Ой, конечно же, белых и пушистых)

норм все, надо пенетратить постоянно) не вынимая)))

из рук)

Стоит внедрять? Хороший продукт?

вчера один чудик мне утверждал, что надо пенетратить только то что описано в модели угроз.....отправил я его вместе с моделью угроз. из -за таких моделистов потом взломано всё и вся

Внедрил,  не пожалел

Может он имел ввиду отличия red team от пентест? Что пентест должен проверить реальную защищенность, там где ждут что все защищено.

нет, именно то что в модели написан источник угрозы пользователь и надо проверить уязвимости только тех ресурсов, которые доступны пользователю а не всего пула сети. Как правило не то чтобы ждут что все защищено, а даже и не знают что там можно было пройти

Ну хз, как тз напишешь, так пентест и проведут. Он художник, он так видит

Если не трудно опишите вашу схему

На самом деле первая линия очень ок если наш soc занимается не только сложными вещами, а и корпоративными боянами типа нарушениями политики ИБ. Увидел установку дропбокса, проверил Коннект к облаку был, зарегал инцидент на пользователя, передал на офицера безопасности того подразделения + сделал тикет на ИТ удалить db, офицер ровел беседу, закрыл инцидент, и сразу много тусклых скучных но полезных профитов - статистика инцидентов растет - есть чем отчитаться, пользователи вспоминают политику ИБ, копится фактура что бы объяснить ИТ зачем что то ещё делать в плане прав на рабочих станциях/applocker, очередной канал утечки прикрыт

осмысление и необходимость этого впереди)

А вот если SOC не занимается корпоративными боянами то первая линия это просто удлинение цепочки обработки инцидента без особой ценности.

@lei_wulong расскажешь?

Есть пример конкретной задачи от 2014 года

Так туда ещё на тыкали кучу бизнес систем

Особо интересным стало выявление фрода

С прямым оповещением бизнес подразделений

Хороший и функциональный ;) будут вопросы готов ответить