Как стать автором
Обновить

Отчёт Центра мониторинга информационной безопасности за I квартал 2017 года

Блог компании Перспективный мониторинг Информационная безопасность *
В отчёте мы собрали сводную статистику по зафиксированным в I квартале 2017 года нашим корпоративным Центром мониторинга событиям и инцидентам информационной безопасности.

Воронка событий

Поскольку у нас есть достаточно большой набор данных:

  • 12 000 узлов на мониторинге;
  • 137 873 416 событий информационной безопасности;
  • 98 подтверждённых инцидентов;

то статистика будет применима для любой средней и крупной организации.

Данные в отчёте — это то, что видим мы, и вы можете «прикинуть» картину на свою систему обеспечения безопасности информации.
5 графиков, 1 схема и карта мира под катом
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 12K
Комментарии 13

Отчёт Центра мониторинга информационной безопасности за II квартал 2017 года

Блог компании Перспективный мониторинг Информационная безопасность *
В отчёте мы собрали сводную статистику по зафиксированным во II квартале 2017 года нашим корпоративным Центром мониторинга событиям и инцидентам информационной безопасности.

За три месяца сенсоры зафиксировали и проанализировали 254 453 172 события информационной безопасности и выявили 144 инцидента.

За предыдущий I квартал 2017 года Центр мониторинга зафиксировал 137 873 416 событий ИБ и 98 инцидентов.
Графики и таблицы для любопытных
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 4.7K
Комментарии 4

Собери свой Security Operation Center из 5 элементов

Блог компании Ростелеком-Солар Информационная безопасность *Занимательные задачки SaaS / S+S *Управление проектами *

Привет, Хабр!


Мы тут часто пишем о том, что работа центра мониторинга и противодействия кибератакам невозможна без определенных процессов (мониторинг, реагирование, расследование инцидентов и т.д.) и, конечно, без систем защиты (AV, WAF, IPS и т.д.).


То же самое мы объясняем заказчикам, но они, быстро пересчитывая деньги в кармане, иногда в ответ спрашивают: "А можно нам SOC в базовой комплектации?"


Предлагаем вам представить себя на месте такого заказчика. Под катом 26 аббревиатур и терминов. Проверьте, насколько вы понимаете принципы мониторинга и противодействия кибератакам и выберите всего 5 буквосочетаний, которые смогут надежно защитить компанию.


Внимание! Среди вариантов возможны honeypots.


image
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 7.7K
Комментарии 13

Отчёт Центра мониторинга информационной безопасности за II полугодие 2017 года

Блог компании Перспективный мониторинг Информационная безопасность *
C начала 2018 года мы переходим на полугодовой цикл публикации отчётов Центра мониторинга нашей компании. Данный отчёт охватывает период с июля по декабрь 2017 года.

Сводная статистика Центра мониторинга информационной безопасности

Под катом о том, почему событий стало меньше, а инцидентов — больше.
Читать дальше →
Всего голосов 20: ↑19 и ↓1 +18
Просмотры 4.5K
Комментарии 0

Вы купили SIEM и уверены, что SOC у вас в кармане, не так ли?

Блог компании Softline Информационная безопасность *
Как-то с месяц назад меня пригласил к себе один мой старый знакомый, директор по ИБ в одной достаточно крупной компании, с целью, по его словам, «удивить меня». Отмечу, что ранее мы с ним обсуждали вызовы, с которыми столкнулись многие компании в области киберугроз и проблемы построения SOC (Security Operation Center).

Так начинается моя история о построении SOC в компании.

Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 7.2K
Комментарии 2

GOSINT — open source решение для управления индикаторами компрометации (IoC)

Блог компании Cisco Информационная безопасность *Open source *
Одной из горячих тем в кибербезопасности в последнее время стали SOCи (Security Operations Center), которые не очень удачно переводят на русский язык как «центры мониторинга безопасности», умаляя тем самым одну из важных функций SOC, связанную с реагированием на инциденты ИБ. Но сегодня мне не хотелось бы вдаваться в терминологические споры, а вкратце рассказать об одном из проектов, который был реализован в нашем внутреннем SOCе — системе управления индикаторами компрометации (IoC) GOSINT. На самом деле служба ИБ Cisco не использует термин «Security Operations Center», заменяя его более приземленным CSIRT (Cisco Security Incident Response Team). Так вот GOSINT — это один из многочисленных наших проектов open source, который предназначен для сбора и унификации структурированной и неструктурированной информации об угрозах (threat intelligence). Я уже рассказывал о том, как мы мониторим безопасность нашей внутренней инфраструктуры, теперь пришел черед рассказать о том, что помогает нам это делать наиболее эффективно.

Cisco CSIRT
Читать дальше →
Всего голосов 17: ↑15 и ↓2 +13
Просмотры 5.5K
Комментарии 9

Проверка эффективности работы SOC

Блог компании Digital Security Информационная безопасность *
Сегодня мы поговорим о Security Operations Center (SOC) со стороны людей, которые не создают и настраивают его, а проверяют, как это сделали другие. Под проверку попадает эффективность работы SOC, построенного для вашей компании самостоятельно или кем-то со стороны. Проверка дает ответ на вопрос “Выполняет ли SOC поставленные перед ним задачи или нет, и насколько он эффективен?”. Ведь наличие SOC не говорит о том, что он работает как надо и вы в курсе любых возможных инцидентов и других проблем безопасности. Мы расскажем о своем опыте проверки SOC в разных компаниях в рамках наших проектов.


Читать дальше →
Всего голосов 29: ↑27 и ↓2 +25
Просмотры 6K
Комментарии 0

ИИ в собственном SOC’у: мечтают ли руководители центров мониторинга кибератак об электроаналитиках

Блог компании Ростелеком-Солар Информационная безопасность *Искусственный интеллект
Тематика искусственного интеллекта, зародившаяся еще в 60-х годах, сейчас переживает просто сумасшедший бум. Компьютеры обыгрывают шахматистов и поклонников Го, порой точнее врача ставят диагнозы, нейронные сети (на этот раз не имеющие отношения к умам трех инженеров техподдержки) всерьез пытаются решать сложные прикладные задачи, а где-то там на горизонте уже маячит универсальный искусственный интеллект, который когда-нибудь заменит своего прикладного сородича.



Информационная безопасность тоже не остается за границами хайпа вокруг ИИ (или его эволюции — тут уж каждый решает для себя). Все чаще мы слышим о необходимых подходах, прорабатываемых решениях и даже (иногда робко и неуверенно, а иногда громко и, к сожалению, не очень правдоподобно) о первых практических успехах в данной области. Говорить за все ИБ мы, конечно, не возьмемся, но попробуем разобраться, каковы реальные возможности применения ИИ в профильном для нас направлении SOC (Security Operations Center). Кого заинтересовала тема или просто хочется пофлеймить в комментариях — добро пожаловать под кат.
Читать дальше →
Всего голосов 30: ↑28 и ↓2 +26
Просмотры 3.7K
Комментарии 6

Мифы и легенды SOCостроителей, или 3 заблуждения о центрах мониторинга и реагирования на кибератаки

Блог компании Ростелеком-Солар Информационная безопасность *
Уже завтра стартует V SOC-Форум — крупнейшее мероприятие по практикам выявления и анализа инцидентов в России. Уверен, что многие читатели этого хаба окажутся там и услышат немало профессиональных докладов по этому направлению информационной безопасности. Но помимо терминов, определений и устоявшейся практики, которая освещается на SOC-Форуме, в реальной жизни каждый из вас наверняка слышал массу разных мнений о функционировании SOC, защите от APT-атак и т. д. Сегодня мы обсудим несколько популярных мифов и легенд.



Нам интересно и ваше мнение по поводу каждого из них, поэтому ждем ваших комментариев. Добро пожаловать под кат.
Читать дальше →
Всего голосов 30: ↑27 и ↓3 +24
Просмотры 5.5K
Комментарии 0

Кроссворд «Почувствуй себя аналитиком SOC»

Блог компании Cisco Информационная безопасность *
В последнее время мы стараемся на наших мероприятиях не просто рассказывать о наших решениях в области кибербезопасности, а добавляем в них интересную интеллектуальную фишку, которая позволяет слушателям не только узнать что-то новое о Cisco, но и проверить свои знания в игровой форме. На Cisco Connect мы проводили «Свою игру» по теме сетевой безопасности и разыгрывали среди участников различные призы. На прошедшем в ноябре SOC Forum мы также не обошли вниманием тему интеллектуальных игр по ИБ и предложили всем участникам попробовать себя в роли аналитиков центров мониторинга кибербезопасности (Security Operations Center, SOC).

image
Читать дальше →
Всего голосов 20: ↑11 и ↓9 +2
Просмотры 2.8K
Комментарии 19

Управление уязвимостями (Vulnerability Management) — чего больше: управления или уязвимостей?

Блог компании Акрибия Информационная безопасность *


В этой статье мы хотим поделиться с вами случаями, которые происходили у наших заказчиков, и рассказать/показать/ответить на вопрос, почему управление уязвимостями – это почти всегда не про уязвимости, и простого — «мы за вас отфильтруем из 1 000 000 уязвимостей до реально важного минимума» недостаточно.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 4.6K
Комментарии 0

SOC на удаленке. О чем стоит подумать?

Блог компании Cisco Информационная безопасность *
Один аналитик SOC, когда его решили перевести на работу из дома, задал сакраментальный вопрос: «Я живу в однушке со своей девушкой и ее кошкой, на которую (кошку, а не девушку) у меня аллергия. При этом у нас всего один стол, за которым мы едим, а во внетрапезное время, моя девушка на нем раскладывает чертежи, она модельер-конструктор одежды. И где мне прикажете разместить 3 монитора, которые мне разрешили временно забрать с работы?» Ну а поскольку это только один из множества вопросов, которые возникают при переводе работников SOC (Security Operations Center) на удаленку, я решил поделиться нашим опытом; особенно учитывая, что именно сейчас для одного из заказчиков мы как раз проектируем центр мониторинга кибербезопасности (SOC) с нуля и он решил на ходу переобуться и попросил учесть в проекте возможность работы его аналитиков и специалистов по расследованию инцидентов из дома.

image
Читать дальше →
Всего голосов 13: ↑6 и ↓7 -1
Просмотры 5K
Комментарии 12

Будни Tinkoff Security Operations Center: Анализ одного загрузчика

Блог компании TINKOFF Информационная безопасность *
Привет, Хабр!

В нашем Tinkoff Security Operation Center мы регулярно занимаемся разбором техник, применяемых во вредоносном ПО и атаках, и недавно нам попался один интересный файл, о котором хотелось бы рассказать.

image
Читать дальше →
Всего голосов 41: ↑40 и ↓1 +39
Просмотры 9.1K
Комментарии 6

Запускаем свой SOC или подключаем внешний?

Блог компании Ростелеком-Солар Информационная безопасность *
Пока завсегдатаи ИБ-форумов рассуждают о новейших технологиях в Security Operations Center, по умолчанию считая центр мониторинга и реагирования на киберугрозы необходимой частью современной инфраструктуры, в реальном мире многие продолжают работать без него. И это касается не только небольших компаний, но и крупных организаций, потому что чем больше экосистема ИТ-решений, тем сложнее пристроить к ней даже базовый уровень мониторинга и реагирования на события ИБ.



Тем не менее потребность в собственном центре реагирования определяется зрелостью заказчика… или внезапно предъявленными требованиями регулятора, которые сразу же делают каждого очень зрелым. Чтобы оперативно отслеживать инциденты ИБ и реагировать на них, необходима определенная инфраструктура, включающая в себя готовые решения, процессы, людей, вычислительные мощности. И если принципиальное решение уже принято, остается только определиться: создавать ли SOC на базе своих ресурсов или получать весь спектр услуг в виде сервиса.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 3.7K
Комментарии 4

Реагирование на инциденты: что вам должен SOC

Блог компании Ростелеком-Солар Информационная безопасность *

Можно мало что знать о SOC, но все равно будет интуитивно понятно, что в его работе важнее всего две вещи: выявление инцидентов и реагирование на них. При этом, если не брать ситуации, когда мы имеем дело со сложным внутренним мошенничеством или признаками деятельности профессиональной группировки, реагирование, как правило, состоит из ряда очень простых технических мер (удаление вирусного тела или ПО, блокирование доступа или учетной записи) и организационных мероприятий (уточнение информации у пользователей или проверка и обогащение итогов анализа в источниках, недоступных мониторингу). Однако в силу ряда причин в последние годы процесс реагирования на стороне заказчиков начал существенно модифицироваться, и это потребовало изменений и со стороны SOC. Причем, поскольку речь идет о реагировании, где значимо «не только лишь всё» – и точность, и полнота, и скорость действий – можно с высокой вероятностью говорить, что если ваш внутренний или внешний SOC не учитывает новые требования к этому процессу, вы не сможете нормально отработать инцидент.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 4.2K
Комментарии 3

Реагирование на киберинциденты: 5 правил разработки плейбуков

Блог компании Ростелеком-Солар Информационная безопасность *
Вопрос разработки и приготовления плейбуков по реагированию на инциденты сейчас очень активно обсуждается и порождает разное количество подходов, поиск баланса в которых крайне важен. Должен ли плейбук быть очень простым («выдернуть шнур, выдавить стекло») или должен давать возможность оператору подумать и принять решение на основании собственной экспертизы (хотя, как говорили в одной игре моего детства, «что тут думать – дергать надо»). За наплывом модных аббревиатур и системных рекомендаций достаточно сложно найти соль и серебряную пулю. Мы за 8 лет работы нашего центра мониторинга и реагирования на кибератаки успели наломать немало дров приобрести некоторый опыт в этом вопросе, поэтому постараемся поделиться с вами граблями и подводными камнями, которые встречались нам на этом пути, в 5 практических советах по вопросу.

Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 5.2K
Комментарии 2

GIS DAYS 2020, краткий обзор сессии PRO2

Блог компании Газинформсервис Информационная безопасность *
Мы продолжаем обзор докладов конференции GIS DAYS. Профессиональная секция PRO2 была посвящена мониторингу критической информационной инфраструктуры (КИИ), а также способам обнаружения аномалий в сетях автоматизированных систем управления технологическими процессами (АСУ ТП). Коллеги представили 11 докладов, их ревью в нашем материале.

Ведущий инженер группы интегрированных систем операционного контроля компании «Газинформсервис» Евгений Гришин рассказал о подходах к применению SOC для АСУ ТП в топливно-энергетическом комплексе.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 646
Комментарии 0

Update Tuesday: Microsoft выпустила июльские обновления безопасности

Блог компании Microsoft Информационная безопасность *Microsoft Edge Разработка под Windows *

Microsoft выпустила плановые обновления безопасности, закрывающие 117 уязвимостей, из них 13 уязвимостей были классифицированы как «Критические» и 103 уязвимости как «Важные». Среди закрытых было 9 уязвимостей нулевого дня (0-day): 5 уязвимостей были обнародованы публично, но не использовались в реальных атаках, эксплуатация 3-х уязвимостей была зафиксирована в атаках, но детали были обнародованы приватно, а 1 уязвимость была сразу и обнародована публично, и зафиксирована в реальных атаках.

В данной статье я расскажу о самых главных моментах июльского выпуска обновлений.

Узнать про уязвимости и защиту
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.9K
Комментарии 5

Как мы делали виртуальный ситуационный центр (и разворачивали его в SOC Сбера)

Блог компании НТЦ Вулкан Unity *Визуализация данных Разработка под AR и VR *AR и VR

Многие знают, что в современной практике управления крупными организациями существует такое понятие, как ситуационный центр (СЦ). Это единый пункт контроля и мониторинга различных объектов, центр сбора и обработки информации для принятия решений.

Услышав слова «ситуационный центр», большинство из нас сразу представит полутемное помещение с множеством экранов на стенах и сотрудников, рутинно контролирующих состояние сложной инфраструктуры, большого объекта, а может быть даже целого холдинга.

Бывают случаи, когда к работе СЦ нужно оперативно подключить дополнительные ресурсы – руководителей, экспертов. Но быстро обеспечить их присутствие в СЦ можно далеко не всегда. Такая мысль занимала нас, когда мы решили создать виртуального «напарника» реального СЦ. В этой статье мы расскажем об опыте разработки первого в России виртуального СЦ и его внедрении в экосистему Сбера.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 3.1K
Комментарии 8