SS
Лучшая проверка качества работы SOC - Эмуляция реальной атаки (Red teaming). Закажите пентест, он покажет effectiveness и efficiency вашего SOC
Size: a a a
2018 June 17
ВД
Sergey Soldatov
Лучшая проверка качества работы SOC - Эмуляция реальной атаки (Red teaming). Закажите пентест, он покажет effectiveness и efficiency вашего SOC
Я бы поспорил, но это грозит лонгридами, а я в них не силен. Но способ действительно неплохой.
B
Sergey Soldatov
Лучшая проверка качества работы SOC - Эмуляция реальной атаки (Red teaming). Закажите пентест, он покажет effectiveness и efficiency вашего SOC
Effectiveness несомненно, efficiency клиент вряд ли увидит. И конечно - лучше мыслить в терминах качества работы, ведь это нужно для ИБ. А уж какие там технологии применяются - дело десятое
A
SOC CMM в помощь, иначе можно написать книжку по вопросу...
Спасибо, надо поискать
SS
Если говорить об способностях по обнаружению после эксплуатации, возьмите MITRE ATT&CK и оцените сколько из приведенных там TTP покроет ваш SOC. Думаю, это будет тоже хорошей оценкой возможностей по обнаружению.
SS
Дополнительно, сейчас модны всякие автотесты, типа https://www.blackhat.com/docs/eu-17/materials/eu-17-Miller-CALDERA-Automating-Adversary-Emulation.pdf
Прогоняйте что-нибудь в этом роде
Прогоняйте что-нибудь в этом роде
EB
Sergey Soldatov
Если говорить об способностях по обнаружению после эксплуатации, возьмите MITRE ATT&CK и оцените сколько из приведенных там TTP покроет ваш SOC. Думаю, это будет тоже хорошей оценкой возможностей по обнаружению.
+1
SS
SS
У любого вендора MDR найдете их "ПиМИ" - начните с них
AS
Sergey Soldatov
Дополнительно, сейчас модны всякие автотесты, типа https://www.blackhat.com/docs/eu-17/materials/eu-17-Miller-CALDERA-Automating-Adversary-Emulation.pdf
Прогоняйте что-нибудь в этом роде
Прогоняйте что-нибудь в этом роде
Подборка опен сорс BAS (Breach Arversary Simulation) от Гартнер
https://blogs.gartner.com/augusto-barros/2018/04/17/threat-simulation-open-source-projects/
https://blogs.gartner.com/augusto-barros/2018/04/17/threat-simulation-open-source-projects/
AS
И готовый VM с ними набирающий популярность
https://github.com/redhuntlabs/RedHunt-OS/
https://github.com/redhuntlabs/RedHunt-OS/
2018 June 18
A
И готовый VM с ними набирающий популярность
https://github.com/redhuntlabs/RedHunt-OS/
https://github.com/redhuntlabs/RedHunt-OS/
Ого, спасибо огромное, надо попробовать!
Z
И готовый VM с ними набирающий популярность
https://github.com/redhuntlabs/RedHunt-OS/
https://github.com/redhuntlabs/RedHunt-OS/
спасибо,это получается узконаправленный parrot или kali
SS
Подборка опен сорс BAS (Breach Arversary Simulation) от Гартнер
https://blogs.gartner.com/augusto-barros/2018/04/17/threat-simulation-open-source-projects/
https://blogs.gartner.com/augusto-barros/2018/04/17/threat-simulation-open-source-projects/
Добавлю лишь, что та дока о которой упоминает Августо в этом посте уже вышла
B
В добавление к продвинутым методам оценки эффективности SOC хочу побыть занудой и напомнить, что SOC может быть эффективным только в среде что соответствует некому security baseline или хотя бы стремится. Он полагается на эффективность и полноту покрытия защищаемого сегмента другими контролями безопасности. Без патч менеджмента, антивирусов, email security и базового понимания какие классы активов критичнее других о эффективности SOC говорить нет смысла вообще
SS
Sergey Soldatov
Добавлю лишь, что та дока о которой упоминает Августо в этом посте уже вышла
Вот точные названия ресерчей от Гартнера (для тех кто будет искать): "Utilizing Breach and Attack Simulation Tools to Test and Improve Security, Published: 17 May 2018" и "Threat-Oriented Approaches to Test Security in Production, Published: 17 May 2018". Авторы у обоих - Чувакин и Баррос.
MS
А есть здесь те, кто строил что-то на api arcsight, то есть забирал из него данные,и готов уделить немного времени и помочь советом и добрым словом? Кроме Солара ;)
2018 June 19
Z
господа, у кого нибудь есть pt siem?
🔐
Z