SecOps
Очень часто, в презентациях про SOC говорят про классическую триаду, которая позволяет создать хороший центр мониторинга, — «люди — процессы — технологии». Эта триада так въелась в головы многих, что ее уже никто не воспринимает критически. В то время как она является некорректной по сути и уводящей многие SOC не туда. Я, во время рассказа […
SecOps
В четверг на ITSF я выступал с обзором законодательных новинок по ИБ от ЦБ. Днем позже, в пятницу, я открывал поток по SOCам с презентацией: «От SOC v0.1 к SOC v2.0», где делился в очень сжатые сроки некоторыми зарисовками о том, чем отличается «простой» SOC начального уровня от `SOCа более продвинутого. Понятно, что 30 минут […]
На прошлой неделе зашел в одном телеграм-канале спор о том, что такое атрибуция кибератак. Я настаивал и настаиваю на том, что атрибуция — это дисциплина, которая отвечает всего на один вопрос — «КТО стоит за кибератакой». Ничего более. Мои оппоненты исходили из идеи, что определение авторства атаки —
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот для выступления на SOC Forum KZ я выбрал 5 […]
Какое главное слово в словосочетании «Threat Intelligence»? Большинство считает, что threat, угроза. На одном из мероприятий я как-то, не претендуя на социологическую правильность, провел блиц-опрос на тему, что для вас значит Threat Intelligence. 68% участников опроса сказали, что это фиды. Еще 17% сказало, что это информация об угрозах.
30 ноября Marriott International анонсировала, что неизвестные хакеры (позже появилась информация, что следу ведут в Китай, в государственные шпионские структуры) смогли взломать систему резервирования сети отелей Starwood, принадлежащей Marriott, и в течение 4 лет (еще до поглощения сети Starwood сетью Marriott) смогли украсть данные около полумиллиарда
SecOps
Вчера выступал на SOC Forum с дискуссионной темой о бесполезности первой линии SOC. Докладу предшествовала дискуссия в Facebook, где мне высказывали позицию, что автоматизация (а я предлагаю именно ее взамен слабому человеку) не может решить все проблемы и человек все равно нужен. Спор бесконечный и у каждого участника есть свои аргументы за его позицию. На […
SecOps
В сентябре я написал заметку о том, сколько лицензий нужно, чтобы подключиться к ГосСОПКА. А тут давеча, рассказывая про модель угроз и про то, что отсутствие у организации лицензии ФСБ на деятельность в области шифрования может также рассматриваться как угроза, я подумал, что у центра ГосСОПКИ, предоставляющего услугу подключения к ГосСОПКЕ должна же еще быть […
После проведенной на CyberCrimeCon презентации «Как создать свой SOC?» в разных соцсетях и личных беседах прозвучало несколько вопросов по ее содержанию. В целом они сводились к тому, что слайды оказались местами высокоуровневыми, а местами требующими пояснений. Как в известной иллюстрации на тему «Как нарисовать сову»
Продолжу вчерашнюю тему про SOC. Тем более, что близится как SOC Forum, так и Cisco Security Operations Virtual Summit (последнее мероприятие пройдет онлайн 12-го ноября и будет бесплатным) и я готовлюсь к обоим событиям по теме мониторинга ИБ. Наткнулся на интересное исследование 148 специалистов, работающих в SOC;