SOC
Давеча, после проведения киберучений, я попал на питерский «ИТ-Диалог», конференцию преимущественно ориентированную на госорганы и привлекающую чиновников высокого ранга — в этот раз ее посетил недавно избранный министр связи, цифрового развития и массовых коммуникаций. Мне же посчастливилось посетить секции про цифровую экономику и
Помню 2 года назад, на SOC Forum, я выступал в модерируемой мной с Дмитрием Мананниковым секции по оценке эффективности SOC. В рамках своей презентации я описывал возможные подходы к оценке SOC различных точек зрения — технической, процессной, бизнеса и т.п. За прошедшие два года я не раз сталкивался с различными центрами мониторинга, создатели которых, построив […
После 12-ти минут непрерывного мониторинга оператор пропускает 45% активности на мониторе, после 22-х минут — до 95%. В целом после 20-40 минут активного мониторинга оператор систем охранного телевидения сталкивается с психологической слепотой и перестает распознавать любые объекты. Думаю, что у аналитиков SOC цифры не сильно отличаются.
Наверное многие видели фотографии SOCов с огромными экранами, на которых что-то показано красивое и переливающееся всеми цветами радуги. А вы знаете, что по статистике, эти экраны не используются в 80% времени, исключая приходы руководства, СМИ (если компания важная) и важных клиентов. Вместо правильного их использования (например, для вывода дашбордов)
SecOps
Пока все ждут от ФСБ документов по ГосСОПКЕ и, в частности, по правилам и форматам передачи данных об инцидентах, я бы хотел поговорить об одном из недавно появившихся стандартов описания индикаторов компрометации. Но сначала вопрос. Какие языки для описания индикаторов компрометации / сигнатур / шаблонов для файловых атак вы знаете? Первое, что приходит на ум, […
Продолжая тему, начатую в предыдущих двух публикациях (тут и тут), обратимся к вопросу создания макета дашборда по ИБ для руководства. Напомню, что это седьмой шаг в создании дашборда после определения вашей целевой аудитории, ее нужд, определения принимаего решения, идентификации типа дашборда и вида диаграммы. Макет позволяет нам понять, какие блоки
SecOps
Выкладываю презентацию с прошдедшего в день космонавтики в Казахстане SOC Forum. Но самая главная ошибка в презентации не упомянута и заключается в том, что на SOC возлагают слишком большие надежды, совершенно забывая про то, что SOC — это вершина пирамиды. Чтобы SOCу было что мониторить или чем управлять, должна быть выстроена полноценная система защиты. Без […
На московском «Код ИБ. Профи» еще одним блоком представленных тем стали security operations (фиг знает, как это нормально перевести на русский язык). Этой теме в той или иной степени было посвящено несколько докладов. Один из них Сергея Рублева из компании «Инфосекьюрити», который поделился опытом создания собственного центра мониторинга
Разное
Splunk 27-го февраля объявил о подписании соглашения о покупке Phantom Cyber, компании, которая работает в сегменте SOAR по версии Gartner, и занимается оркестрацией и автоматизацией вопросов ИБ. Размер сделаки составл 350 миллионов долларов США.
Как и отчеты дашборды бывают трех типов — стратегические (для топ-менеджеров), аналитические (для руководителей среднего звена) и оперативные (для исполнителей). Учитывая, что большинство отчетов (да и дашбордов) готовится именно исполнителями и ни они не задаются нужными вопросами (КТО моя целевая аудитория, ЧТО они должны решить и КАКАЯ