Да, иногда возникает такая путаница, мы поэтому и написали про центр мониторинга (который тоже SOC — Security Operations Center) там же, в заголовке. Много сущностей в ИТ и ИБ, незанятые аббревиатуры кончаются, видимо)
В статье написано, что на каждом КШ настраивается отдельный туннель для каждой площадки и приведен пример типовой настройки. При инсталляции 100 КШ такой подход вряд ли будет продуктивным.
Применение OSPF обусловлено также величиной инсталляции и использованием OSPF в существующей инфраструктуре заказчика.
Повезло тем компаниям, в которых Вы являетесь системным администратором. Но все же есть масса нюансов, например, недоменные пользователи, или в компании разрешено использование собственных компьютеров. Если взять компании больше 300 человек, ходить по каждому пользователю и проверять/настраивать их компьютеры уйдет слишком много времени, которого как правило нет, да и использование белых списков в таких компаниях не практикуется, всегда есть сотрудники, например, разработчики, которым необходимо огромное количество различного софта.
Для этого есть модуль контроля использования приложений, с помощью которого можно сформировать белые списки и который не допустит использование неразрешенных приложений.
Статья касается тематики ЕПСК, а используемые там технологии как раз блокируют вредоносные действия. Но, помимо простой блокировки, даже UTM даёт возможности для большой аналитики, о чем мы и пытались рассказать/
Технологии UBA достаточно полезны, но пока лежат за рамками ЕПСК, хотя частично применяются в нашем SOC и активно используются в нашем DLP.
Спасибо за ваш комментарий. Полностью разделяем вашу точку зрения: тема тестирования обновлений действительно заслуживает отдельного внимания и мы планируем поделиться своим опытом в нескольких дальнейших постах. В данном конкретном материале речь о кейсе расследования, а есть множество клиентов, для которых мы реализуем именно патч-менеджмент — вот про этот опыт обязательно расскажем.
На текущий момент нет термина отраслевой центр ГосСОПКА. Но есть корпоративный, который может быть нацелен как на обеспечение безопасности внутренней инфраструктуры и дочерних обществ (например созданный в рамках госкорпорации или крупного бизнеса), так и на оказание коммерческих услуг организациям рынка.
По возможности самостоятельно реагировать и ликвидировать последствия с участием службы ИБ и ИТ компании, при невозможности – просить содействия у вышестоящего центра
Все правила на VNF настраиваются только по согласованию с заказчиком, за исключением каких-либо массовых историй, вроде цископада, когда счёт идёт на минуты. В этом случае заказчик будет уведомлен об изменении правил фильтрации и, если он посчитает, что они излишни, мы всё вернём как было.
Тут есть одна интересная особенность: каждый обученный сотрудник становится на сторону службы ИБ, начинает лучше понимать специфику ее деятельности. Обученные сотрудники расскажут своим коллегам о спаме быстрее ИТ-службы, и сотрудник не только сам не откроет письмо но еще и отговорит коллегу это делать. Помимо этого, сотрудник не пустит в офис постороннего, спрячет секретный документ в ящик стола, сразу уведомит сотрудника охраны о потерянном пропуске, не станет хранить пароль на бумажке под клавиатурой и в целом сделает безопаснее работу свою и окружающих. У любой организации есть 2 пути: путь запретов и ограничений и путь образования и повышения осведомленности. В зависимости от выбранного пути настроение и продуктивность коллектива меняется в целом, а не только в части ИБ.
В среднем каждый 7-й пользователь, который не проходит регулярное обучение киберграмотности, поддается на социальную инженерию: открывает зараженный файл или отправляет свои данные злоумышленникам. Статистика по конкретным подразделениям приведена в посте.
Как показывает практика наших заказчиков, при регулярной тренировке ИБ-навыков сотрудников эффективность социальной инженерии снижается практически в 2 раза: на атаки поддается уже лишь каждый 12-ый пользователь. Разница в результатах до и после начала обучения и регулярных тренировок сильнее всего заметна у сотрудников финансового и юридического департаментов.
Для ИТ и helpdesk действительно настанут черные дни, но на основные бизнес-процессы это все-таки не влияет. Но из практики wannacry — иногда лучше добавить другой способ управления или потерпеть, чем долго и мучительно восстановливать инфраструктуру после влетевшего шифровальщика массового поражения. Как раз в случае petya и wannacry бывало, что заказчики целиком отказывались от работы через SMB до устранения проблемы.
Согласны, что использование OCR в DLP — это не новость, мы хотели осветить именно возможные сложности при использовании OCR в DLP.
Замечания учтем на будущее. Спасибо за ваши комментарии.
Применение OSPF обусловлено также величиной инсталляции и использованием OSPF в существующей инфраструктуре заказчика.
Технологии UBA достаточно полезны, но пока лежат за рамками ЕПСК, хотя частично применяются в нашем SOC и активно используются в нашем DLP.
Спасибо за ваш комментарий. Полностью разделяем вашу точку зрения: тема тестирования обновлений действительно заслуживает отдельного внимания и мы планируем поделиться своим опытом в нескольких дальнейших постах. В данном конкретном материале речь о кейсе расследования, а есть множество клиентов, для которых мы реализуем именно патч-менеджмент — вот про этот опыт обязательно расскажем.
Все правила на VNF настраиваются только по согласованию с заказчиком, за исключением каких-либо массовых историй, вроде цископада, когда счёт идёт на минуты. В этом случае заказчик будет уведомлен об изменении правил фильтрации и, если он посчитает, что они излишни, мы всё вернём как было.
Как показывает практика наших заказчиков, при регулярной тренировке ИБ-навыков сотрудников эффективность социальной инженерии снижается практически в 2 раза: на атаки поддается уже лишь каждый 12-ый пользователь. Разница в результатах до и после начала обучения и регулярных тренировок сильнее всего заметна у сотрудников финансового и юридического департаментов.
Замечания учтем на будущее. Спасибо за ваши комментарии.