SecOps
SecOps
Вот про что на SOC Forum почти не говорили, так это об экономике центров мониторинга и реагирования на инциденты. Хотя эта тема очень тесно переплетена с вчера мной рассмотренной про дилемму выбора между собственным и аутсорсинговым SOCом. Вот ею мы и поставим точку в этой долгой эпопее под названием Security Operations Center. Хотя, скорее всего, […]
Вчера я описал доклады по ГосСОПКА, прозвучавшие на SOC Forum. Сегодня пора обратиться к другому «государственному» центру мониторинга и реагирования на компьютерные инциденты. Речь, конечно же, пойдет о FinCERT. Я уже писал о том, что бы я хотел видеть от этой структуры. Теперь давайте посмотрим, что про это думает сам ЦБ, который представил на SOC […
SecOps
По результатам моей заметки про SOC Forum мне многие написали, что ничего нового в теме SOCов нет и что примеры работающих SOCов известны уже не первый год. И что? Где в информационной безопасности вообще что-то новое? Сканеры безопасности? Так тот же SATAN был в начале 90-х разработан и что с тех сильно поменялось? IDS, которые […]
Прошедший SOC Forum запомнился еще двумя моментами — на нем впервые заговорили о работе FinCERT (предыдущие редкие упоминания не в счет) и в центре внимания была ГосСОПКА. Про FinCERT я напишу отдельно, а вот про ГосСОПКУ напишу сейчас. Хотя правильнее было бы сказать, что ГосСОПКА могла бы быть в центре, если бы о ней кто-нибудь сказал […]
SecOps
Обзор SOC Forum еще ждет своего часа и уж поверьте, я выскажу всю правду про это замечательное мероприятие 🙂 А пока выложу свою презентацию, которую я посвятил теме знаний об угрозах (threat intelligence), источникам их получения, платформам для их обработки и обмена, API для автоматизации работы с ними, а также стандартам, позволяющим более эффективно выстроить […
А мы продолжаем нашу эпопею, посвященную SOCам. Вообще, сегодня, в день проведения SOC-Forum, я не хотел ничего писать про них, отдав место под другую публикацию. Но совершенно случайно, хотя очевидно, что Google подсовывает в выдаче явно не случайную выборку ссылок, я наткнулся на опубликованную неделю назад книжку «
Продолжу тему SOCов/SIEMов/CSIRTов. Сегодня, в предверие SOC-Forum, до которого осталось меньше суток я бы хотел уделить несколько слов тому, как строится такая деятельность в Cisco. Я не буду рассказывать о нашем коммерческом SOC, который у нас называется Cisco ATA (Active Threat Analytics) — это коммерческий сервис, который не будет предметом моей заметки. Я бы хотел […
Еще одна заметку в тему предстоящего через пару дней SOC-Forum. На этот раз на тему того, что же такое SOC и является ли обернутый в процессы SIEM-продукт таким SOCом? Вообще, если посмотреть на программу форума, то можно увидеть интересную тенденцию, все выступления (если не брать те, которые непосредственно касаются SOCов) концентрируются вокруг либо SIEM, либо […
А я продолжаю заочную терминологическую дискуссию, навеянную Дмитрием Мананниковым, в тему предстоящего SOC Forum. На этот раз обсуждение коснется разницы между терминами CERT и CSIRT. Почему-то иногда считается, что между этими двумя аббревиатурами можно поставить знак равенства. Вроде как и одна команда (Computer Emergency Response Team) и другая
Много лет назад, когда деревья были большими, а седины у меня не было вовсе, на прежней работе я решил запустить корпоративный центр идей, в котором сотрудники могли предлагать свои идеи, их можно было бы оценивать (в т.ч. и руководству), а самые интересные и полезные идеи — награждать. Слово за слово, запустили на внутреннем портале такой […]