Как стать автором
Обновить
9
Карма
0
Рейтинг
Носарев Александр @ANosarev

Мониторинг и реагирование в ИБ

  • Подписчики 4
  • Подписки

Технические средства мониторинга ИБ

Информационная безопасность *

Мониторинг событий информационной безопасности автоматизируют с использованием различных средств защиты: LM/SIEM, UBA/UEBA, IRP/SOAR, TIP, IDS/IPS, NTA, EDR. Объединение решений по классам одновременно и удобно, и условно. Системы одного типа отличаются не только количеством функций, но и своей философией. Вернёмся к этой идее позже.  

Эти решения давно есть на рынке, но при внедрении мне, как сотруднику интегратора ИБ с большим практическим опытом, приходится сталкиваться с проблемами. Непонимание принципов работы этих инструментов приводит к попыткам «приготовить» их неправильно. Даже успешный пилот – не гарантия успешного внедрения.

Все участники рынка со стороны исполнителя – интеграторы, дистрибьюторы, сервис провайдеры (далее просто «интеграторы») и производители – коммерческие компании. Но конкуренция растёт и для беспечной старости уже недостаточно, как в нулевых, «как-то» закрыть прибыльный проект и убежать в закат. Техническая поддержка, модернизация и развитие, смежные проекты – основной источник дохода в наши дни. И он не существует без нахождения в едином понятийном поле, обмена знаниями и принятия стратегий совместно с заказчиками.

Этой статьёй я хочу внести свои пять копеек в решение проблемы. Перед тем как перейти к технической составляющей, рассмотрим два связанных с ней вопроса.

Continue?
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 5K
Комментарии 4

Windows vs Sysmon

Информационная безопасность *

На последней конференции ZeroNights, в ходе неформального общения со своими коллегами по цеху — инженерами систем мониторинга, нам был задан простой на первый взгляд вопрос — распространено мнение, что для полноценного мониторинга эндпоинта с ОС Windows необходимо использовать Sysmon, а так ли это? И если да, то по каким конкретным причинам (привет Сереже!)? Однозначного комплексного ответа в своём багаже знаний или соответствующего сравнения на просторах интернета нам найти не удалось, поэтому прежде всего для себя, но и не в последнюю очередь для того, чтобы в последующем такой источник у сообщества всё-таки был, мы решили исследовать эту тему и сравнить события Windows и Sysmon на очной ставке. Как говорится, “1… 2… 3… Fight!”.

Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 10K
Комментарии 3

Модели в информационной безопасности

Информационная безопасность *
Из песочницы
Добрый день, Хабровчане!

1. Вместо вступления


Недавно опубликованный перевод Ментальные модели ИБ заинтересовал меня не только общим посылом (в частности, применение моделей в обучении – острый для меня вопрос, ведь учёба – процесс непрерывный), но и списком ссылок на модели. Почему он так важен? Разберёмся по ходу статьи.

С некоторыми из перечисленных в тексте моделей приходится сталкиваться в рамках рабочего процесса (мониторинг и реагирование модно связывать с MITRE ATT&CK и Kill Chain). О других у меня было общее представление, но как их применять, или какие ключевые особенности позволяют повысить эффективность сего процесса, оставалось за кадром. Названия каких-то моделей, признаться честно, я слышал впервые.

Вооружившись ссылками и свободным временем, я приступил к изучению темы. Полагаю, что этот материал может быть полезным в качестве обзорной экскурсии или краткого конспекта по теме. Забегая вперёд, скажу, что описание некоторых моделей меня разочаровало. Но обо всём по порядку.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 14K
Комментарии 1

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность