SecOps
Что я не услышал на SOC Forum 2.0
413
На днях Денис Батранков написал заметку о том, что он увидел в презентациях с SOC Forum 2.0 хотя на самом форуме его не было 🙂 Я решил не отставать и написать о том, чего я в презентациях не увидел, хотя на самом форуме был. Лично для меня не хватило практики; и не важно с чьей […]
Бизнес без опасности
SecOps
Обнаружение необнаруживаемого (threat hunting)
065
На Коде ИБ в Нижнем Новгороде помимо пленарной части я также проводил мастер-класс на тему обнаружения необнаруживаемого, то есть threat hunting. Разумеется, за один час это сделать было непросто, и поэтому своей основной задачей я ставил дать обзор того, что можно и нужно делать помимо банального использования различных продуктов по ИБ. Какие данные нам помогают […
Бизнес без опасности
Законодательство
SOC Forum 2.0: выступления регуляторов
324
Как и обещал, выступлениям регуляторов на SOC Forum 2.0 посвящу отдельную заметку, тем более, что было сказано немало интересного как на самих выступлениях, так и в кулуарах. Я не буду повторять то, что уже написал Сергей Борисов, — напишу только то, что выпало из поля его зрения: ФСТЭК, помимо рассказа о ПП-541, рассказала о том, […]
Бизнес без опасности
Законодательство
Почему «мониторинг ИБ» — это не сертификация и почему SOCам все-таки нужна лицензия ФСТЭК?!
121
Вообще, сегодня тут должна была быть очередная заметка про SOC Forum 2.0, а точнее рассказ про новости регуляторики. Но в мои планы вмешался Андрей Прозоров, опубликовавший его видение ПП-541 применительно к термину «мониторинг ИБ». Согласно его позиции, мое мнение о том, что на деятельность SOC нужна лицензия, не такое уж очевидное и ФСТЭК под мониторингом […
Бизнес без опасности
SecOps
SOC Forum 2.0: ключевые положения с пленарной сессии
025
Чем мне нравится SOC Forum, так это его фокусировкой на конкретной теме, которую можно обсасывать с разных сторон и на достаточно глубоком уровне. Вы можете себе представить очень конкретную и очень специфическую тему «Отчетность в SOC» на каком-нибудь Инфофоруме или InfoSecurity? Я — нет, потому что оба эти мероприятия «
Бизнес без опасности
Законодательство
На деятельность пентестеров, аудиторов и SOCов требуется лицензия!
27826
15-го июня было принято новое Постановление Правительства №541, о проекте которого я уже писал в феврале и которое внесло поправки в правила лицензирования деятельности по защите информации и по разработке средств защиты информации. Я летом что-то замотался и забыл про него написать, а позавчера на SOC Forum (кстати, материалы с него уже выложили) начальник 2-го […
Бизнес без опасности
Стратегия
Оценка эффективность SOC. Версия 2.0
456
На эту неделю интересные мероприятия по ИБ закончились и можно сделать некоторый обзор того, что было. Тем более, что закончившийся вчера SOC Forum был трехпотоковым и по определению никто не мог посетить параллельные доклады. И это если не говорить, что кто-то вообще на доклады не ходил, а как обычно тусил в холле и общался с […]
Бизнес без опасности
SecOps
MSSP не умеют бороться с целенаправленными угрозами. На первый план выходят MDR-поставщики
327
Мы достаточно часто слышим аббревиатуру MSSP (Managed Security Service Provider), особенно в последнее время, в предверии начинающегося в среду SOC Forum 2.0. Оно и понятно — немалое количество докладов на форуме будет от поставщиков услуг SOC, которые называют себя именно MSSP, оказывающим аутсорсинговые услуги по мониторингу и обнаружению преимущественно известных угроз.
Бизнес без опасности
SecOps
Один день из жизни аналитика SOC
038
Часто бывает, что наши ожидания расходятся с реальностью, и хорошим примером такой нестыковки является работа аналитика Security Operations Center (SOC). На самом деле, практически любой профессии присуща эта проблема, но поскольку последние пару недель я посвятил теме SOC, то и эту заметку я тоже буду иллюстрировать на примере одной из должностей центров мониторинга. Итак, как […
Бизнес без опасности
SecOps
Как приоритезировать события в SOC?
042
На последнем PHDays, где я вел секцию по SIEM, все участники сошлись во мнении, что правила корреляции из коробки не работают и про них надо забыть сразу после покупки решения по управлению событиями безопасности. С SOC ситуация ровно таже самая и перед нами встает вопрос не только о том, как создать правила корреляции событий, но […]
Бизнес без опасности