SecOps

Мы достаточно часто слышим аббревиатуру MSSP (Managed Security Service Provider), особенно в последнее время, в предверии начинающегося в среду SOC Forum 2.0. Оно и понятно — немалое количество докладов на форуме будет от поставщиков услуг SOC, которые называют себя именно MSSP, оказывающим аутсорсинговые услуги по мониторингу и обнаружению преимущественно известных угроз.

Часто бывает, что наши ожидания расходятся с реальностью, и хорошим примером такой нестыковки является работа аналитика Security Operations Center (SOC). На самом деле, практически любой профессии присуща эта проблема, но поскольку последние пару недель я посвятил теме SOC, то и эту заметку я тоже буду иллюстрировать на примере одной из должностей центров мониторинга. Итак, как […

На последнем PHDays, где я вел секцию по SIEM, все участники сошлись во мнении, что правила корреляции из коробки не работают и про них надо забыть сразу после покупки решения по управлению событиями безопасности. С SOC ситуация ровно таже самая и перед нами встает вопрос не только о том, как создать правила корреляции событий, но […]

Threat Hunting — это процесс проактивного поиска и обнаружения угроз, которые не обнаруживаются традиционными защитными мерами, такими как МСЭ, IDS, SIEM. В противовес традиционным автоматизированным решениям Threat Hunting — это преимущественно ручной процесс с элементами автоматизации, в рамках которого аналитик, опираясь на свои знания

В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие. В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны: Открытая, Слепая, Спрятанная и Неизвестная

В пятницу я упомянул, что концепция Kill Chain интересна не только сама по себе, но и возможностью ее обвязки разной полезной информацией, включая и привязку к каждому этапу убийственной цепочки соответствующих индикаторов компрометации. Вообще таких индикаторов, используемых для обнаружения вредоносной активности, известно немало, самых распространенных

Тема SOCов становится все моднее и моднее. Вот уже и в бизнес-прессе про них стали писать. В этой новости, помимо чисто фактографической стороны дела, есть и ряд моментов, находящихся на втором и третьем уровне восприятия. По сути Сбербанк говорит о создании еще одного FinCERT, но на более высоком технологическом уровне, чем текущий FinCERT, созданный под […

Так случилось, что я внедрял свой первый SIEM в 1999-м году в Киеве, в одном из банков. Тогда по сути еще и термина-то такого не было, но внедряемое решение собирало данные от систем обнаружения атак, сетевых и системных сканеров безопасности и проводило корреляцию событий безопасности от этих средств защиты. И вот спустя 17 лет я […]

А вот теперь можно поставить и точку в длинной дискуссии о SOC и поговорить о том, что происходит, когда SOC выбран или построен, запущен и даже приносит первые плоды. Пора оценить эффективность SOC. Я не буду сейчас вдаваться в вопрос, что такое эффективность и можно ли измерять ее деньгами или только немонетарными метриками. Это вопрос […]