обнаружение угроз
Forrester в конце прошлого года принял решение о том, что они больше не будут публиковать отчеты по решениям класса EDR (Endpoint Detection & Response), что позволило некоторым ИБ-журналистов написать, что «EDR мертвы». А так как я уже давно на рынке ИБ, то это не оказалось для меня каким-то сюрпризом. Gartner уже хоронил системы обнаружения атак […
Помню, проходил я несколько лет назад стажировку в одном SOC, и в первый же день я задал коллегам сакраментальный вопрос — а как вы выбираете, на какие сигналы от SIEM/EDR/NTA/NDR реагировать, а какие можно отложить «на потом»? Ведь при миллионах и миллиардах событий безопасности, которые детектируют различные сенсоры и «
Знаете, чем Gartner навредил рынку ИБ? Он приучил нас выбирать не решение своих задач в ИБ, а аббревиатуры классы средств защиты (NGFW, WAF, VM, DLP, EDRM, SIEM и т.п.). А ведь нам нужно не это — нам нужно предотвратить реализацию недопустимых событий или, для апологетов старой школы, бороться с актуальными для нас угрозами и нарушителями. […]
В рамках проведения штабных киберучений, последние из которых я проводил на конференции IT IS Conf, организованной УЦСБ, первый кейс, который я предлагал решить, касался бюллетеней ГосСОПКИ, в которых указано множество индикаторов компрометации, и вопрос звучал так: “Что вы будете делать с полученными индикаторами?
Допустим, я убедил вас в прошлой заметке, что быть зависимым от внешнего разработчика (неважно — отечественного или зарубежного) контента обнаружения (сигнатур атак, use case, правил SIEM и т.п.) плохо и вы решили, что да, пора начать писать контент самому (хотя так удобно от кого-то зависеть, чтобы все свои промахи сваливать на кого-то). Как лучше всего […
В 2001-м году в своей книге “Обнаружение атак” я привел следующую статистику — 86,5% пользователей систем обнаружения атак никогда не создают собственных сигнатур атак (контента обнаружения), даже если у используемых ими решений есть такая возможность. Прошедшие 20 лет показали, что такая беспечность (хотя она и понятна —
Вчера, пока многие проходили тест на знание неизвестных страниц российской нормативки, мне довелось модерировать эфир , посвященный защите от целевых атак на российские предприятия в текущих, непростых условиях, когда и число атак возросло в два раза по данным Лаборатории Касперского, и многие иностранные игроки приостановили свою деятельность и их
Еще одно мероприятие по SOCам, которое прошло на первой неделе, было организовано компанией Picus Security. Оно называлось и состояло из множества интересных докладов, которые представлялись двумя спикерами — каким-либо известным в американской ИБ-тусовке экспертом (типа Дэвида Бьянко, автора пирамиды боли TI, Криса Клоули, автора первого курса
В ряде прошлых заметок я коснулся темы обнаружения угроз и показал отличия этих двух тем сейчас и 20 лет назад. Продолжу. Одним из ключевых отличий является наличие совершенно различных типов контента обнаружения, который не ограничен только сигнатурами атак. Но не только это. На самом деле я бы выделил еще 3 ключевых направления, в которых произошли […
Да-да, я не ошибся в заголовке и там должен быть именно «контент», а не «контекст». дело в том, что мы привыкли, что системы обнаружения угроз работают преимущественно по сигнатурам и поэтому часто ставим знак равенства между «сигнатурой» и «механизмом обнаружения», что неправильно.