SecOps
Так удачно сложилось, что сегодня у меня на курсе по промышленной ИБ как раз идет тема по реагированию на инциденты, где инструктор рассказывает в чем отличие между этим процессом в обычной ИБ и в промышленной. Ну и по ходу приводит различные кейсы и примеры из жизни. Если коротко, то его идея заключается в следующем — […]
Прошлая неделя у меня прошла под знаком CSIRT/CERT. Сначала я ездил в одну из стран СНГ и делал презентацию для национального CERTа. Потом мне попалась парочка презентаций о том, как устроены группы реагирования на инциденты в Cisco (CSIRT) и в НАТО (CIRC). Попутно почтовый ящик пополнился несколькими уведомлениями от FS-ISAC и IT-ISAC (обычно раз-два в […
В США, во многих отраслях есть центры анализа и распространения информации, связанной с информационной безопасностью. Это так называемые Information Sharing and Analysis Center (ISAC). Есть такой центр и в финансовой отрасли — FS-ISAC. У него нет задачи реагировать на инциденты — только анализ и распространение информации, которую члены
SecOps
Закончить трилогию, посвященную вопросу создания собственной системы Threat Intelligence, мне хотелось бы перечислением потенциальных проблем, которые могут подстерегать создателей: Отсутствие нормальной автоматизации. Обычно, при проявлении угрозы или возникновении инцидента, обмен сведениями идет по обычному телефону или e-mail, что плохо масштабируется и совсем неоперативно.
SecOps
Ну продолжим 🙂 Сразу скажу, что создание собственной системы ИБ-аналитики (хотя бы с точки зрения каркаса для последующего его наполнения данными) — задача нетривиальная. В качестве примера сошлюсь на наш собственный опыт, которым мы поделились в нашем корпоративном блоге: Часть 5. Антифишинг из облака Часть 4.
SecOps
На прошлой неделе я несколько раз коснулся темы исследований угроз (threat intelligence). Сначала в корпоративном блоге Cisco, потом в этом блоге, потом в виде краткого анализа последних сделок на рынке ИБ, которые фокусировались тоже вокруг Threat Intelligence. А тут и Gartner в своем отчетном документе по ИБ за 2013-й год заявил, что аналитика в области […
SecOps
Тема реагирования на инциденты сегодня является не просто модной, и не только описанной в нормативных актах, но и важной с практической точки зрения. Несмотря на внедряемые меры защиты и непрекращающуюся гонку вооружений, число инцидентов не снижается, а растет. Вдаваться в причины этого явления я не буду, я думаю стоит поговорить о другом —
Рассказывая о том, почему в России будет сложно (мягко говоря) создать работающую систему обнаружения атак федерального уровня, я упомянул отсутствие поддержки у большинства современных средств обнаружения атак, которые могли бы лечь в основу системы, которую будет строить ФСБ, протоколов обмена сигналами тревоги STIX и TAXII.
В блоге и в Твиттере мне стали оппонировать, что я критикую, не зная, как на самом деле будет устроена система обнаружения атак, описанная в Указе Президента №31с. Так уж сложилось, что темой обнаружения атак я занимаюсь давно, еще с конца 90-х и поэтому неплохо себе представляю, как может быть выстроена такая система и с какими […]
SecOps
Упомянутая вчера федеральная сеть обнаружения компьютерных атак FIDNET, анонсированная в указе Клинтона от 1996-го года, так и не была запущена ни в своем изначальном, ни в реинкарнированном виде. Причиной тому стало обычный недосмотр, в результате которого информация о FIDNET просочилась в СМИ до того момента, как данный проект был анонсирован членам