Выбрать язык


Выбрать язык | Show only


Русский | English


понедельник, 23 декабря 2019 г.

Измерение эффективности SOC. Время обнаружения и отражения атаки

В продолжение предыдущих двух статей об использовании SOC для контроля безопасности бизнес-процессов и зоне покрытия SOC как метрике эффективности, стоит обратить внимание на такой немаловажный фактор, как время реакции SOC на произошедший инцидент. И важно не только время реагирования, но и время отражения атаки. 
Измерить можно тем же методом, что и зону покрытия: провести пентест своими либо наемными силами. Делим команды на Red Team и SOC. Первые - не скрываются. Вторые - бдят и отражают атаки. Обе команды до старта не знают о местонахождении противника.
Обе команды предоставляют отчеты о проведенной работе. При этом фиксируют время (синхронизация команд с одним NTP-сервером и один часовой пояс в отчете).

воскресенье, 22 декабря 2019 г.

Измерение эффективности SOC. Зона покрытия

Как уже писал в предыдущей статье, во вторник 17.12.2019 я выступал на конференции "Ведомостей" с докладом на тему "Технологии настоящего и будущего в центрах мониторинга ИБ (SOC)". 
Выступление условно можно было поделить на 3 части: 
  1. Вводная.
  2. Реализация контроля безопасности бизнес-процессов с помощью SOC.
  3. Измерение эффективности SOC.
Пункты 1 и 2 я описал в предыдущей статье, на которую ведет ссылка в списке. Здесь подробнее остановлюсь на том, как можно измерить зону покрытия SOC. 
Логично, что SOC должен покрывать все 100% защищаемой инфраструктуры, будь то IT-, OT- или иные технологии. Но как это проверить, особенно если нет уверенности в том, что IT/OT-подразделения сами владеют всей информацией?

пятница, 20 декабря 2019 г.

SOC для безопасности инфраструктуры и бизнес-процессов

Во вторник 17.12.2019 я выступал на конференции "Ведомостей" с докладом на тему "Технологии настоящего и будущего в центрах мониторинга ИБ (SOC)". В отличие от многих других моих выступлений, здесь необходимо было сфокусироваться не на технической стороне вопроса, а на взаимосвязи информационной безопасности с бизнесом. При этом, конечно, донести возможность технической реализации того или иного действия. 
Выступление условно можно было поделить на 3 части: 
  1. Вводная.
  2. Реализация контролей безопасности бизнес-процессов с помощью SOC.
  3. Измерение эффективности SOC.
Поскольку регламент давал на все не более 10 минут, пришлось постараться вложить информацию в минимум слайдов и слов. Поэтому осталось и для блога. Опишу 1 и 2 части.

У многих сложилось мнение, что область применения SOC - исключительно инфраструктура, и что-то, полезнее антивируса либо событий операционной системы, мониторить не получится. Отчасти это правда, поскольку SIEM - технологическое ядро SOC - имеет готовые интеграционные модули (коннекторы, коллекторы и т. п. вендорспецифичные термины) в основном для сбора информации с операционных систем, сетевых сервисов и средств защиты информации. И это объяснимо. Приведу в качестве примера слайд из своей презентации.


Если обратить внимание на рисунок и попытаться подсчитать разнообразие возможных источников на каждом слое, то можно заметить, что на уровне приложений их количество резко возрастет.