Задачи CISO - разрабатывать стратегию инфобеза, куда и в каком направлении двигаться, рассказывать зачем нужен иныобез перед бизнесом, защищать бюджет. То, что описано в статье - это задачи исполнителей, максимум - линейных руководителей локальных подразделений инфобеза
Используйте VPN. Какой vpn, куда vpn? Гостовый или не гостовый. Доступ с токеном или нет? Переписывает ли он маршруты, что доступ в другие сети пропадает? Где подробности?
Второе, ваше ПО, перед самим подключением, должно проверять и наличие антивируса, и публичный или нет wifi, и стоят ли последние обновления безопасности. И только есть чек-лист пройден, разрешать подключение.
Введённые логин и пароль утекли киберпреступникам, открыв доступ к корпоративным данным. Запустите любую вменяемую корпоративную TI с данными вашей организации, там сотни паролей. Тут второй фактор внедрять нужно, а не то, что там что-то утекло. Из личного опыта, пользователи используют для разных сервисов один и тот же пароль. И зеротраст необходимо использовать для разных зон. И нормальный Пам. И вот это, что он зашёл в систему, что там он мог украсть в 2019? Или там буфер обмена открыт между корпоративной средой и удаленной рабочей станцией? Тогда это позорище, и правильно, что украли. Это сейчас я видео сниму с базовой БД, и потом распознаю его модельной, 6 лет назад такого не было.
Работа на чужих устройствах увеличивает риск утечек данных. Работа на устройствах, не прошедших проверку должна быть запрещена. Уж у Озона есть деньги закупить пару тысяч ноутбуков
Удалённый разработчик использовал устаревшую версию VPN-клиента. Это опять проблема организации, которое позволяло подключаться с устаревшим ПО.
Советы про подписочные менеджеры паролей. Это после того, как ласпасс и биварден екунули. Если такой нужен, то только онпремис, для российских это пассворк или бирпасс. И на него попасть только после установления соединения с корпоративным vpn, который в свою очередь в МДМ запущен. А этот МДМ запрещает буфер обмена с остальной частью телефона.
Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах. То да, оно так и есть)))) А ещё там будет стотыщпятьсот событий ИБ, которые как инциденты, их надо проверить, но инцидентами они не стали. Безудержное веселье
Два раза в ноль за неделю упал юзергейт. Первый раз пришлось 4 часа его в ноль перешивать, во второй опять упал, подняли быстро одну ноду, удаленным помощником подключились специалисты самого вендора, и те через два часа намертво ее опять уронили. Любим ваши продукты)))
техническим специалистам может подойти направление криминалистической экспертизы дисков и памяти
Форензика - слишком специфичное направление. И уж СОКовцам она нужна совсем редко. В большинстве СОКов, в т.ч. коммерческих, смотрят логи, а не форензикой занимаются.
Гуманитарий может выучиться на технического писателя
Это смотря какой гуманитарий. Может ему лучше подойдёт методолог. Вчерашнему юристу или работнику банков очевидно проще читать нормативку регуляторов. А дальше пусть и в консалтику открыт, и в аудит по ИБ
любая компания хочет, чтобы у соискателя было образование, подтверждённое документом.
Любая компания прежде всего хочет практические знания. Документы по образованию в ИБ нужны лишь по некоторым документам, 313 ФСБ, постановлению 1272 и т д, но их не много
Вдобавок ко всему, обязательно нужно учить английский
Ну вот тому же методолога надо? Чтобы российские законы читать? Или инженеру, который сидит на отечественном ПО, каком-нибудь DLP, смотрит в отечественную веб-морду и английских букв и не видит. Но английский - это лучше конечно, но обязательно ли?
вы забудете большую часть того, что выучили
Так это нормально, сверх того, большую часть того, что знали, в дальнейшем чаще всего не пригождается
1) когда можно вбить учётку и URL и проверить, будет ли разрешен траффик или какое конкретное правило его блокирует. Самое нужное, что есть. Я вам про это писал ещё в 22 году.
2) Когда будет полнотекстовый поиск по логам. Я хочу написать слово, например "pdf", и чтобы мне вышли все результаты всех пользователей, которые на ресурсы с таким наборов букв в названии заходили. Про это тоже ещё в 22 году писал. А воз и ныне там
они заметили, что кто-то пытался войти в учетную запись сотрудника компании N, используя серию неверных паролей. Примерно тысячу раз за день. Это выглядело подозрительно. Специалисты SOC отправили компании N электронное письмо, в котором сообщили о неудачном входе в систему
Ну да, кто-то брутфорсит учётку. Это "подозрительно". Отреагируем письмом. Точно поможет. Если не ответят, значит все ок)))
Эффективность работы удаленных сотрудников мало чем отличается от офисных. Это не секрет после карантинных мер.
Очень спорное заявление. Делали оценку на заре карантина там и DLP с ueba, спец программа на сервере почтовика, два агента программ контроля времени и логи с AD и спец программ. Оценка выражалась, в начале работы, в количестве кликов мышкой и тапов клавиатуры, скоростью ответа на письма коллег, другие манипуляции с письмами - время открытия после прихода, открытие вообще вложений, времени сессии (блокировка экрана через 10 минут бездействия), времени сессии в своих программах, где они работают ежедневно. Просадки были везде. Но работа как-то работалась, задачи исполнялись и все забили.
Ваши популярные под 250 Указ не попадают. Да и не купить их, помню как срочно заменяли Форспоинт, лицензия которого заканчивалась 30 марта, а ее уже в Россию не продавали
внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно
Вот это самая здравая мысль, но вот чтобы это сделать регулярно, надо ещё людей, ещё технических средств... ещё, ещё, ещё. И все в деньги упирается. И тут мы приходим к тому, что пока не будут выполнены пункты необходимых ещё, то и эффективности не будет, и регулярность будет не регулярной.
Например, в IT многие общаются на «ты». Если вместо «друзья, погнали на синк» всерьёз сказать «уважаемые коллеги, пройдёмте на совещание» — будет странно
Когда набирает незнакомый человек и начинает тыкать, сразу идёт в пешее эротическое. А слово синк для обозначения совещания я даже не слышал
Чем ваша система лучше, относительно лидеров нашего рынка Security Vision или R-Vision? Но вообще любое обогащение без сиемки бессмысленно, т е. у вашего клиента должен уже стоять тот же курадар, арксайт или имплртозамещенный МПСием
На это нет ресурсов. Это в очень больших организациях. Когда все ИБ 20 человек (это банк, так четверть из них часть антифрод) на 3000 сотрудников и 1500 серверов, на это просто нет времени. Хорошо жить на неограниченных ресурсах, но реальная жизнь совсем другая.
Тут опыт большой компании, у которой есть время, деньги и ресурсы.
А у компаний средней руки обычно у наставника просто нет большого количества времени, чтобы уделять стажеру. В большинстве случаев сотрудники в разных городах, что очевидно создает сложности в контроле круга общения.
По поводу ошибаться, помню случай, когда стажёр на DLP, стоящей в разрыв почты, "поправил" несколько правил, что привело, что к тому, что куча писем стала задерживаться, о чем узнали не сразу. Хотя этому стажеру было четко сказано, что и в каком правиле можно править и экспериментировать.
Согласен по поводу, что стажёры приходят с розовыми очками. Они приходят в мир "творить", а реально в обычном ИБ каждый шаг задокументирован, на каждый чих должен быть ВНД, а если его нет, надо его написать и внедрить. Любые действия должны идти не по зову души, а по заявкам и согласованиям. Наши юные коллеги зачастую этого не понимают.
Желательно также спрашивать и учитывать их мнение при внедрении внутренних организационных мер и процессов, а также при планировании задач. - Вот с этим не согласен. Если спрашивать каждого землекопа, как копать яму, то ямы не появится.
Задачи CISO - разрабатывать стратегию инфобеза, куда и в каком направлении двигаться, рассказывать зачем нужен иныобез перед бизнесом, защищать бюджет. То, что описано в статье - это задачи исполнителей, максимум - линейных руководителей локальных подразделений инфобеза
Используйте VPN. Какой vpn, куда vpn? Гостовый или не гостовый. Доступ с токеном или нет? Переписывает ли он маршруты, что доступ в другие сети пропадает? Где подробности?
Второе, ваше ПО, перед самим подключением, должно проверять и наличие антивируса, и публичный или нет wifi, и стоят ли последние обновления безопасности. И только есть чек-лист пройден, разрешать подключение.
Введённые логин и пароль утекли киберпреступникам, открыв доступ к корпоративным данным. Запустите любую вменяемую корпоративную TI с данными вашей организации, там сотни паролей. Тут второй фактор внедрять нужно, а не то, что там что-то утекло. Из личного опыта, пользователи используют для разных сервисов один и тот же пароль. И зеротраст необходимо использовать для разных зон. И нормальный Пам. И вот это, что он зашёл в систему, что там он мог украсть в 2019? Или там буфер обмена открыт между корпоративной средой и удаленной рабочей станцией? Тогда это позорище, и правильно, что украли. Это сейчас я видео сниму с базовой БД, и потом распознаю его модельной, 6 лет назад такого не было.
Работа на чужих устройствах увеличивает риск утечек данных. Работа на устройствах, не прошедших проверку должна быть запрещена. Уж у Озона есть деньги закупить пару тысяч ноутбуков
Удалённый разработчик использовал устаревшую версию VPN-клиента. Это опять проблема организации, которое позволяло подключаться с устаревшим ПО.
Советы про подписочные менеджеры паролей. Это после того, как ласпасс и биварден екунули. Если такой нужен, то только онпремис, для российских это пассворк или бирпасс. И на него попасть только после установления соединения с корпоративным vpn, который в свою очередь в МДМ запущен. А этот МДМ запрещает буфер обмена с остальной частью телефона.
250 указ, ещё пару лет и Пальто с фортинетом запретят использовать. Максимум Сангфор
Так что юзергейт, который ломучий, Солар, где непонятно куда пошли пару лярдов, и единственная надежда, но пока недоделанная, от Позитивов
Dozor не упал?)
Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах. То да, оно так и есть)))) А ещё там будет стотыщпятьсот событий ИБ, которые как инциденты, их надо проверить, но инцидентами они не стали. Безудержное веселье
Два раза в ноль за неделю упал юзергейт. Первый раз пришлось 4 часа его в ноль перешивать, во второй опять упал, подняли быстро одну ноду, удаленным помощником подключились специалисты самого вендора, и те через два часа намертво ее опять уронили. Любим ваши продукты)))
Форензика - слишком специфичное направление. И уж СОКовцам она нужна совсем редко. В большинстве СОКов, в т.ч. коммерческих, смотрят логи, а не форензикой занимаются.
Это смотря какой гуманитарий. Может ему лучше подойдёт методолог. Вчерашнему юристу или работнику банков очевидно проще читать нормативку регуляторов. А дальше пусть и в консалтику открыт, и в аудит по ИБ
Любая компания прежде всего хочет практические знания. Документы по образованию в ИБ нужны лишь по некоторым документам, 313 ФСБ, постановлению 1272 и т д, но их не много
Ну вот тому же методолога надо? Чтобы российские законы читать? Или инженеру, который сидит на отечественном ПО, каком-нибудь DLP, смотрит в отечественную веб-морду и английских букв и не видит. Но английский - это лучше конечно, но обязательно ли?
Так это нормально, сверх того, большую часть того, что знали, в дальнейшем чаще всего не пригождается
Вы от это, детектив, правильный тезис)))
А это точно хабр? Скоро будут статьи, как сделать запрос к Вселенной к успех?
"Покупайте наших слонов"
Когда вы уже сделаете самое главное,
1) когда можно вбить учётку и URL и проверить, будет ли разрешен траффик или какое конкретное правило его блокирует. Самое нужное, что есть. Я вам про это писал ещё в 22 году.
2) Когда будет полнотекстовый поиск по логам. Я хочу написать слово, например "pdf", и чтобы мне вышли все результаты всех пользователей, которые на ресурсы с таким наборов букв в названии заходили. Про это тоже ещё в 22 году писал. А воз и ныне там
они заметили, что кто-то пытался войти в учетную запись сотрудника компании N, используя серию неверных паролей. Примерно тысячу раз за день. Это выглядело подозрительно. Специалисты SOC отправили компании N электронное письмо, в котором сообщили о неудачном входе в систему
Ну да, кто-то брутфорсит учётку. Это "подозрительно". Отреагируем письмом. Точно поможет. Если не ответят, значит все ок)))
Эффективность работы удаленных сотрудников мало чем отличается от офисных. Это не секрет после карантинных мер.
Очень спорное заявление. Делали оценку на заре карантина там и DLP с ueba, спец программа на сервере почтовика, два агента программ контроля времени и логи с AD и спец программ. Оценка выражалась, в начале работы, в количестве кликов мышкой и тапов клавиатуры, скоростью ответа на письма коллег, другие манипуляции с письмами - время открытия после прихода, открытие вообще вложений, времени сессии (блокировка экрана через 10 минут бездействия), времени сессии в своих программах, где они работают ежедневно. Просадки были везде. Но работа как-то работалась, задачи исполнялись и все забили.
Ваши популярные под 250 Указ не попадают. Да и не купить их, помню как срочно заменяли Форспоинт, лицензия которого заканчивалась 30 марта, а ее уже в Россию не продавали
внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно
Вот это самая здравая мысль, но вот чтобы это сделать регулярно, надо ещё людей, ещё технических средств... ещё, ещё, ещё. И все в деньги упирается. И тут мы приходим к тому, что пока не будут выполнены пункты необходимых ещё, то и эффективности не будет, и регулярность будет не регулярной.
Тоже прочитал. Ваниль из глаз полилась. Не, так я бы не смог долго
Например, в IT многие общаются на «ты». Если вместо «друзья, погнали на синк» всерьёз сказать «уважаемые коллеги, пройдёмте на совещание» — будет странно
Когда набирает незнакомый человек и начинает тыкать, сразу идёт в пешее эротическое. А слово синк для обозначения совещания я даже не слышал
Чем ваша система лучше, относительно лидеров нашего рынка Security Vision или R-Vision? Но вообще любое обогащение без сиемки бессмысленно, т е. у вашего клиента должен уже стоять тот же курадар, арксайт или имплртозамещенный МПСием
На это нет ресурсов. Это в очень больших организациях. Когда все ИБ 20 человек (это банк, так четверть из них часть антифрод) на 3000 сотрудников и 1500 серверов, на это просто нет времени. Хорошо жить на неограниченных ресурсах, но реальная жизнь совсем другая.
Тут опыт большой компании, у которой есть время, деньги и ресурсы.
А у компаний средней руки обычно у наставника просто нет большого количества времени, чтобы уделять стажеру. В большинстве случаев сотрудники в разных городах, что очевидно создает сложности в контроле круга общения.
По поводу ошибаться, помню случай, когда стажёр на DLP, стоящей в разрыв почты, "поправил" несколько правил, что привело, что к тому, что куча писем стала задерживаться, о чем узнали не сразу. Хотя этому стажеру было четко сказано, что и в каком правиле можно править и экспериментировать.
Согласен по поводу, что стажёры приходят с розовыми очками. Они приходят в мир "творить", а реально в обычном ИБ каждый шаг задокументирован, на каждый чих должен быть ВНД, а если его нет, надо его написать и внедрить. Любые действия должны идти не по зову души, а по заявкам и согласованиям. Наши юные коллеги зачастую этого не понимают.
Желательно также спрашивать и учитывать их мнение при внедрении внутренних организационных мер и процессов, а также при планировании задач. - Вот с этим не согласен. Если спрашивать каждого землекопа, как копать яму, то ямы не появится.
С учётом того, как они цены стали носить на все продукты, то неудивительно