16 ноября компания Optiv Security объявила о покупке компании Decision Lab, занимающейся большими данными, а также оркестрацией и автоматизацией. Сумма сделки не сообщаетс...
17.11.17
Управление логами - фундамент любой SIEM, в котором часто зияют прорехи
Уже совсем скоро пройдет конференция ЦБИ "Мониторинг ИБ: проблемы построения и эксплуатации", на которой я буду вести секцию про полноту и "доступность" источников информации, которые подключаются к SIEM, а потом на их основе работает SOC и принимаются решения о наличии или отсутствии угроз. По сути именно от того, насколько выстроена работа с источниками зависит эффективность всей системы кибербезопасности.
Давайте вспомним вот эту иллюстрацию...
15.11.17
Что такое Fusion Center и чем он отличается от SOC? #socforum
На прошлой неделе, в Питере, на конференции Secure It World, мне довелось модерировать секцию по безопасности ИТ-инфраструктуры, где выступал представитель Ростелекома с рассказом о том, как у них выстроен SOC. Очень интересный был доклад, но меня в нем, помимо прочего, заинтересовала вот эта иллюстрация:
Меня заинтересовала нижная часть слайда, в которой упоминается Fusion Center. Это второй раз, когда я вижу упоминание этого термина в контексте...
14.11.17
Какие стандарты будет применять ГосСОПКА для получения карточек инцидентов и раздачи индикаторов компрометации? #socforum
В предверии SOC Forum хочу вернуться к теме, которую я уже не раз поднимал и важность которой становится все острее и острее. Речь идет о стандартизации обмена информацией об угрозах, инцидентах и индикаторах компрометации между ГосСОПКОЙ и сегментами/центрами ГосСОПКИ.
Сейчас уже существует временная форма карточки инцидента, разработанная 8-м Центром ФСБ и представленная в формате XML. Это очень важный шаг в стандартизации обмена информацией...
13.11.17
Гримасы импортозамещения в контексте мировых тенденций ИБ (парадоксы и презентации)
На прошлой неделе довелось участвовать в питерской конференции по ИБ Secure It World. Прекрасное мероприятие, прекрасная компания, прекрасные доклады.
Мне довелось выступать с трендовой презентацией, в которой я попробовал включить все ключевые тенденции рынка ИБ, которые я вижу в мире (не обязательно, что все они дойдут до России, но знать о них стоит). Презентацию по ней выкладываю (ссылка ведет на SlideShare, доступ к которому в России запрещен):
...
10.11.17
Кто такие "русские хакеры" и есть ли у России кибервойска?
В последние несколько недель, с момента начала конфликта с Лабораторией Касперского, мне постоянно звонят журналисты иностранных изданий, аккредитованных в России, с просьбой прокомментировать ряд вопросов, которые, как им кажется, являются уникальными и очень интересными. Первый раз это выглядело забавно. Второй я уже отвечал по накатанной. На третий раз я начал злиться. Когда одни и те же вопросы я услышал раз в десятый, я решил написать эту заметку,...
9.11.17
Symantec покупает SurfEasy
6 ноября Symantec объявила о покупке SurfEasy, разработчика VPN-решений, которым ранее владела Opera Software. Стоимость сделки составляет 38,5 миллионов долларо...
Proofpoint покупает Cloudmark
7 ноября Proofpoint подписала соглашение о приобретении Cloudmark, занимающейся защитой контента и threat intelligence для операторов связи. Размер сделки составил 110 миллионов долларо...
Future SOC - модерируемая мной секция на #socforum
По статистике полугодового отчета Cisco по информационной безопасности за 2017-й год 55% компаний, в том числе и в России, пользуются услугами от 6 до 50 поставщиков решений безопасности. А число организаций, которые используют более 6 различных продуктов по ИБ превышает 65%. Эти цифры означают, что как никогда возрастает необходимость внедрения в своих организациях систем мониторинга ИБ, позволяющих объединить данные с множества разрозненных средств...
8.11.17
Synopsys покупает Black Duck
2 ноября компания Synopsys объявила о намерении купить американского производителя средств анализа безопасности исходных кодов Black Duck Software. Стоимость сделки составила 560 миллионов долларо...
Словарь терминов, связанных с центрами мониторинга ИБ #socforum
"Дело было вечером, делать было нечего"... Так писал в своем стихотворении Сергей Михалков. Примерно также обстояли дела и в моем случае. Правда, дело было не вечером, а ночью, и делать мне было чего. Но я вдруг подумал: "А почему бы мне не сваять словарь терминов, связанных с деятельностью SOCов?" Сказано - сделано. Сваял. На все потратил часа три-четыре. И вот первая версия.
Разумеется, это не весь глоссарий. Я постарался включить в него наиболее...
7.11.17
SOC, ориентированный на реальный мониторинг и на compliance #socforum
В последнее время наши регуляторы в лице ФСТЭК, ФСБ и Банка России выпустили целый ряд нормативных документов, которые вводят обязанность для попадающих под их действие организаций, заниматься мониторингом ИБ, реагированием на инциденты и управлением событиями безопасности. Это и 17/21/31-й приказы ФСТЭК, и новый ГОСТа ЦБ по базовому уровню защищенности финансовых организаций, и пока еще не опубликованные требования ГосСОПКА. А если еще наложить...
3.11.17
Термин "периметр" только вредит информационной безопасности
Мы в области нашей являемся достаточно консервативными. Мы очень сильно зависим от авторитетов, от подходов, от продуктов и от терминов и определений, которые не меняются годами. Периметр информационной безопасности - это как раз тот термин, который, к сожалению, так устарел, что его использовать уже практически невозможно и даже вредно. Ситуация ухудшается тем, что мы даже до конца не знаем, что же такое периметр информационной безопасности.
Фрагмент...
2.11.17
Мониторинга много не бывает или зачем вам SOC, если у вас нет SIEM?
Осень выдается достаточно урожайной на мероприятия, посвященные теме мониторинга информационной безопасности. И на многих из них я часто слышу вопрос от коллег, который звучит очень просто: “Что должен уметь делать SOC?”. Как мне кажется, если такой вопрос возникает, то это значит, что компания еще не готова к SOC, так как в отличие от коробочных продуктов, сравниваемых по функциям/возможностям, SOC строится под конкретную компанию, под конкретную...
1.11.17
DNS как улика
Выступал на Russian Internet Week с рассказом про угрозы со стороны DNS и использование DNS как инструмента для проведения расследований инцидентов, защиты бренда, поиска сайтов-клонов и т.п. задач. Выкладываю презентацию:
DNS как улика from Aleksey Lukatskiy
Скачать ее можно с Dropbox. Кроме того, сегодня вышла и одноименная статья, которая по сути является текстовой версией (пусть и немного урезанной и менее иллюстрированной) этой презентации. Я ее писал для "ИТ Менеджера".
ЗЫ. Самое интересное, что описанные в презентации методы хакеров...
Подписаться на:
Сообщения (Atom)
