Впечатления от межбанковской конференции по ИБ в Казахстане

На днях я где-то прочитал, что сравнивать новую и предыдущую модели iPhone достаточно сложно - ну чуть быстрее, ну чуть красивее, ну чуть ярче... Но в целом все также хорошо. Поэтому я не буду рассказывать о том, как была организована межбанковская конференция по ИБ в Алматы, на которой я выступал в пятницу. Про мероприятия, которые организует местный Profit, я уже писал и добавить мне особо нечего. А вот про контент скажу. Тем более, что мероприятие...

Подробнее…

Как оценить эффективность SOC?

А вот теперь можно поставить и точку в длинной дискуссии о SOC и поговорить о том, что происходит, когда SOC выбран или построен, запущен и даже приносит первые плоды. Пора оценить эффективность SOC. Я не буду сейчас вдаваться в вопрос, что такое эффективность и можно ли измерять ее деньгами или только немонетарными метриками. Это вопрос отдельный и непростой. Лучше сразу обратиться к вопросу измерения. Оно может разбиваться на две больших части...

Подробнее…

Экономика SOC или то, о чем на SOC Forum так и не поговорили

Вот про что на SOC Forum почти не говорили, так это об экономике центров мониторинга и реагирования на инциденты. Хотя эта тема очень тесно переплетена с вчера мной рассмотренной про дилемму выбора между собственным и аутсорсинговым SOCом. Вот ею мы и поставим точку в этой долгой эпопее под названием Security Operations Center. Хотя, скорее всего, это будет многоточие... Итак, есть уже упомянутое коллегами исследование, в котором делается пример расчета бизнес-кейса выбора между SIEM и MSSP. Вообще странная постановка вопроса, не правда ли. Как...

Подробнее…

Свой SOC или аутсорсинговый? А может быть государственный?

На SOC Forum Олеся Шелестова в своей второй презентации должна была привести некоторые интересные цифры, до которых, она к сожалению, не до дошла, потратив все время на демонстрацию своего решения. А цифры были достаточно интересные и я позволю себе их привести. Только один источник для SIEM/SOC обладает следующими временными характеристиками: До 15 секунд на аутентификацию 5-15 секунд на открытие журнала событий (от себя добавляю - если речь...

Подробнее…

Васаби вам, а не статистику

Пока в Москве вспоминают SOC-Forum, а Банк России подготовил проекты двух новых стандартов для  больших и маленьких некредитных финансовых организаций - СТО БР ИБНФО Б-1.0 и СТО БР ИБНФО М-1.0, я бы хотел вспомнить немного другой другой документ, выпущенный тем же регулятором. Речь идет об Указании 2831-У, который установил обязательную отправку ежемесячной отчетности по инцидентам информационной безопасности. Первый вариант так называемой...

Подробнее…

FinCERT: с чем его едят?

Вчера я описал доклады по ГосСОПКА, прозвучавшие на SOC Forum. Сегодня пора обратиться к другому "государственному" центру мониторинга и реагирования на компьютерные инциденты. Речь, конечно же, пойдет о FinCERT. Я уже писал о том, что бы я хотел видеть от этой структуры. Теперь давайте посмотрим, что про это думает сам ЦБ, который представил на SOC Forum два доклада о работе FinCERT. В отличие от существующего SOC, который в ЦБ занимается защитой...

Подробнее…

Что нового в SOC?

По результатам моей заметки про SOC Forum мне многие написали, что ничего нового в теме SOCов нет и что примеры работающих SOCов известны уже не первый год. И что? Где в информационной безопасности вообще что-то новое? Сканеры безопасности? Так тот же SATAN был в начале 90-х разработан и что с тех сильно поменялось? IDS, которые сейчас все кому ни лень в России пишут (на базе open source)? Ну так первые сетевые IDS появились также в начале 90-х. Поведенческие анализаторы? Первые решения так и вовсе в 80-м году были представлены миру. NBAD? Тоже...

Подробнее…

Превратится ли ГосСОПКА в ГосКУРГАН?

Прошедший SOC Forum запомнился еще двумя моментами - на нем впервые заговорили о работе FinCERT (предыдущие редкие упоминания не в счет) и в центре внимания была ГосСОПКА. Про FinCERT я напишу отдельно, а вот про ГосСОПКУ напишу сейчас. Хотя правильнее было бы сказать, что ГосСОПКА могла бы быть в центре, если бы о ней кто-нибудь сказал что-нибудь конкретное. 2-го марта я уже писал про выступление представителя 8-го Центра на Уральском форуме...

Подробнее…

Positive отказался от вывода своего SOCа на рынок!

Знаете ли вы сколько продуктов/решений по ИБ вы используете в своей сети? 5, 10, 20?.. А сколько их существует в России? А в мире? Начнем с последнего вопроса. На последней RSA Conference было представлено около 400 мировых игроков в области информационной безопасности. За последние пять лет свыше 1200 ИБ-стартапов получили инвестиции на свое развитие. Из презентации Cisco по проблемам ИБ Если верить статистике InfoSecurity Russia 2015, то на...

Подробнее…

ArcSight Forum или SIEM Forum или SOC Forum? Что это было?

Вчера про SOC Forum пошутили, а сегодня можно и что-нибудь серьезное написать. Тем более, что страсти уже улеглись и можно взвешенно оценить мероприятие. С точки зрения организации мне особо сказать нечего - те редкие минуты между пленаркой и модераторством двух секций, в которые я выбирался в фойе, у меня никаких проблем не возникло. Разве что траванулся я грибами и еле добрался до дома. Да народу было слишком много - об участии многих узнал только...

Подробнее…

Microsoft покупает Secure Islands

9 ноября компания Microsoft объявила о приобретении израильского малоизвестного в России (да и не только) разработчика решений по предотвращению утечек информации - Secure Islands. Сам стартап называет себя инноватором в области продвинутой защиты информации. Видимо ребята не хотят ассоциироваться с термином DLP :-) Хотя по описанию оно так и есть. Технологии Secure Islands войдут в состав Azure Rights Management Service. Размер сделки не сообщается. ЗЫ. Вообще Microsoft что-то потянуло на израильские стартары по ИБ. Сначала Aorato, потом Adallom....

Подробнее…

Моя презентация с SOC Forum по Threat Intelligence для SOC

Обзор SOC Forum еще ждет своего часа и уж поверьте, я выскажу всю правду про это замечательное мероприятие :-) А пока выложу свою презентацию, которую я посвятил теме знаний об угрозах (threat intelligence), источникам их получения, платформам для их обработки и обмена, API для автоматизации работы с ними, а также стандартам, позволяющим более эффективно выстроить работу с Threat Intelligence как самостоятельно, так и в составе Security Operations Center (SOC). Откуда и какие брать данные Threat Intelligence для SOC? from Aleksey Lukatskiy...

Подробнее…

SOC Forum в социальных сетях

Пытливый читатель, прочтя 45 афоризмов с SOC Forum, успел задаться вопросом, а в каком зале и в какой презентации говорили про беременность Юлии Снигирь и как вообще эта тема связана с SOC? Все очень просто. Именно эта тема, сопровождаемая тегом #SOCForum2015 стала популярной в Twitter :-) И не только она Достаточно интересная ситуация. Связана она с тем, что тег #SOCForum2015 достаточно быстро стал популярен. И несмотря на то, что официальным...

Подробнее…