Comments 4
Хороший методический материал, добавил в закладки, спасибо.
Вероятно, стоит добавить ещё одно потенциально конфликтное место во взаимодействии ИБ и ИТ. Настройка и состав дополнительного обязательного ПО на клиентских рабочих местах и понимание влияния этого ПО.
Не забуду, как в ИТ месяц боролись с периодической недоступностью одного нужного финансистам внешнего сервиса. Под подозрением побывали все компоненты инфраструктуры и клиентской операционной системы, а виновником оказался Инфовотч, про которого была дана информация от ИБ, что "он точно ничего не блокирует, только наблюдает." Блокировал как выяснилось он, зараза такая.
В целом, коротко про EDR / XDR я бы в статью добавил информацию тоже. Равно как и определение SOC - Security Operations Center. Для чего и когда он становится нужен.
Спасибо! Подумаем над расширением статьи.
Подозреваю, что тут по-своему ИБ истолковала "блокирует". В понимании безопасников "блокировать" - это когда они настроили правило блокировки. А тут весьма похоже, что внешний сервис мониторил подмену SSL-сертификата, который и подменял Инфовотч, чтобы перехватывать информацию. По сути, все DLP реализуют MITM-атаку. Но на случай SSL pinning в DLP обычно предусмотрены системные и пользовательские исключения.
Спасибо автору за статью. Данный материал нужно давать всем руководителям ИТ и ИБ служб. Вам сталкивался не раз с тем, что данные подразделения на дух не переносят друг друга, в результате чего просто невозможно работать.
Взаимодействие ИТ и ИБ: средства защиты