$
Да мы опять упираемся в терминологию.
Size: a a a
2021 June 16
IB
Без СОКа эффективность остальных мер сильно проседает
AL
Опять зависит от терминологии ;-) Если SOC - это просто способность компании детектить и реагировать на инциденты, то да. Если SOC - это помещения с плазмами, куда пялятся аналитики, то нет ;-)
IB
Давайте использовать нормальную терминологию :) мы же не занимается продажей плазм
$
Нормальная терминология это
1. Сок - тупо ir и мониторинг
2. Сок - вся ИБ без бюджетирования
И ещё куча трактовок.
Что нормальное для вас?
1. Сок - тупо ir и мониторинг
2. Сок - вся ИБ без бюджетирования
И ещё куча трактовок.
Что нормальное для вас?
KV
Вот и я про то, просто подбирал слова политкорректные:)
Почему-то многие решили, что построив SOC и купив подписки на фиды, закроют все проблемы КБ в своей организации. SOC должен помочь минимизировать потери в случае чего.
Почему-то многие решили, что построив SOC и купив подписки на фиды, закроют все проблемы КБ в своей организации. SOC должен помочь минимизировать потери в случае чего.
IB
СОК - это прежде всего контроль того, что происходит. Детали это уже детали :) плазмы там используются, люди или сиемы) Главное знать и понимать что происходить в инфраструктуре, в прикладе, в интернетах ... и как это может повлиять на безопасность компании . ИМХО
$
Ну т.е. 1 вариант. Ок :)
A
Фигли (я корректен как инфаркт) толку, от IR и мониторинга, если весь парк хостов непропатчен?
AL
Виртуальный патчинг на IDS спасет отца русской демократии
A
Ага, осталось найти периметр в эру всеобщей удаленки
RI
Особенно для приложений, использующих шифрование с certificate pinning
KV
Да и внутри одной зоны тоже наверно поможет
AD
Не просто же так цепочку prevention-detection-response рисуют именно в такой последовательности. Чем лучше архитекторы поработали на первом этапе, тем меньше работы на втором и третьем
2021 June 17
VK
Нарисуй ее по времени с учётом эволюции угроз, будет разнообразие
VK
А на бумаге именно, что "рисуют"
AD
Ну есть же базовые вещи, сегментация сети, настройка правил межсетевого экранирования, установка необходимых СЗИ в правильных местах и тд. Объедините все хосты в один сегмент, поставьте роутер на границе вместо межсетевого экрана, разрешите пользователям самостоятельно устанавливать и удалять ПО, и одна точка входа в этот сегмент сети через VPN с УЗ без использования второго фактора. От мониторинга в таком случае толку будет немного, он просто захлебнется от потока инцидентов, да и ИТ просто перестанет реагировать
AL
NA
Поэтому я мониторю твиттер ))) и не только его )
12
Мониторинг твиттера это стандарт TI на западе))