Мои смешные картинки и демотиваторы для SOC Forum #FunnySOC

Решил взять и выложить все свои демотиваторы и просто смешные картинки, которые я готовил перед и после прошедшего SOC Forum 2.0. Вообще было бы интересно проанализировать, насколько этот конкурс мемов повлиял на посещаемость мероприятия. Но думаю таких данных нет. Поэтому просто веселитесь, если покажется смешно и если вы еще не видели что-то из опубликованного мной ранее в Твиттере. ...

Подробнее…

Что я не услышал на SOC Forum 2.0

На днях Денис Батранков написал заметку о том, что он увидел в презентациях с SOC Forum 2.0 хотя на самом форуме его не было :-) Я решил не отставать и написать о том, чего я в презентациях не увидел, хотя на самом форуме был. Лично для меня не хватило практики; и не важно с чьей стороны - заказчиков, интеграторов или поставщиков услуг SOC. Да, заказчиков было мало и причины этого я уже пытался анализировать, но остальные?.. Нечего сказать или отсутствует...

Подробнее…

Обнаружение необнаруживаемого (threat hunting)

На Коде ИБ в Нижнем Новгороде помимо пленарной части я также проводил мастер-класс на тему обнаружения необнаруживаемого, то есть threat hunting. Разумеется, за один час это сделать было непросто, и поэтому своей основной задачей я ставил дать обзор того, что можно и нужно делать помимо банального использования различных продуктов по ИБ. Какие данные нам помогают видеть скрытые и целенаправленные угрозы? Откуда брать информацию об угрозах? Что такое индикатор компрометации и какие ресурсы в Интернет их распространяют? Откуда отечественные IDS...

Подробнее…

Тенденции мира ИБ (презентация)

Вчера я выступал на последнем в этом году "Коде ИБ" в Нижнем Новгороде, где мне довелось вести пленанрную дискуссию, традиционно посвященную различным тенденциями мира ИБ. Учитывая, что времени было не так уж и много (все-таки это не совсем презентация, а именно дискуссия с экспертами и залом), то я не успел рассказать все, что сейчас можно отнести к тенденциям. Поэтому, даже в сокращенном виде, я не смог пройтись по всем намеченным мной слайдам. Сами же слайды я взял из своей презентации, которые я готовил неделей ранее, для одного закрытого...

Подробнее…

SOC Forum 2.0: выступления регуляторов

Как и обещал, выступлениям регуляторов на SOC Forum 2.0 посвящу отдельную заметку, тем более, что было сказано немало интересного как на самих выступлениях, так и в кулуарах. Я не буду повторять то, что уже написал Сергей Борисов, - напишу только то, что выпало из поля его зрения: ФСТЭК, помимо рассказа о ПП-541, рассказала о том, что новая редакция приказа №17 будет принята только после принятия законопроекта о внесении изменений в ФЗ-149, которые не только устанавливают требование об обязательном уведомлении об инцидентах (процедуру и соотнесение...

Подробнее…

Почему "мониторинг ИБ" - это не сертификация и почему SOCам все-таки нужна лицензия ФСТЭК?!

Вообще, сегодня тут должна была быть очередная заметка про SOC Forum 2.0, а точнее рассказ про новости регуляторики. Но в мои планы вмешался Андрей Прозоров, опубликовавший его видение ПП-541 применительно к термину "мониторинг ИБ". Согласно его позиции, мое мнение о том, что на деятельность SOC нужна лицензия, не такое уж очевидное и ФСТЭК под мониторингом вероятно понимает "сертификационные испытания" как форму "оценки соответствия требованиям...

Подробнее…

SOC Forum 2.0: ключевые положения с пленарной сессии

Чем мне нравится SOC Forum, так это его фокусировкой на конкретной теме, которую можно обсасывать с разных сторон и на достаточно глубоком уровне. Вы можете себе представить очень конкретную и очень специфическую тему "Отчетность в SOC" на каком-нибудь Инфофоруме или InfoSecurity? Я - нет, потому что оба эти мероприятия "обо всем и ни о чем". У них размытая программа, которая хочет охватить сразу все и в итоге все темы рассматриваются по верхам...

Подробнее…

Symantec покупает LifeLock

Компания Symantec объявила 20-го ноября о приобретении за 2,3 миллиарда долларов компании LifeLock, занимающейся защитой домашних пользователей от кражи идентификационных и иных данных этой слабо защищенной категории Интернет-пользователей. Предполагается, что приобретение LifeLock сделает Symantec лидером в этом непростом, но важном сегменте рынк...

Подробнее…

Одна из платформ Threat Intelligence внезапно прекращает свое сущестование

Год назад я поднимал вопрос о том, можно ли бороться с угрозами без собственного исследовательского центра, который бы мог самостоятельно писать сигнатуры/решающие правила/фиды/шаблоны аномалий для средств защиты, а также для SOC? Это тема схожа с той, к которой я обращался еще в 2003-м году, высказав предположение, что в России невозможно создать собственную систему обнаружения атак, которая определяется не столько движком (многие берут просто Snort), сколько базой решающих правил и способностью ее поддерживать. В первой из упомянутых заметок...

Подробнее…

На деятельность пентестеров, аудиторов и SOCов требуется лицензия!

15-го июня было принято новое Постановление Правительства №541, о проекте которого я уже писал в феврале и которое внесло поправки в правила лицензирования деятельности по защите информации и по разработке средств защиты информации. Я летом что-то замотался и забыл про него написать, а позавчера на SOC Forum (кстати, материалы с него уже выложили) начальник 2-го управления ФСТЭК Дмитрий Шевцов напомнил всем собравшимся, что с июня 2017-го года деятельность...

Подробнее…

Оценка эффективность SOC. Версия 2.0

На эту неделю интересные мероприятия по ИБ закончились и можно сделать некоторый обзор того, что было. Тем более, что закончившийся вчера SOC Forum был трехпотоковым и по определению никто не мог посетить параллельные доклады. И это если не говорить, что кто-то вообще на доклады не ходил, а как обычно тусил в холле и общался с коллегами. Поэтому, следуя доброй традиции, я решил составить обзор SOC Forum 2.0, разбив его на несколько частей. И начну...

Подробнее…

Мы получили сертификат на отсутствие НДВ в сетевом оборудовании

В жизни московского офиса Cisco в контексте информационной безопасности я помню только одно знаковое событие (конечно, не учитывая мой приход в Cisco :-) - получение сертификата ФСБ на модуль шифрования, разработанный совместно с нашим партнеров - компанией С-Терра. Это событие произошло спустя шесть лет после моего прихода в компанию, хотя я к получению сертификата руку практически не прикладывал :-) И вот спустя очередные шесть лет новый долгожданный сертификат - на отсутствие недокументированных возможностей в наших маршрутизаторах Cisco ISR...

Подробнее…

MSSP не умеют бороться с целенаправленными угрозами. На первый план выходят MDR-поставщики

Мы достаточно часто слышим аббревиатуру MSSP (Managed Security Service Provider), особенно в последнее время, в предверии начинающегося в среду SOC Forum 2.0. Оно и понятно - немалое количество докладов на форуме будет от поставщиков услуг SOC, которые называют себя именно MSSP, оказывающим аутсорсинговые услуги по мониторингу и обнаружению преимущественно известных угроз. По сути, то, что многие называют аутсорсинговым SOCом, таковым не является,...

Подробнее…

Один день из жизни аналитика SOC

Часто бывает, что наши ожидания расходятся с реальностью, и хорошим примером такой нестыковки является работа аналитика Security Operations Center (SOC). На самом деле, практически любой профессии присуща эта проблема, но поскольку последние пару недель я посвятил теме SOC, то и эту заметку я тоже буду иллюстрировать на примере одной из должностей центров мониторинга. Итак, как обычно представляет свой рабочий день аналитик SOC? На что, как...

Подробнее…

Почему на российских мероприятиях по ИБ мало выступлений от заказчиков?

Сегодня я решил сделать передышку от SOC'овской темы и написать немного про другое. Тем более, что и повод для этого есть. Во-первых, я сейчас нахожусь в США в качестве наблюдателя на выборах Трампа на конференции по безопасности. А во-вторых, я участвую в программных комитетах ряда российских конференций по ИБ. И вот на фоне этих двух явлений и родилось наблюдение, которым я хочу поделиться. Очень часто от участников отечественных мероприятий по ИБ приходится слышать негативные отзывы о посещаемых семинарах и конференциях, которые изобилуют...

Подробнее…

Новые каталоги угроз

Недавно я писал, что за прошедших 9 месяцев в банке данных угроз ФСТЭК появилось всего 4 новых угрозы против обещанных 140. Поэтому, ожидая выхода методики моделирования угроз от ФСТЭК, я все-таки регулярно посматриваю по сторонам и смотрю, не появилось ли еще какого-нибудь интересного каталога или таксономии угроз. И вот, помимо уже описанной матрицы ATT&CK, я наткнулся на парочку ранее мной невстречаемых документов. Первый - это open source...

Подробнее…