А то сейчас уйдём в разговор про «какой отличный ciso из bdm иб-вендора» 😂😂😂

Но всем известно, что это не так

Орнул, спасибо)
В нашем неИзвестном чатике я про это писал в пятницу

Шалун

Алексей Викторович то? Известнейший!

всем привет! какой положительный или отрицательный опыт использования ханипотов был у вас? как встраивали в процессы сока?

А все остальные процессы уже выстроены?

идеала никогда не достичь)

Я к тому, что DDP эффективны тогда (насколько вообще можно говорить об их эффективности), когда у вас уже выстроены основные процессы мониторинга и реагирования и есть штат, который сможет не только выполнять эти базовые функции, но и разбрасывать хлебные крошки, что требует проработки стратегии, а также писать правила для их мониторинга и потом отслеживать. А еще и выстроить процесс реагирования на доступ к этим хлебным крошкам (ничего не делать или заманить поглубже, отрубить доступ сразу или собирать доказательства, ну и т.п.). То есть задача сродни борьбе с утечками (не путать с установкой DLP).

👍🏼 что процесс дал, по вашему опыту?

Из полутора десятка проектов, в которых я участвовал, обманки не проектировались нигде - заказчики были к ним не готовы. По опыту коллег из американского подразделения, обманки редко применяются в SOC коммерческих компаний, так как там либо не хватает народа, либо процессы зрелы настолько, что обманка не дает ничего качественно нового. В американских госах или околовоенки бывает применяют для обнаружения интереса к той или иной информации или подразделению. Но эту задачу можно решить и просто мониторингом. Так что особого value лично я в этой технологии не вижу и при наличии бюджета, потратил бы его на что-то более очевидное и понятное

например?

Господи, как же хорошо хоть где-то услышать "вам это нахрен не нужно", а то заказчик обычно "ууууу, давайте скорее всё внедриииим - и декои, и фиды, и PTH детектить, и ещё понакупим всяких чудесных СЗИ, которых нам впарили".
А кто всем этим заниматься будет и когда, и вообще как у нас с базовыми штуками - нуууу, это неважно. Вы там эт давайте как-нибудь, а новые технологии вам помогут. Помогут, как же.

Просто у Cisco нет ханипотов. )) А я, например, думаю про Thinkst Canary.

и квадрат гартнера обязательно

Так зависит. Например, на расширение coverage для мониторинга, на автоматизацию playbook, на расширение корреляции контекстом и выстраивание rule chain, а не простых правил, на обучение аналитиков, на red team, на нормальную отчетность, на TH, интеграция с ITSM, снижение числа фолсов, приоритизация юзкейсов и т.п.

Наше подразделение по SOCам вообще не привязано к нашим продуктам 😊 Мы даже на MaxPatrol, спаси Господи, проектировали SOCи 😊

Если проектировали то уже не спасёт, нет дороги назад

Ну тоже опыт

:)