Зачем инфобезопаснику знать OSI
Я как-то выкладывала под замком серию заметок, сделанных мной за время интервью, когда я, будучи начальником отдела ИБ, набирала себе в команду технических специалистов. И многие меня критиковали за то, что я прошу кандидатов назвать уровни OSI и отклоняю тех, которые не могут ответить на этот вопрос. Мол, cybersecurity!=network
Сегодня был веселый день, и под конец я оказалась ввязанной в такой диалог между двумя специалистами по ИБ с опытом работы несколько лет и приличными должностями в компании:
1: какой WAF (web application firewall) вы используете?
2: не знаю, какой-то на *network level* для защиты от DDoS. А какой нужно?
1: я вот слышал про OWASP ModSecurity Core Rule Set, попробуйте его
И чуваки даже не потрудились посмотреть, что, по определению, WAFs are specialized firewalls that can operate at Level 7 of the OSI Laye (are capable of understanding web application protocols). А network level - это OSI level 3. То есть, FW, который не поднимается при инспекции пакетов выше третьего уровня, заведомо не является WAF.
DDoS атаки совершаются как на уровнях 3 и 4, так и на уровне 7 (чаще всего, это симуляция трафика "легитимных" пользователей, отразить значительную часть которого помогает CAPTCHA). Поэтому если что-то защищает от DDoS, то далеко не факт, что это WAF. Скорее всего, это какой-то NGFW.
До кучи, OWASP ModSecurity Core Rule Set (CRS) is a set of generic attack detection rules for use with ModSecurity or compatible web application firewalls.
Что касается ModSecurity, то он достиг EndOfLife еще в прошлом году, и пока не передан _полностью_ на поддержку опенсорсному коммьюнити (последний релиз был выпущен в ноябре 2021). В таких условиях я бы его рекомендовать к использованию не стала.
И вот сидишь ты такой счастливый без знания OSI и думаешь, что у тебя хоть что-то в безопасности. А единственное, что у тебя в безопасности - это дыра (как минимум, на OSI level 7).
Сегодня был веселый день, и под конец я оказалась ввязанной в такой диалог между двумя специалистами по ИБ с опытом работы несколько лет и приличными должностями в компании:
1: какой WAF (web application firewall) вы используете?
2: не знаю, какой-то на *network level* для защиты от DDoS. А какой нужно?
1: я вот слышал про OWASP ModSecurity Core Rule Set, попробуйте его
И чуваки даже не потрудились посмотреть, что, по определению, WAFs are specialized firewalls that can operate at Level 7 of the OSI Laye (are capable of understanding web application protocols). А network level - это OSI level 3. То есть, FW, который не поднимается при инспекции пакетов выше третьего уровня, заведомо не является WAF.
DDoS атаки совершаются как на уровнях 3 и 4, так и на уровне 7 (чаще всего, это симуляция трафика "легитимных" пользователей, отразить значительную часть которого помогает CAPTCHA). Поэтому если что-то защищает от DDoS, то далеко не факт, что это WAF. Скорее всего, это какой-то NGFW.
До кучи, OWASP ModSecurity Core Rule Set (CRS) is a set of generic attack detection rules for use with ModSecurity or compatible web application firewalls.
Что касается ModSecurity, то он достиг EndOfLife еще в прошлом году, и пока не передан _полностью_ на поддержку опенсорсному коммьюнити (последний релиз был выпущен в ноябре 2021). В таких условиях я бы его рекомендовать к использованию не стала.
И вот сидишь ты такой счастливый без знания OSI и думаешь, что у тебя хоть что-то в безопасности. А единственное, что у тебя в безопасности - это дыра (как минимум, на OSI level 7).