31.1.20

Что я жду от конференции ФСТЭК и от РусКрипто?

Уже по традиции февраль стал месяцем, в котором проходит два мероприятия главных регуляторов по ИБ - ФСТЭК России и Банка России. Первый проводит свою юбилейную, уже десятую конференцию "Актуальные вопросы защиты информации". Думаю, что юбилей вряд ли будет как-то с помпой отмечаться, но контент, который должен будет представить регулятор, представляет, как и обычно, интерес. Учитывая, что на вчерашнем Инфофоруме уже было выступление Лютикова В.С.,...

28.1.20

7 уроков из сотен расследованных инцидентов

Наткнулся я тут на презентацию службы реагирования на инциденты Cisco, которая по результатам более 100 проведенных расследований у наших заказчиков, сформулировала 7 ключевых наблюдений/уроков, которые мне показались достаточно интересными, чтобы про них написать. Ну а учитывая, что они не касаются продуктов, то это не стоит рассматривать как product placement. Helpdesk всегда знает, где закопано тело В ряде сценариев для киберучений, история...

27.1.20

Как перестать тратить время на ерунду

На прошлый Новый год самым популярным стало пожелание в мой адрес находить время на все мои проекты. Потом, уже на праздники, в отсутствие компьютера, было время подумать. А куда я трачу свое время? И понял я, что многие проекты, которые я хотел начать и даже начал, так и не были начаты или завершены. А все потому, что я тратил свое время слишком расточительно и все не по делу. Точнее я думал, что по делу, но если вдуматься и оценить результаты,...

24.1.20

Как перейти от эфемерных угроз к реальным техникам злоумышленников?

8 марта 2020 года. Ваши коллеги празднуют женский день, а вы вынуждены разрабатывать модель угроз по недавно утвержденной методике моделирования угроз ФСТЭК, так как к концу первого квартала у вас запланировано согласование этого документа с регулятором. И вот вы составили предварительный перечень угроз, среди которых у вас есть, например, УБИ.175 (фишинг). Я оставлю в стороне, что это описание неполное, так как исходит из того, что фишинг, это...

22.1.20

Долгожданное письмо ФСТЭК про Windows 7

Во вторник ФСТЭК выпустила информационное сообщение о ситуации с Windows 7 и Windows Server 2008 R2, чья поддержка закончилась 14 января 2020 года. Если тезисно, то письмо ФСТЭК содержит следующее: Microsoft прекратила поддержку и выпуск обновлений для Windows 7 и Windows Server 2008 R2. В ФОИВ, ОГВ, ОМС и других используется много сертифицированных копий данных ОС. ФСТЭК выдала 7 сертификатов соответствия на данные ОС. Обязательное условие...

17.1.20

10 способов убить свою карьеру в ИБ

Наткнулся тут на статью с одноименным названием, вольный и облегченный перевод которой и предлагаю. Большинство CISO считают, что инциденты ИБ не приведут к их увольнению. Только 6.8% CISO считают, что крупная утечка или иная проблема с ИБ могут повлечь за собой разрыв трудового договора. 21,7% считает, что инцидент может стать причиной только выговора, а 56% и вовсе думает, что руководство компании поможет им решить возникшие из-за инцидента...

16.1.20

7 сценариев, когда в организации используются 2 разных SIEM

В чатике про SOCи зашла тут дискуссия на тему, может ли, и если да, то зачем, использовать SOC два разных SIEM (именно SIEM, а не SIEM и LM или SIEM и UEBA). Вынесу я эту тему в блог, чтобы не забылась она и не затерялась. Я сталкивался с такими ситуациями не раз и поэтому не могу назвать это изначально неправильной идеей. Есть несколько сценариев, когда такая схема возможна: SIEMы для работы и в рамках импортозамещения. На Западе этот сценарий...

15.1.20

Метод "пяти почему" в ИБ

Основатель компании Toyota, господин Тойода, постоянно пользовался правилом "пяти почему" или "пять зачем", которое помогало ему добраться до сути многих сложных процессов и разбираться во многих непонятных ситуациях. Давайте попробуем применить его к кибербезопасности. Например, стоите вы перед выбором, купить вам межсетевой экран с сертификатом ФСТЭК или купить что-то более функциональное. И продавцы сертифицированных МСЭ так и вьются вокруг...

14.1.20

Не бывает одинаковых SOCов

Под конец года немного высвободилось времени и можно наконец-то оформить зарисовки, которые у меня накопились по результатам посещения SOC Forum, а также по результатам ряда проектов и предпроектных переговоров, в которых мне довелось участвовать. Одним из популярных вопросов является такой "Мы решили построить у себя SOC. А что он должен делать?" Или компания имеет SOC (по крайней мере она так считает) и хочет сравнить себя с другими SOCами на...

13.1.20

Является ли ГОСТ по ИБ обязательным к применению?

Обновляя курс по законодательству ИБ, который я читал в декабре прошлого года, я существенно обновил некоторые разделы и один из них касается вопросов национальной стандартизации, а точнее одного вопроса - может ли ГОСТ быть обязательным? Учитывая, что Банк России активно помещает свои требования по ИБ в ГОСТы и планы по развитию ГОСТов достаточно агрессивные, то стоит понимать, каков статус у этого документа и насколько он является обязательным...

10.1.20

Как стать SOC-аналитиком?

Коллеги из Ангары, которая отмечает 5 лет своего существования на российском рынке ИБ, опубликовали заметку о том, как стать SOC-аналитиком и какими навыками и компетенциями должен обладать аналитик SOC. На первое место они поставили знание законодательства по ИБ. Я в корне не согласен с такой постановкой вопроса, так как считаю, что аналитикам SOC вообще не нужно знание законодательства, которое никак не помогает в работе по обнаружению инцидентов...

9.1.20

Новости ИБ за новогодние праздники

Это мы с вами гуляли больше недели, в то время как все прогрессивное человечество начало активно работать, атаковать и защищаться уже со 2-го января. По традиции решил выделить ключевые новости, которые произошли за прошедшие новогодние праздники. В отличие от прошлого года в этом новостей было поменьше: Убийство официального лица Ирана, генерала Сулеймани, привело к тому, что американское агенство по информационной безопасности выпустило предупреждение...