Комментарии 8
Какие же вы супермены, если мониторите новости от Group-IB, Позитивов и т.п.? Это они супермены, а вы всегда на один шаг позади.
Ну зачем вы так? Это же стандартная практика - мониторить профессиональное инфополе от коллег. Мы ответственно подходим к своим обязанностям и работаем на совесть. Любим свою работу и получаем подтверждение ее качества от заказчиков. А у Вас есть какая-то информация об обратном? Личный опыт взаимодействия, отзыв знакомых?
Я ни в коем случае не сомневаюсь в квалификации Ваших специалистов. Также я не сомневаюсь, что все работы выполняются качественно и в соответствии с формулировками в заключенных с заказчиками договорах. В данном направлении большинство заказчиков, если пользуются услугами сторонних организаций, не могут экспертно оценить качество оказанных им услуг. Обычно это означает, что они получили ровно то, не больше не меньше, за что заплатили.
Было бы интересно почитать, как работает Ваша команда реагирования, когда у заказчика ситация развивается "за рамками" заключенных с вами SLA. В рамках каких интересных кейсов Вам удалось предотвратить убытки, действуя не по отработанным схемам.
Про мониторинг профессионального поля и новостей есть одна подходящая фраза из фильма "Одни завоёвывают кубки, а другие гравируют на них надписи".
Чтение новостей нужно для того, чтобы у специалиста по реагированию на инциденты было наиболее актуальное и широкое понимание того, как сегодня действуют атакующие.
Далее есть ощущение, что Вы немного путаете такую вещь как Threat Intelligence (так называемая киберразведка, которая исследует TTPs атакующих, поставляет индикаторы компрометации и дополнительную аналитику с целью либо предотвращения инцидентов, либо их обнаружения до выполнения злоумышленниками своих целей) и реагирование на инциденты (на уже случившиеся события, т.е. это работа постфактум). Если говорить о геройстве, то грамотное реагирование на произошедшее событие — это как раз работа и «требующая самоотречения», и выполняемая далеко не только «спицштихелем», если до конца цитировать «Покровские ворота».
При этом одна компания не может реагировать на все инциденты. Она может сталкиваться с одними атакующими, а другая компания и команда реагирования — с другими. Например, есть группировки, которые, судя по публичным источникам, впервые были обнаружены Group-IB (например, OldGremlin). Аналогично есть группы, которые впервые были обнаружены Лабораторией Касперского и Positive Technologies. После раскрытия информации о таких атакующих любая крупная компания либо проверяет, что они сталкивались с таким же, либо начинает отслеживать их активность тем или иным образом. Значит ли это, что если никто не обнаружил всех на Земле злоумышленников первыми, никто не супермен?
По поводу интереса к нашей деятельности и рассказов о наших кейсах — расскажем в одной из следующих статей. Спасибо за подсказку темы и stay tuned!
По поводу фразы "В рамках каких интересных кейсов Вам удалось предотвратить убытки, действуя не по отработанным схемам." Складывается впечатление, будто Вы считаете, что если команда реагирования читает отчёты, то в них, во-первых, в каждом есть серебряная пуля (делай вот это и это, и злоумышленник сам отступит), а во-вторых, в случае, если команда сталкивается с чем-то новым, то опускает руки и говорит "Мы такого не проходили". Это не так)
По поводу работы "за рамками" — не совсем понятно, о чем Вы. Если приведёте пример, попытаемся ответить на Ваш вопрос.
А чем плохо быть всегда в курсе новостей в отрасли?
Если
Интересная публикация, спасибо. Иногда читаешь тематические блоги, целые детективные истории разворачиваются. Мне кажется каждый инцидент, в некоторой степени, необычный и уникальный. Особенно, в свое время, запомнились детальная серия расследований компании Касперского по следам нашумевшего Stuxnet
https://securelist.ru/stuxnet-pervye-zhertvy/24277/
И практически всегда к подобному увлекательному чтиву напрашивается элементарный вопрос: а какова обратная сторона медали профессии ИБ специалиста, помимо стремительно увеличивающегося спроса и активного роста зарплат в данном секторе? Так понимаю, чуть ли не "материально" ответственный за сохранность данных организации? Например, в случае наёмного сотрудника в штате? В одной компании поработал, во второй, в третьей - наработал хорошее солидное резюме, а на четвертой устроился в Банк и внезапно произошел прокол. Ну всякое бывает, даже NVidia и Sony взламывают, чего уж тут (тот же Stuxnet выше, ну головы же гарантированно 100% полетели, а зная восточные нравы, не удивлюсь если и в прямом смысле слова). Утечка данных, зашифровалось или еще что и бизнес полностью и с головой ушел в recovery на три недели, прямые или потенциальные убытки на десятки, а то и сотни миллионов. Что происходит с ИБ отделом? Расквартировывают за профнепригодность? Публичная порка на площади? Увольнение и пожизненный волчий билет? Или просто: -ой, нехорошо получилось, в этом месяце премию точно не дадут? )))
Аналогично и с ИБ аутсорсингом. Наверное, есть же какие-то SLA, штрафы, пени, возмещение убытков? Если инцидент всё-таки произошёл, не уберегли. "Восстановим всё за 24 часа, а если не восстановим, то выплачиваем по 10.000 $ за каждый день простоя на период следствия/разбирательств/восстановления."? Совсем образно и с натяжкой если сказать перекрёстным сравнением виртуальность на реальность: уместна ли некая аналогия с ЧОП, только в цифровом киберпространстве? Со всеми сопутствующими гарантиями, ответственностью и обязательствами.
Ответственность работников ИБ-отделов в разных случаях разная, тут все индивидуально: кто-то продолжает работать даже после наступления недопустимых событий, для кого-то может наступить и уголовная ответственность (но это прямо редкость, да и ситуация из ряда вон, например: https://www.cm-alliance.com/cybersecurity-blog/former-uber-ciso-convicted-what-how-why). Но надо отметить, что волчий билет, вроде, в основном не выдают.
С ИБ-аутсорсом все тоже зависит от подписанного договора и прописанной в нем ответственности, аналогия с ЧОП в целом более-менее уместна.
Как работает наша команда реагирования на инциденты и как стать таким же Суперменом