Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 9
Не знаю, как будто прям вот поверхностная ИИ выжимка. Ну то есть ты читаешь, допуская что человек это сам писал, а оно какое-то вот максимально пресное. Почему условно в рекомендация не написано строить СОК, но заниматься TI надо. Касаемо даже того же сока - ну вот пришел бизнес на эту статью, такой о нифига нам нужен SOC и че и где его строить. Вот даже мониторинг - че мониторить то будем? Все сегменты? А Все - это какие? И вот мы получаем что на самом деле нам бы по хорошему инвентаризировать инфру. Наверное сразу все подрубить мы не сможем - скорее всего у нас сил не хватит. Значит надо определить что для нас важнее. А теперь прикиньте если сети нет? Значит еще и перестроить все надо - а пока перестраиваете получается хакеры не нападают? И вот получается что чета под мониторинг, где-то пройтись повключать дефендоры, где-то поставить антивирусы, проходиться смотреть что юзеры новые не появились, антивирусы не повырубали и попутно строить сеть. К чему я это все? В статье все так расписано будто это вот пальцем щелкни и все. Если они начали строить безопасность - значит они встали на тяжелый и дорогой путь, в котором простых решений не будет. И если писать такую статью - то как будто бы это тоже проговаривать надо. Кстати процесс расследования инцидентов и без СЗИ класа СИЕМ возможен.
Этот комментарий полезнее чем вся гигантская простыня статьи.
От себя добавлю, что вся безопасность либо тормозится либо просто разбивается о бардак в ИТ. Если удается продвигаться во безопаности то все равно придется иметь дело с бардаком.
И по хорошему вначале надо не сием внедрять, а построить хотя бы частично процессы ITIL в ИТ.
Для обычной организации сойдет.
а пока перестраиваете получается хакеры не нападают?
А что нам ждать с моря погоды? Два года инвентаризацией заниматься?
Иб в любом случае непрерывный процесс, тут сколько не делай, все равно мало будет. Надо с небес на землю спускаться. В текущих реалиях для среднестатистической организации (не бигтеха, который у вендора на обслуге и отдел иб их с вендором в пинг понг играют "делегируя ответственность") ни IR, ни TI не выгодны. Сидит условный отдел 2, в редких случаях 5 безопасников. Никакого деления на профили нет. Что от них надо организации, чтоб их не разогнали и что будет для них области выполнимого? Бесперебойность бизнес процессов. Они не будут делать как с иголочки, они будут делать то, что должно было быть сделано вчера, кое-как, но будут делать. Делать они это будут под шквалом писем пресейлов вендоров красного, синего и зелёного цветов, в которых им будут доказывать, что занимаются они какой-то ерундой, надо прогнозировать, планировать, вкладывать и подписывать бумажки на предоставление услуг. У них не будет полной видимости во внедренном SIEM, но что-то они будут видеть, по гайдам в интернете с опенсорсным сиемом (который по факту и у вендоров опенсорсный, только иконки под свои перекрашены). Нужно ли им будет в IR заниматься расследованием? Не дальше чем поверхностный сбор IOC. Как минимум криминалистикой занимаются для установления причастности лица, но сфера тут такая что бизнес ни с кого ничего не взыщет, а значит смысл тратиться на это? Бизнес интересует только восстановление и часто это идёт во вред сбору доказательств, но кого это волнует, ведь это не пойдет в TI. TI отдельная песня, которая затрагивает отечественную ИБ в целом. Там где по уму: MISP, OpenCTI, abuse.ch, YETI, делятся фидами по типу OTX, sigmapy и под оперсорс и под платные решение можно правила трансформить. У нас?
Тяжёлый и дорогой путь без лёгких решений
так вы в колеса палки и ставите, вендора сами гребут бесплатные решения, фиды и продают по невменяемым ценам. А регулятор им зачем то потакает, заставляя всю госуху и КИИ пользоваться их услугами и губя талант/инициативу рядовых безопасников на корню (когда она есть конечно). Причем у каждого вендора такие решения, что гибкости при переходе между ними никакой.
Какой смысл восстанавливаться не найдя точку входа. FULL AHUI. Что вам могу сказать - восстанавливайтесь, пока есть чему. Некст раз без нормального респонса к вам прийдут и в 0 все вместе с беками запишут, будете новый бизнес строить:) Расследование это не по приколу придумали ради TI. Но вы делайте как вы хотите, а мы дружно посмотрим на еще один уничтоженный бизнес.
Просто вот ваш комментарий - это боль типичных безопасников в оргах, я даже ее понимаю. Но наша задача говорить как надо бизнесу - потому что все что вы сказали от того что мир у нас не идеальный, но разве должны мы считать нормой все то что вы сказали? Касаемо IR - его главная задача найти точку входа, найти все закрепы, установить некоторые другие факты если возможно и проконсультировать по восстановлению и тому как сделать чтоб этого не было. Устанавливают причастных пожалуй МВД России и Федеральная служба безопасности. Кстати судит тоже Суд, не вендора) А то вдруг вы не знали. А вот против опенсорса в небольшом бизнесе ничего не имею, просто должен быть порядок. Ну и опенсорса потом будут траблы в масштабировании.
так вы в колеса палки и ставите
Тут уж в трудной ситуации сильный ищет выход, слабый оправдания.
--------------
Кстати вот заметил вы взяли мой комментарий и немного как будто не верно его интерпретировали. Я как раз говорю что пока инвентаризацией всей темой занимаетесь, то где-то просто прошлись позакрывали порты, повключали дефендеры, где-то мб сами посканили файлы. Ну если можете - то антивирусники позапускали. Есть много чего можно сделать для уменьшения вероятности, для усложнения и без дорогих сзи.
Я наоборот это и говорил выше.
Про гибкость решений тоже понимаю, согласен. Вообще во многом согласен в целом, просто процесс IR у нас большие расхождения.
Благодарю за коммент, учту комментарий и рекомендации!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как расследуют кибератаки: полный разбор Incident Response