Работа администратора СЗИ начинается с оценки угроз и проектирования архитектуры защитных решений. Первым занимаются методологи и аналитики. Они описывают модель угроз, и только после этого выбирается решение, которое будет эффективно защищать на основе этой модели. А вторым занимаются архитекторы ИБ, которые будут на внутреннем ландшафте описывать, куда конкретную СЗИшку ставить. И только после этого приходит администратор СЗИ и устанавливает, настраивает и сопровождает решение.
Правильный mdm, который создаёт отдельное пространство на телефоне, из которого закрыт буфер обмена с основным пространством телефона, в нем только корпоративные прилодения, открываются пару сайтов, нельзя звонить, отправлять смс и т.д. Также в этом рабочем профиле встроен vpn для связи с контуром организации, запускаемый автоматически
Конечно нет, СБ - это экономическая и физическая безопасность. ИБ здесь про конкретные способы получения чего бы то ни было. И вот здесь фишинг - это способ получения данных, и не обязательно паролей. Был кейс фишинга получения конкретного номера телефона контрагента.
А по поводу личных денег. Если личные деньги переводятся в результате корпоративного обмана, а импрсоналия руководителя - оно самое, то конечно это инцидент ИБ. Более того, один из регуляторов считает так же. И принимает информацию об этих инцидентах с дальнейшей отправкой в правоохранительные органы
Какие интересные у вас семинары. Факт слива - это СБ, а вот техническая форма реализации этого самого слива - это кибербез, инцидент информационной безопасности. Слив денег мошенникам, которые представились директором - тоже инцидент ИБ, тоже кибербез. Потому что фишинг, можно в Госсопку пойти, можно в финцерт, если финансовая сфера, и они также посчитают это инцидентом ИБ.
Более того, в серьезных организациях, ИТ в разрезе кибербеза отвечают только за опернадежность, которая может быть нарушена в результате инцидентов ИБ, а за все остальное в этих инцидентах - зона ответственности ИБ
Задачи CISO - разрабатывать стратегию инфобеза, куда и в каком направлении двигаться, рассказывать зачем нужен иныобез перед бизнесом, защищать бюджет. То, что описано в статье - это задачи исполнителей, максимум - линейных руководителей локальных подразделений инфобеза
Используйте VPN. Какой vpn, куда vpn? Гостовый или не гостовый. Доступ с токеном или нет? Переписывает ли он маршруты, что доступ в другие сети пропадает? Где подробности?
Второе, ваше ПО, перед самим подключением, должно проверять и наличие антивируса, и публичный или нет wifi, и стоят ли последние обновления безопасности. И только есть чек-лист пройден, разрешать подключение.
Введённые логин и пароль утекли киберпреступникам, открыв доступ к корпоративным данным. Запустите любую вменяемую корпоративную TI с данными вашей организации, там сотни паролей. Тут второй фактор внедрять нужно, а не то, что там что-то утекло. Из личного опыта, пользователи используют для разных сервисов один и тот же пароль. И зеротраст необходимо использовать для разных зон. И нормальный Пам. И вот это, что он зашёл в систему, что там он мог украсть в 2019? Или там буфер обмена открыт между корпоративной средой и удаленной рабочей станцией? Тогда это позорище, и правильно, что украли. Это сейчас я видео сниму с базовой БД, и потом распознаю его модельной, 6 лет назад такого не было.
Работа на чужих устройствах увеличивает риск утечек данных. Работа на устройствах, не прошедших проверку должна быть запрещена. Уж у Озона есть деньги закупить пару тысяч ноутбуков
Удалённый разработчик использовал устаревшую версию VPN-клиента. Это опять проблема организации, которое позволяло подключаться с устаревшим ПО.
Советы про подписочные менеджеры паролей. Это после того, как ласпасс и биварден екунули. Если такой нужен, то только онпремис, для российских это пассворк или бирпасс. И на него попасть только после установления соединения с корпоративным vpn, который в свою очередь в МДМ запущен. А этот МДМ запрещает буфер обмена с остальной частью телефона.
Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах. То да, оно так и есть)))) А ещё там будет стотыщпятьсот событий ИБ, которые как инциденты, их надо проверить, но инцидентами они не стали. Безудержное веселье
Два раза в ноль за неделю упал юзергейт. Первый раз пришлось 4 часа его в ноль перешивать, во второй опять упал, подняли быстро одну ноду, удаленным помощником подключились специалисты самого вендора, и те через два часа намертво ее опять уронили. Любим ваши продукты)))
техническим специалистам может подойти направление криминалистической экспертизы дисков и памяти
Форензика - слишком специфичное направление. И уж СОКовцам она нужна совсем редко. В большинстве СОКов, в т.ч. коммерческих, смотрят логи, а не форензикой занимаются.
Гуманитарий может выучиться на технического писателя
Это смотря какой гуманитарий. Может ему лучше подойдёт методолог. Вчерашнему юристу или работнику банков очевидно проще читать нормативку регуляторов. А дальше пусть и в консалтику открыт, и в аудит по ИБ
любая компания хочет, чтобы у соискателя было образование, подтверждённое документом.
Любая компания прежде всего хочет практические знания. Документы по образованию в ИБ нужны лишь по некоторым документам, 313 ФСБ, постановлению 1272 и т д, но их не много
Вдобавок ко всему, обязательно нужно учить английский
Ну вот тому же методолога надо? Чтобы российские законы читать? Или инженеру, который сидит на отечественном ПО, каком-нибудь DLP, смотрит в отечественную веб-морду и английских букв и не видит. Но английский - это лучше конечно, но обязательно ли?
вы забудете большую часть того, что выучили
Так это нормально, сверх того, большую часть того, что знали, в дальнейшем чаще всего не пригождается
1) когда можно вбить учётку и URL и проверить, будет ли разрешен траффик или какое конкретное правило его блокирует. Самое нужное, что есть. Я вам про это писал ещё в 22 году.
2) Когда будет полнотекстовый поиск по логам. Я хочу написать слово, например "pdf", и чтобы мне вышли все результаты всех пользователей, которые на ресурсы с таким наборов букв в названии заходили. Про это тоже ещё в 22 году писал. А воз и ныне там
они заметили, что кто-то пытался войти в учетную запись сотрудника компании N, используя серию неверных паролей. Примерно тысячу раз за день. Это выглядело подозрительно. Специалисты SOC отправили компании N электронное письмо, в котором сообщили о неудачном входе в систему
Ну да, кто-то брутфорсит учётку. Это "подозрительно". Отреагируем письмом. Точно поможет. Если не ответят, значит все ок)))
Эффективность работы удаленных сотрудников мало чем отличается от офисных. Это не секрет после карантинных мер.
Очень спорное заявление. Делали оценку на заре карантина там и DLP с ueba, спец программа на сервере почтовика, два агента программ контроля времени и логи с AD и спец программ. Оценка выражалась, в начале работы, в количестве кликов мышкой и тапов клавиатуры, скоростью ответа на письма коллег, другие манипуляции с письмами - время открытия после прихода, открытие вообще вложений, времени сессии (блокировка экрана через 10 минут бездействия), времени сессии в своих программах, где они работают ежедневно. Просадки были везде. Но работа как-то работалась, задачи исполнялись и все забили.
Ваши популярные под 250 Указ не попадают. Да и не купить их, помню как срочно заменяли Форспоинт, лицензия которого заканчивалась 30 марта, а ее уже в Россию не продавали
внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно
Вот это самая здравая мысль, но вот чтобы это сделать регулярно, надо ещё людей, ещё технических средств... ещё, ещё, ещё. И все в деньги упирается. И тут мы приходим к тому, что пока не будут выполнены пункты необходимых ещё, то и эффективности не будет, и регулярность будет не регулярной.
На базе Госсопки сделать? Нет, зачем? Вот киберконсорциум, это конечно да
Работа администратора СЗИ начинается с оценки угроз и проектирования архитектуры защитных решений. Первым занимаются методологи и аналитики. Они описывают модель угроз, и только после этого выбирается решение, которое будет эффективно защищать на основе этой модели. А вторым занимаются архитекторы ИБ, которые будут на внутреннем ландшафте описывать, куда конкретную СЗИшку ставить. И только после этого приходит администратор СЗИ и устанавливает, настраивает и сопровождает решение.
Правильный mdm, который создаёт отдельное пространство на телефоне, из которого закрыт буфер обмена с основным пространством телефона, в нем только корпоративные прилодения, открываются пару сайтов, нельзя звонить, отправлять смс и т.д. Также в этом рабочем профиле встроен vpn для связи с контуром организации, запускаемый автоматически
А как РКН смотрит на базу данных с ПДн в облаке Гугла? С добрыми глазами и одобряющей улыбкой?
Конечно нет, СБ - это экономическая и физическая безопасность. ИБ здесь про конкретные способы получения чего бы то ни было. И вот здесь фишинг - это способ получения данных, и не обязательно паролей. Был кейс фишинга получения конкретного номера телефона контрагента.
А по поводу личных денег. Если личные деньги переводятся в результате корпоративного обмана, а импрсоналия руководителя - оно самое, то конечно это инцидент ИБ. Более того, один из регуляторов считает так же. И принимает информацию об этих инцидентах с дальнейшей отправкой в правоохранительные органы
Какие интересные у вас семинары. Факт слива - это СБ, а вот техническая форма реализации этого самого слива - это кибербез, инцидент информационной безопасности. Слив денег мошенникам, которые представились директором - тоже инцидент ИБ, тоже кибербез. Потому что фишинг, можно в Госсопку пойти, можно в финцерт, если финансовая сфера, и они также посчитают это инцидентом ИБ.
Более того, в серьезных организациях, ИТ в разрезе кибербеза отвечают только за опернадежность, которая может быть нарушена в результате инцидентов ИБ, а за все остальное в этих инцидентах - зона ответственности ИБ
Задачи CISO - разрабатывать стратегию инфобеза, куда и в каком направлении двигаться, рассказывать зачем нужен иныобез перед бизнесом, защищать бюджет. То, что описано в статье - это задачи исполнителей, максимум - линейных руководителей локальных подразделений инфобеза
Используйте VPN. Какой vpn, куда vpn? Гостовый или не гостовый. Доступ с токеном или нет? Переписывает ли он маршруты, что доступ в другие сети пропадает? Где подробности?
Второе, ваше ПО, перед самим подключением, должно проверять и наличие антивируса, и публичный или нет wifi, и стоят ли последние обновления безопасности. И только есть чек-лист пройден, разрешать подключение.
Введённые логин и пароль утекли киберпреступникам, открыв доступ к корпоративным данным. Запустите любую вменяемую корпоративную TI с данными вашей организации, там сотни паролей. Тут второй фактор внедрять нужно, а не то, что там что-то утекло. Из личного опыта, пользователи используют для разных сервисов один и тот же пароль. И зеротраст необходимо использовать для разных зон. И нормальный Пам. И вот это, что он зашёл в систему, что там он мог украсть в 2019? Или там буфер обмена открыт между корпоративной средой и удаленной рабочей станцией? Тогда это позорище, и правильно, что украли. Это сейчас я видео сниму с базовой БД, и потом распознаю его модельной, 6 лет назад такого не было.
Работа на чужих устройствах увеличивает риск утечек данных. Работа на устройствах, не прошедших проверку должна быть запрещена. Уж у Озона есть деньги закупить пару тысяч ноутбуков
Удалённый разработчик использовал устаревшую версию VPN-клиента. Это опять проблема организации, которое позволяло подключаться с устаревшим ПО.
Советы про подписочные менеджеры паролей. Это после того, как ласпасс и биварден екунули. Если такой нужен, то только онпремис, для российских это пассворк или бирпасс. И на него попасть только после установления соединения с корпоративным vpn, который в свою очередь в МДМ запущен. А этот МДМ запрещает буфер обмена с остальной частью телефона.
250 указ, ещё пару лет и Пальто с фортинетом запретят использовать. Максимум Сангфор
Так что юзергейт, который ломучий, Солар, где непонятно куда пошли пару лярдов, и единственная надежда, но пока недоделанная, от Позитивов
Dozor не упал?)
Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах. То да, оно так и есть)))) А ещё там будет стотыщпятьсот событий ИБ, которые как инциденты, их надо проверить, но инцидентами они не стали. Безудержное веселье
Два раза в ноль за неделю упал юзергейт. Первый раз пришлось 4 часа его в ноль перешивать, во второй опять упал, подняли быстро одну ноду, удаленным помощником подключились специалисты самого вендора, и те через два часа намертво ее опять уронили. Любим ваши продукты)))
Форензика - слишком специфичное направление. И уж СОКовцам она нужна совсем редко. В большинстве СОКов, в т.ч. коммерческих, смотрят логи, а не форензикой занимаются.
Это смотря какой гуманитарий. Может ему лучше подойдёт методолог. Вчерашнему юристу или работнику банков очевидно проще читать нормативку регуляторов. А дальше пусть и в консалтику открыт, и в аудит по ИБ
Любая компания прежде всего хочет практические знания. Документы по образованию в ИБ нужны лишь по некоторым документам, 313 ФСБ, постановлению 1272 и т д, но их не много
Ну вот тому же методолога надо? Чтобы российские законы читать? Или инженеру, который сидит на отечественном ПО, каком-нибудь DLP, смотрит в отечественную веб-морду и английских букв и не видит. Но английский - это лучше конечно, но обязательно ли?
Так это нормально, сверх того, большую часть того, что знали, в дальнейшем чаще всего не пригождается
Вы от это, детектив, правильный тезис)))
А это точно хабр? Скоро будут статьи, как сделать запрос к Вселенной к успех?
"Покупайте наших слонов"
Когда вы уже сделаете самое главное,
1) когда можно вбить учётку и URL и проверить, будет ли разрешен траффик или какое конкретное правило его блокирует. Самое нужное, что есть. Я вам про это писал ещё в 22 году.
2) Когда будет полнотекстовый поиск по логам. Я хочу написать слово, например "pdf", и чтобы мне вышли все результаты всех пользователей, которые на ресурсы с таким наборов букв в названии заходили. Про это тоже ещё в 22 году писал. А воз и ныне там
они заметили, что кто-то пытался войти в учетную запись сотрудника компании N, используя серию неверных паролей. Примерно тысячу раз за день. Это выглядело подозрительно. Специалисты SOC отправили компании N электронное письмо, в котором сообщили о неудачном входе в систему
Ну да, кто-то брутфорсит учётку. Это "подозрительно". Отреагируем письмом. Точно поможет. Если не ответят, значит все ок)))
Эффективность работы удаленных сотрудников мало чем отличается от офисных. Это не секрет после карантинных мер.
Очень спорное заявление. Делали оценку на заре карантина там и DLP с ueba, спец программа на сервере почтовика, два агента программ контроля времени и логи с AD и спец программ. Оценка выражалась, в начале работы, в количестве кликов мышкой и тапов клавиатуры, скоростью ответа на письма коллег, другие манипуляции с письмами - время открытия после прихода, открытие вообще вложений, времени сессии (блокировка экрана через 10 минут бездействия), времени сессии в своих программах, где они работают ежедневно. Просадки были везде. Но работа как-то работалась, задачи исполнялись и все забили.
Ваши популярные под 250 Указ не попадают. Да и не купить их, помню как срочно заменяли Форспоинт, лицензия которого заканчивалась 30 марта, а ее уже в Россию не продавали
внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно
Вот это самая здравая мысль, но вот чтобы это сделать регулярно, надо ещё людей, ещё технических средств... ещё, ещё, ещё. И все в деньги упирается. И тут мы приходим к тому, что пока не будут выполнены пункты необходимых ещё, то и эффективности не будет, и регулярность будет не регулярной.