SOC
Попался мне тут в руки отчет Exabeam с различной статистикой и обзором происходящего в области Security Operations Center в 2018 году (80% участников опроса имеют опыт работы в SOCах от 6 лет, а длительность работы 90% опрошенных SOC составляет более 3-х лет). Все перечислять не буду, но несколько интересных моментов оттуда я все-таки вытащу: Почти […
На прошлой неделе на официальном портале правовой информации были выложены два оставшихся приказа ФСБ, регулирующих вопросы, связанные с обнаружением, предотвращением и ликвидацией последствий компьютерных атак для субъектов КИИ. Первый касался порядка информирования ФСБ о компьютерных инцидентах, а второй — о порядке установки и эксплуатации средств ГосСОПКИ.
На днях попал мне в руки проект по SOC, который делался для одной из российских компаний. И напомнил он мне слайд, который был опубликован в Твиттере одним из участников недавно прошедшего в США Gartner Security & Risk Management Summit. Я не буду приводить не очень качественную фотографию — покажу таблицу, которую я сделал на основе […]
Cisco является очень активным игроком на рынке аутсорсинга SOCов (правда, в России мы эти услуги не предоставляем, ограничиваясь только проектированием SOCов) и у нас накопилась достаточно большая база знаний по тому, что надо делать (а чего не надо) в тех случаях, когда компания дозрела до того, что хочет иметь центр мониторинга ИБ и стоит перед […]
Очень часто, в презентациях про SOC говорят про классическую триаду, которая позволяет создать хороший центр мониторинга, — «люди — процессы — технологии». Эта триада так въелась в головы многих, что ее уже никто не воспринимает критически. В то время как она является некорректной по сути и уводящей многие SOC не туда. Я, во время рассказа […
SecOps
В четверг на ITSF я выступал с обзором законодательных новинок по ИБ от ЦБ. Днем позже, в пятницу, я открывал поток по SOCам с презентацией: «От SOC v0.1 к SOC v2.0», где делился в очень сжатые сроки некоторыми зарисовками о том, чем отличается «простой» SOC начального уровня от `SOCа более продвинутого. Понятно, что 30 минут […]
На прошлой неделе зашел в одном телеграм-канале спор о том, что такое атрибуция кибератак. Я настаивал и настаиваю на том, что атрибуция — это дисциплина, которая отвечает всего на один вопрос — «КТО стоит за кибератакой». Ничего более. Мои оппоненты исходили из идеи, что определение авторства атаки —
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот для выступления на SOC Forum KZ я выбрал 5 […]
Какое главное слово в словосочетании «Threat Intelligence»? Большинство считает, что threat, угроза. На одном из мероприятий я как-то, не претендуя на социологическую правильность, провел блиц-опрос на тему, что для вас значит Threat Intelligence. 68% участников опроса сказали, что это фиды. Еще 17% сказало, что это информация об угрозах.
Новогодние праздники достаточно длинны и их можно тратить на что-то более полезное, чем обжирание и пьянство 🙂 Вот и я, после чтения купленных на праздники книг по математике и регулярных коньков, перемежающихся расчисткой дорожек от снега на даче, решил пройти обучение. Давеча завершил я прохождение онлайн курса про программе CompTIA Cybersecurity Analyst CySA+ и хотел […