По вопросу приоритетов можно глянуть на популярные модели суиб. Например CIS controls. Первыми пунктами идёт контроль железа и ПО. Как и чем контролим?
Закрылись по железу и по, идём дальше.

Ну, мы на практике исходим из того, что любая злодейская активность происходит с использованием инфраструктуры, а значит именно там обязательно будут оставаться следы такой активности. Еще мы считаем, что самый вероятный вектор атаки будет проходить через ендпоинты, скорее всего через компы пользователей, а значит там надо смотреть самым внимательным образом. Поэтому в нашей версии SOC, средства мониторинга ендпоинтов, сетевого трафика и ключевых элементов инфраструктуры (например, виртуализации) являются главнейшими. Остальное, например, веб-приложения - по мере необходимости, если это лежит на возможном векторе атаки для конкретного заказчика.

Блин. Спать пора. Жена уехала в Питер, какую-то выставку смотреть в Эрмитаже, вот я тут и пишу всякую фигню от скуки.

А вдруг поможет хакеров кому то поймать. Но спать действительно пора.)

+ все таки основной упор на человека за монитором

а так можно покупать овермного железок и решений, обложиться ими. А толку не будет, если нет понимания как проводят атаки и распространяются.

😁основная функция наверное чтобы грузовик за мебелью даже не смог заехать во двор

я слушал на innoweek много докладов и многие говорят про инциденты как их обрабатывать и расследовать, т.е. морально готовы быть позади атакующих

За многих не скажу. Я даже термин "инцидент" стараюсь изничтожить. Признаки угрозы. Вот что надо обнаружить. Затем понять, складываются ли они в инцидент и если да, выяснить с чего всё началось, на какой стадии находится и возможную цель. Вы можете три года проработать аналитиком  SOC и вообще ни разу не увидеть настоящих инцидентов. Поэтому ибэшники придумывают всякие мелкие инцидентики, вроде "одновременного логона" или "попытки подбора пароля". Чтобы хоть какую-то деятельность продемонстрировать. В результате бизнес смотрит на ИБ, как на идиотов.

++++

так и есть

Инцедент инцеденту рознь. Вас начали массово сканить и эксплойтить. Инцедент ? Вопрос терминологии. Да инцедент. И надо дать ответку respond (например забанить ip). А как вы хотите тут быть впереди атакующих в этом случае? Мысли читать хакеров ещё не научились. Поэтому да позади. Кошке (иб) наступили на хвост, она заорала. Кошку никто не трогает - сидит довольная кушает сметану за счёт хозяина))

во время обновлять ПО, чтобы не чего было эксплойтить

не выводить все безобразие во внешнюю сеть

использовать защитные средства в конце концов

тут мысли читать не надо

просто заставлять кого то делать свою работу качественно

проводить тестирование, проверять, держать руку на пульсе....а не ждать когда произойдет инцидент и расследовать его)))

Это вы про защиту и процессы (суиб соиб). Закрутка гаек это основы, дальше, основная тема чатика, как производить контроль, состояния закрученных гаек. Может где то гайка ослабла , или гад какой пытается гайку сорвать. Проблемы наступают когда гаек тысячи а контролить надо.

регулярно проверять?)