Да, тут единственно вопрос - много ли мы с тобой (и другие коллеги) видели "отлаженных систем" :)

Я к тому, что для инфосека или для 8 центра и других цифроцентров - тут понятно, а для свечных магазинов-завод - смысла не так много, мне так кажется.

Поэтому они и сидят на техническом или тактическом уровне, кампании/APT не атрибутируя

Я вкину, но инхаус обычно а) ему пофиг на атрибуцию в 99% случаев и б) тот, кто может нормально атрибуцировать (а не только поверхностно, по сетевым иокам, к примеру и хэшам) - инхаус не работает по причине малой з/п (обычно) и отсутствия собственно работы (у инхауса 99% работы - скучная текучка). Они в Соларе - Бизоне - Позитиве - Каспере, там реальные интересные кейсы от разных заказчиков падают 😁

Ну это истории про незрелую инхаус сесурити :) я видел и иное

Правда, в основном западное :) но хочется же верить в светлое будущее

Да и чатик у нас тут интернациональный

Есть, но единицы ( вопрос экономики, стоит ли такого спеца держать, когда ему работы от силы 2 раза в год?

Мож проще купить гибрид, L3 аутсорс/аутстафф, L1 + L2 инхаус

И в РФ я разве что про Сбер так навскидку скажу

А мы не вопросы болей инхауса, который впервые задумался о построении безопасности обсуждаем, сорян :) и не вопросы экономики :) а применимость атрибуции для конкретного защищающегося в принципе

Конечно применимы. Если…
А вот в этих «если» и кроются ответы

​​📣 Изменения в приказ ФСБ России № 282

ФСБ России представила для общественного обсуждения проект ведомственного приказа «О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведённых в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённый приказом ФСБ России от 19 июня 2019 г. № 282».
Представленными проектными нормами предполагается установить, что:

📌 Разработанный план реагирования на КИ и принятия мер по ликвидации последствий КА подлежит утверждению руководством СКИИ.

📌 Копия утверждённого плана реагирования на КИ и принятия мер по ликвидации последствий КА должна быть направлена в НКЦКИ в течение 7 календарных дней.

📌 Проект плана реагирования на КИ и принятия мер по ликвидации последствий КА должен разрабатываться при методическом обеспечении НКЦКИ (сейчас «совместно с НКЦКИ»).

Согласовывать план реагирования и т.д. с ФСБ нужно только если планируется привлечение сотрудников ФСБ к реагированию на КА, эта часть 282 приказа осталась без изменений

Наверное это уровень зрелости. Технический TI часно реактивный и с малым временем жизни. Может быть на это был намёк. Эфир не смотрел,  выступать не звали, но посмотрю в записи после отпуска..

Скорее уровень вовлечённости ИТ в задачи обеспечения ИБ. Насколько ИТ готово делиться данными/ресурсами и поддерживать это все

Те кто у меня раньше работал,  дружно улыбнулись... и про атрибуцию и про интересные кейсы..

В ряду отечественных IRP прибыло - http://www.itsec.ru/articles/ispolzovanie-irp-v-kachestve-yadra-dlya-processa-upravleniya-incidentami-ib

Как по мне, сильно зависит от размера организации и ее профиля, если вы про инхаус