SecOps
Наткнулся я тут на презентацию службы реагирования на инциденты Cisco, которая по результатам более 100 проведенных расследований у наших заказчиков, сформулировала 7 ключевых наблюдений/уроков, которые мне показались достаточно интересными, чтобы про них написать. Ну а учитывая, что они не касаются продуктов, то это не стоит рассматривать как product placement.
В чатике про SOCи зашла тут дискуссия на тему, может ли, и если да, то зачем, использовать SOC два разных SIEM (именно SIEM, а не SIEM и LM или SIEM и UEBA). Вынесу я эту тему в блог, чтобы не забылась она и не затерялась. Я сталкивался с такими ситуациями не раз и поэтому не […]
Под конец года немного высвободилось времени и можно наконец-то оформить зарисовки, которые у меня накопились по результатам посещения SOC Forum, а также по результатам ряда проектов и предпроектных переговоров, в которых мне довелось участвовать. Одним из популярных вопросов является такой «Мы решили построить у себя SOC. А что он должен делать?»
SecOps
На прошлой неделе я выступал на SOC Forum с презентацией о том, как изменилось за последние три года отношение к измерению эффективности SOC. С этой темой я уже выступал три года назад и вот решил вновь к ней вернуться и посмотреть, что изменилось. В качестве иллюстрации использовал данные отчетов о состоянии SOC от SANS и […]
SecOps
Вчера выступал на нижегородском Коде ИБ, где рассказывал про особенности выбора аутсорсингого партнера по ИБ на примере SOC-as-a-Service. Выкладываю презентацию (на Slideshare). Как правильно выборать аутсорсингового партнера from Aleksey Lukatskiy
В прошлой заметке про приоритезацию инцидентов ИБ я обещал коснуться темы их эскалации, но сначала надо дать определение этого термина. Согласно Википедии, это постепенное расширение, усиление, увеличение чего-либо. В случае с ИБ мы говорим о привлечении внимания к тому или иному инциденту ИБ, расследование которого или реагирование
На прошлой неделе, на алтайских киберучениях среди прочего был и такой кейс. Рядовые пользователи сначала сталкиваются с недоступностью одного из файлов на расшаренном ресурсе компании, а буквально через несколько минут сообщают о том, что их компьютеры начинают подтормаживать. Как бы вы поступили в таком кейсе? Посчитали бы вы такую ситуацию инцидентом ИБ или отнесли бы […
Весной 2019-го года, на CISO Forum, я проводил киберучения, где среди прочего был и такой кейс — вы получаете сообщение через соцсети (чат в Facebook Messenger, Telegram, Whatsapp, Viber и т.п.) от человека, который называет себя известным в отрасли ИБ именем и который заявляет, что нашел в Darknet доказательства утечки у вас базы данных. Он, […
В августе я уже делал обзор двух отчетов, SANS и Exabeam, по центрам мониторинга ИБ (SOCам) и вот в руки попало еще один — от CriticalStart. В нем есть несколько интересных цифр о том, как аналитики SOC занимаются своей ежедневной деятельностью. Например, часто звучащий вопрос о том, сколько в среднем инцидентов ИБ в день, попадает […]
Несмотря на то, что Uber появился относительно недавно, бизнес-модель этой компании заслужила отдельного названия, «уберизация», о которой я и хотел сегодня поговорить применительно к SOCам. Но будем патриотами, и заменим в рамках обсуждения Uber на более привычный многим Яндекс (на суть это не влияет). Итак, представим, что нам нужно добраться из точки А в точку […