Z
не про риски
Size: a a a
2021 November 02
Z
все по своему в итоге привязывают?
AL
То, что я видел у разных компаний, да. Кто-то к объему утекших записей привязывает, кто-то в зависимости от публикаций в СМИ, кто-то от времени простоя и т.п. Сильно зависит от инцидента и компании. Поэтому мало кто заморачивается поиском универсальной формулы расчета и делает удобную именно для себя градацию приоритетов и правил эскалации
Z
понял, спасибо
BB
Формула выглядит хорошей, но у меня в компании ее юристка разнесла 😁🤣
AP
Юристка занимается оценкой рисков? 😳
BB
И не только 🤷🏼
IM
Когда судья (юрист) судит хакера (оценивает риск его нахождения в обществе) тут претензий нет?)
AL
Помимо привязки к ущербу (как у CREST - https://www.crest-approved.org/wp-content/uploads/2014/11/CSIR-Procurement-Guide.pdf, но с раскрытием описательных прилагательных "серьезный", "большой", "ключевой" в конкретные градации), есть еще более приземленный вариант (мне не нравится), когда ты приоритет привязываешь не к ущербу (если считать заморочно), а к самому инциденту и его стадии kill chain (как у AT&T - https://cybersecurity.att.com/resource-center/ebook/insider-guide-to-incident-response/types-of-security-incidents). Но повторюсь, у большинства это процесс больше творческий, чем формализованный (за редким исключением)
AL
Судья с формулой не спорит, а только меняет значения ее переменных, что влияет на итоговое значение срока|штрафа 😊
Z
а почему не нравится?
AL
А мне все не нравится, что к бизнесу не пытаются подтягивать 😊 ИБ ради ИБ
Z
а если привязываться еще и к активу? например к значимости группы где он находится, уязвимостям которые на нем есть и т.п.?
AL
К значимости актива - это уже ближе к бизнесу. Это гуд
AL
К уязвимостям не уверен - слишком динамичная картина получится в части приоритизации. Сегодня у тебя приоритет уязвимости 5, завтра окажется, что есть POC и приоритет поднялся до 7, послезавтра мы узнаем, что дырку еще и in-the-wild используют и приоритет уже 9. А все это на приоритет инцидента будет влиять. Тут автоматизация нужна нехилая, чтобы это все поддерживать и пересчитывать и процессы под это в автомате перезапускать
BB
А как ты значимость актива покажешь? По каким критериям?
Давай DC хотя бы оценим
Давай DC хотя бы оценим
Z
очень вульгарно оценивать буду, что будет с бизнесом если актив будет скомпрометирован
Z
я сам не знаю, я думаю об этом) потому и спрашиваю
RI
Ну ок, сейлы вели базу клиентов и сделок в гуглдокс, базу нашли и увели. Как посчитать в этом случае - какие переменные?
Z
😂сцук, пришел за ответами и ушел с большими вопросами