Существует одна из классификаций - делить информационную безопасность на внутреннюю и внешнюю. Корректная ли она - вопрос дискуссионный, а я сегодня хотел бы поговорить о кейсе, в котором случился в некотором роде симбиоз: даже не поймешь, к какой безопасности данный случай отнести. Не хочу отступать от тематики и основной идеи блога, поэтому кейс так же из обычной жизни и вполне может коснуться даже обычного сисадмина в маленькой компании.
Обычный сисадмин Ваня (со странной фамилией, не помню уже точно, не то Краев, не то Крайнов) из Небольшой компании однажды понял, что его вконец достал непонятный поток DNS-ответов от некого белого IP адреса, пробив который по сервису WhoIS, он, как ответственный гражданин, написал 2 официальных письма: одно - организации-владельцу подсети (Большая компания), другое – провайдеру-владельцу автономки (AS), из которой эта подсеть выделена. Кстати, Большая компания, не дожидаясь, что мы придем к ним, сама пришла к нам по поводу этого письма, предварительно, конечно же, проведя у себя расследование. Оно (расследование) и правда выявило постоянные случаи массового DOS с одного из DNS серверов компании. Баги были пофикшены, патчи поставлены, заражения устранены, заодно и обновлено ПО, до которого руки не доходили уже год-другой. Т.к. компания весьма уважаемая и публичная, то повторение таких казусов службе ИБ явно не к лицу. Тем приятнее было подключать услугу «Мониторинг трафика и защита от DDOS-атак» и отвечать на вопрос «вы сможете с этим что-то сделать?» утвердительно: «Да, мы мониторим и исходящий трафик тоже».
Получив, как полагается, официальный ответ на письмо по всем канонам «исх. №…. на вх. №….» Ваня был крайне горд за свою гражданскую позицию, ведь он мог просто забанить вредные адреса, не сказав ни кому об этом, а он, напротив, внес свою копеечку в наше общее дело спасения мира от киберугроз. Будь как Ваня
