SecOps
На сочинском «Коде ИБ. Профи» (кстати, на прошлой неделе стали доступны все презентации и записи с него) у Льва Палея был мастер-класс о том, как выбирать средства защиты, где среди рассматриваемых в качестве примера решений были системы управления событиями ИБ (SIEM). И у меня в загашнике давно был черновик заметки на схожую тему. Но я […]
Продолжу тему SOCов. Помимо Exabeam, чей отчет я описал вчера, еще один обзор по SOC был выпущен этим летом. На этот раз его автором стал известный институт SANS, который уделяет этой теме большое внимание. Что интересного преподнес этот отчет и что нового в нем есть по сравнению с данными Exabeam? Чаще всего на аутсорсинг отдают […]
Попался мне тут в руки отчет Exabeam с различной статистикой и обзором происходящего в области Security Operations Center в 2018 году (80% участников опроса имеют опыт работы в SOCах от 6 лет, а длительность работы 90% опрошенных SOC составляет более 3-х лет). Все перечислять не буду, но несколько интересных моментов оттуда я все-таки вытащу: Почти […
На днях попал мне в руки проект по SOC, который делался для одной из российских компаний. И напомнил он мне слайд, который был опубликован в Твиттере одним из участников недавно прошедшего в США Gartner Security & Risk Management Summit. Я не буду приводить не очень качественную фотографию — покажу таблицу, которую я сделал на основе […]
Cisco является очень активным игроком на рынке аутсорсинга SOCов (правда, в России мы эти услуги не предоставляем, ограничиваясь только проектированием SOCов) и у нас накопилась достаточно большая база знаний по тому, что надо делать (а чего не надо) в тех случаях, когда компания дозрела до того, что хочет иметь центр мониторинга ИБ и стоит перед […]
Очень часто, в презентациях про SOC говорят про классическую триаду, которая позволяет создать хороший центр мониторинга, — «люди — процессы — технологии». Эта триада так въелась в головы многих, что ее уже никто не воспринимает критически. В то время как она является некорректной по сути и уводящей многие SOC не туда. Я, во время рассказа […
SecOps
В четверг на ITSF я выступал с обзором законодательных новинок по ИБ от ЦБ. Днем позже, в пятницу, я открывал поток по SOCам с презентацией: «От SOC v0.1 к SOC v2.0», где делился в очень сжатые сроки некоторыми зарисовками о том, чем отличается «простой» SOC начального уровня от `SOCа более продвинутого. Понятно, что 30 минут […]
На прошлой неделе зашел в одном телеграм-канале спор о том, что такое атрибуция кибератак. Я настаивал и настаиваю на том, что атрибуция — это дисциплина, которая отвечает всего на один вопрос — «КТО стоит за кибератакой». Ничего более. Мои оппоненты исходили из идеи, что определение авторства атаки —
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот для выступления на SOC Forum KZ я выбрал 5 […]
Какое главное слово в словосочетании «Threat Intelligence»? Большинство считает, что threat, угроза. На одном из мероприятий я как-то, не претендуя на социологическую правильность, провел блиц-опрос на тему, что для вас значит Threat Intelligence. 68% участников опроса сказали, что это фиды. Еще 17% сказало, что это информация об угрозах.