Пятничный вечер не предвещал беды. Напротив, я был доволен собой. В этот раз делаю все вовремя, с хорошим запасом по срокам. Заказал из Москвы в Екатеринбург очередную порцию одного лекарства. Лекарства довольно дорогого. И критически необходимого для одного из членов моей семьи.
Предыдущей пачки должно было хватить до следующего воскресенья. Доставка из Москвы в Екатеринбург обычно длится несколько дней. Все выглядело как никогда уверенно.
Перед тем, как начнем разговор об этой материи, должен предупредить, что не стОит гуглить слово Postmortem, особенно картинки. На рубеже XIX-XX веков это была не самая лицеприятная традиция фотографирования недавно покинувшей этот мир родни. Содержание текста ниже к этой практике никакого отношения не имеет.
Перефразируя Толкиена, рассказы о том, как мы добились успешного успеха — однообразны и скучны, а вот повествования об инцидентах часто получаются просто захватывающими. Так вот, одной из разновидностей этих «котоламповых» историй и является Postmortem.
Основной пик пришёлся на период с 17:03 до 17:50, когда общие потери трафика достигали 40%. Кроме того, в период с 17:03 до 17:13 наблюдалась практически полная потеря IPv6 трафика. Инцидент удалось устранить к 21:30.
Как это произошло и какие выводы мы из этого извлекли — ответим на эти вопросы и поделимся нашим опытом.
Представьте себе обычный ситуационный центр по ИБ в крупной компании. В идеальном мире софт детектирует подозрительную активность, и команда «белых хакеров» начинает стучать руками по клавиатуре. И так происходит раз в месяц.
В реальном мире это сотни ложноположительных срабатываний и усталые сотрудники поддержки. Они вынуждены разбираться с каждым инцидентом, когда пользователь забыл пароль, не может скачать игру с торрента, очередной порнофильм в формате *.exe, смотреть за сбоями Сети и вообще расследовать множество ситуаций.
SIEM-системы помогают систематизировать и коррелировать события от источников. И генерируют срабатывания, с каждым из которых нужно разбираться. Из этих «каждых» большая часть — ложные. Можно подойти к вопросу и с другой стороны, заведя скрипты на обработку тревог. Каждый раз, когда что-то срабатывает, хорошо было бы иметь не просто причину тревоги, а потом лезть за разными данными в четыре-пять систем, а сразу автоматически собирать весь диагноз.
Мы сделали такую надстройку, и это очень помогло снизить нагрузку на операторов. Потому что сразу запускаются скрипты сбора информации, и если есть типовые действия — они сразу же предпринимаются. То есть, если завести систему «в такой ситуации делаем так и так», то карточка будет открываться для оператора с уже проработанной ситуацией. Читать полностью »
Сайт remolacha.net опубликовал видео, на котором автомобиль Volvo XC60, двигаясь в роботизированном режиме, неожиданно резко увеличил скорость и наехал на человека. Участники инцидента не получили серьёзных травм. Спикер шведского автопроизводителя Стефан Эльфстром (Stefan Elfström) дал свои комментарии случившемуся.
Читать полностью »
С 12 мая картографический сервис Google Map Maker, позволяющий создавать собственные объекты на картах Google, временно прекратит свою работу в связи с несколькими историями, которые произошли по вине чересчур инициативных пользователей сервиса. Наиболее известная из них случилась в конце апреля. В это время на карте на территории Пакистана появилось изображение робота (логотипа Android), справляющего малую нужду на изображение надкушенного яблока, которое сразу ассоциировали с Apple.
Теперь при попытке зайти на Map MakerЧитать полностью »
