дома » 2015 » Ноябрь

STOP — лохотрон и политика.

Немного политической сатиры вам, для настроения:



Тревожный ноябрь, или поправка "Писного - Кужель"

Не спится сладко и депутатам почти уже европейского парламента. Мало того, что маячит перспектива принятия эпохальных решений о легализации однополых браков между представителями разных фракций, так еще и «коллеги» добавляют нервов и работы... читать далее. 

Музей восковой "Гідності"

 Нужно подбивать новые танки, или просить у кого-то перезанять до «очередного транша». Решили просить…
 Коломойского на месте не оказалось, в МВФ звонить побоялись, Путину  постеснялись, номера фабрики ROSHEN в справочнике не оказалось... читать далее.

 Неясные моменты "истины"

Пока Арсений Петрович, красиво складывая пальчики, пытается возглавить  бухгалтерию международного штаба по борьбе с международным же терроризмом, а Петр Алексеевич, закрывая своей грудью Европу, ведет в решительный бой мировую проукраинскую коалицию...  читать далее.


Ярмарка лицемерия

А завтра мы будем, со слезами на глазах, повторять слова нигерийского архиепископа: «Не может быть жертв первого и второго сорта».
Но, из-за надетой маски лицемерия, нас никто не услышит… читать далее. 

Барабан Страдивари

Еще двух лет не прошло, а в черепных коробках миллионов, вместо серого вещества, прочно засели опилки новой религии из телевизора: святой Евромайдан, загранпаспорт в обложке из кружевных трусиков и возможность без визы, по субботам, совершать хадж в пивнухи и бордели просвещенной Европы... читать далее.

 

STOP — лохотрон и политика.

Немного политической сатиры вам, для настроения:



Тревожный ноябрь, или поправка "Писного - Кужель"

Не спится сладко и депутатам почти уже европейского парламента. Мало того, что маячит перспектива принятия эпохальных решений о легализации однополых браков между представителями разных фракций, так еще и «коллеги» добавляют нервов и работы... читать далее. 

Музей восковой "Гідності"

 Нужно подбивать новые танки, или просить у кого-то перезанять до «очередного транша». Решили просить…
 Коломойского на месте не оказалось, в МВФ звонить побоялись, Путину  постеснялись, номера фабрики ROSHEN в справочнике не оказалось... читать далее.

 Неясные моменты "истины"

Пока Арсений Петрович, красиво складывая пальчики, пытается возглавить  бухгалтерию международного штаба по борьбе с международным же терроризмом, а Петр Алексеевич, закрывая своей грудью Европу, ведет в решительный бой мировую проукраинскую коалицию...  читать далее.


Ярмарка лицемерия

А завтра мы будем, со слезами на глазах, повторять слова нигерийского архиепископа: «Не может быть жертв первого и второго сорта».
Но, из-за надетой маски лицемерия, нас никто не услышит… читать далее. 

Барабан Страдивари

Еще двух лет не прошло, а в черепных коробках миллионов, вместо серого вещества, прочно засели опилки новой религии из телевизора: святой Евромайдан, загранпаспорт в обложке из кружевных трусиков и возможность без визы, по субботам, совершать хадж в пивнухи и бордели просвещенной Европы... читать далее.

 

Ключевые факторы в деятельности по реагированию на инциденты ИБ

В преддверии SOC-форума, решил высказаться по сабжу. 

Тема инцидент-менеджмента на мой взгляд одна из тех, которая должна быть в приоритетах практически любой службы информационной безопасности. В современном мире неприкасаемых не осталось, жертвами внешних или внутренних злоумышленников становятся самые разнообразные компании, включая тех, которые сами занимаются разработкой программного обеспечения или оказанием услуг в области информационной безопасности. 

Есть несколько моментов, которые являются, на мой взгляд, ключевыми факторами, влияющими на успех или провал при реализации деятельности по управлению инцидентами ИБ. 

Определиться что является инцидентом.  Ресурсов никому никогда не хватает, пытаться все подряд называть инцидентом и реагировать - путь в никуда. Хотя большинство начинают именно с этого, сперва пытаются собирать и фиксировать все, пытаться реагировать на каждый чих, но сразу же приходит понимание того, что нужно как-то сужать фокус. Т.е движение идет от большего к меньшему, в то время как более правильный путь это движение от меньшего к большему. Уж лучше сразу целенаправленно уменьшить перечень событий, которые должны быть отнесены к инцидентам ИБ и обеспечить их корректную обработку. Далее, настроив процесс, постепенно его масштабировать и расширять на менее критичные события. 

Понятная цепочка обработки инцидентов. Обработка инцидентов - это конвейер, каждый инцидент должен быть обработан по заранее согласованной схеме, которая должна быть отработана практически до автоматизма. 

Готовые планы реагирования. "Время дорого" - вот главный девиз эффективного инцидент-менеджмента. Действовать надо быстро и слаженно. Здесь очень хорошо помогают готовые планы реагирования на инциденты, привязанные к типовым ситуациям: вирусное заражение, DDOS, отключение питания и проч. Понятно что если вдруг возникнет нештатная ситуация, для которой нет плана реагирования, придется импровизировать уже на ходу, но это не отменяет того, что для типовых ситуаций удастся сберечь массу ресурсов, времени и нервов. 

Согласованный порядок сбора и фиксации информации по инцидентам. Инцидент нужно не только как можно скорее закрыть, устранив возможные последствия, но еще и зафиксировать набор различных сведений, которые должны помочь впоследствии провести расследование, применить меры дисциплинарного воздействия, выявить системные проблемы, накопить статистику для различных целей, в том числе для оценки рисков. Если это не реализовано, то процесс реагирования на инциденты превращается в вечный и неэффективный бой. 

Тайминг. Время, время, время... Самая главная метрика эффективности процесса реагирования на инциденты ИБ - время отработки инцидента. Причем эта одна из самых простых метрик, с точки зрения ее определения. Если данные по обнаружению инцидента и данные по закрытию инцидента где-то зафиксированы, то определить среднее время обработки инцидентов не составит большого труда. За счет работы над тем, что я описал выше и рядом других моментов необходимо добиваться снижения данного показателя до необходимого для компании уровня. 

Как видите все вышеперечисленное не про технические системы. SIEMы, IDSы, и проч. всего лишь инструменты, которые должны помочь реализовать стоящие перед группой реагирования на инциденты ИБ задачи и помочь с тем что я описал. К сожалению плохие, непродуманные внедрения порой становятся главным препятствием на пути к нормальному инцидент-менеджменту. 

P.S. На SOC-форуме я буду вместе с моими коллегами представлять проект R-Vision. Подходите, буду рад пообщаться. 

P.P.S. Что касается инструментов, то на следующий день после SOC-форума буду проводить вебинар с демонстрацией новых возможностей R·Vision SGRC по управлению инцидентами ИБ. Регистрация тут - https://rvision.pro/?post_type=event&p=1219

Ключевые факторы в деятельности по реагированию на инциденты ИБ

В преддверии SOC-форума, решил высказаться по сабжу. 

Тема инцидент-менеджмента на мой взгляд одна из тех, которая должна быть в приоритетах практически любой службы информационной безопасности. В современном мире неприкасаемых не осталось, жертвами внешних или внутренних злоумышленников становятся самые разнообразные компании, включая тех, которые сами занимаются разработкой программного обеспечения или оказанием услуг в области информационной безопасности. 

Есть несколько моментов, которые являются, на мой взгляд, ключевыми факторами, влияющими на успех или провал при реализации деятельности по управлению инцидентами ИБ. 

Определиться что является инцидентом.  Ресурсов никому никогда не хватает, пытаться все подряд называть инцидентом и реагировать - путь в никуда. Хотя большинство начинают именно с этого, сперва пытаются собирать и фиксировать все, пытаться реагировать на каждый чих, но сразу же приходит понимание того, что нужно как-то сужать фокус. Т.е движение идет от большего к меньшему, в то время как более правильный путь это движение от меньшего к большему. Уж лучше сразу целенаправленно уменьшить перечень событий, которые должны быть отнесены к инцидентам ИБ и обеспечить их корректную обработку. Далее, настроив процесс, постепенно его масштабировать и расширять на менее критичные события. 

Понятная цепочка обработки инцидентов. Обработка инцидентов - это конвейер, каждый инцидент должен быть обработан по заранее согласованной схеме, которая должна быть отработана практически до автоматизма. 

Готовые планы реагирования. "Время дорого" - вот главный девиз эффективного инцидент-менеджмента. Действовать надо быстро и слаженно. Здесь очень хорошо помогают готовые планы реагирования на инциденты, привязанные к типовым ситуациям: вирусное заражение, DDOS, отключение питания и проч. Понятно что если вдруг возникнет нештатная ситуация, для которой нет плана реагирования, придется импровизировать уже на ходу, но это не отменяет того, что для типовых ситуаций удастся сберечь массу ресурсов, времени и нервов. 

Согласованный порядок сбора и фиксации информации по инцидентам. Инцидент нужно не только как можно скорее закрыть, устранив возможные последствия, но еще и зафиксировать набор различных сведений, которые должны помочь впоследствии провести расследование, применить меры дисциплинарного воздействия, выявить системные проблемы, накопить статистику для различных целей, в том числе для оценки рисков. Если это не реализовано, то процесс реагирования на инциденты превращается в вечный и неэффективный бой. 

Тайминг. Время, время, время... Самая главная метрика эффективности процесса реагирования на инциденты ИБ - время отработки инцидента. Причем эта одна из самых простых метрик, с точки зрения ее определения. Если данные по обнаружению инцидента и данные по закрытию инцидента где-то зафиксированы, то определить среднее время обработки инцидентов не составит большого труда. За счет работы над тем, что я описал выше и рядом других моментов необходимо добиваться снижения данного показателя до необходимого для компании уровня. 

Как видите все вышеперечисленное не про технические системы. SIEMы, IDSы, и проч. всего лишь инструменты, которые должны помочь реализовать стоящие перед группой реагирования на инциденты ИБ задачи и помочь с тем что я описал. К сожалению плохие, непродуманные внедрения порой становятся главным препятствием на пути к нормальному инцидент-менеджменту. 

P.S. На SOC-форуме я буду вместе с моими коллегами представлять проект R-Vision. Подходите, буду рад пообщаться. 

P.P.S. Что касается инструментов, то на следующий день после SOC-форума буду проводить вебинар с демонстрацией новых возможностей R·Vision SGRC по управлению инцидентами ИБ. Регистрация тут - https://rvision.pro/?post_type=event&p=1219