztom PM-ben.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ez valami vicc? [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Mire gondolsz? A lejárt tanúsítványra, vagy a semmit mondó weboldalra?

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Lejart tanusitvany ugy, hogy hardening.hu a domain.

Lejárt tanúsítvány, elérhetőségnél még cégnév se szerepel (nem sikerült kiderítenem, kik ezek), ehhez képest erős referenciák (hihető, hogy mondjuk a KPMG pont ilyenekkel dolgoztat, LOL).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Alap whois kidobja

| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'

Szokasos black friday infosec akciok

Hardver beszerzésnél milyen oldalakról érdemes tájékozódni információbiztonság terén?

Buliban hasznos! =]

Eleve a gyártó oldalán - mi a legutolsó firmware kiadási dátuma, meddig van support.

Aztán jöhetnek a user review-k mindenhonnan.

https://www.coreinfinity.tech

Buli van:

Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

A cflinuxfs3-ban meg egy nagy rakás lehetséges code execution. CVSS 3 szerint legalább az egyik 7.2-es, ami a Canonical szerint Low priority...

[ Szerkesztve ]

https://www.coreinfinity.tech

Ma kaptam a kollégáktól

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...