Если есть ИТ-инцидент, значит есть влияние. Если нет, значит ИТ пофиг и безопасности можно не париться

Чувствуется рука мастера 😂👏

На самом деле, это далеко не всегда очевидный момент, и влияние часто не может быть обнаружено in vivo, а только постфактум

На самом деле, к тому что написал Кирилл, я бы ещё добавил категоризацию активов для определения этой самой бизнес-критичности, для того чтобы правильно управлять уровнями инцидентов

Конечно, поэтому нужно завязывать категоризацию инцидентов КБ в том числе и ИТ инциденты. Ну, и пост-анализ никто не отменял.
По ИТ-инцидентам тоже потом разбор полетов

Да!

Т.е. не только кинетическая реакция на инцидент после пинка от руководства, но и расчёт потенциальной (ну или накопительной) энергии мелких инцидентов

Тут нужно разделять. Если у многих мелких инцидентов причина одна, то делаем корневой, повышаем его критичность (согласно заранее разработанных критериев), и привязываем мелкие к корневому.
А вот если причины разные, то объединять не стоит.

Если есть простои бизнеса, то конечно же потом все агрегируется и считается за какой-то период. Но тут интересно совокупное влияние на бизнес

Вот собственно с точки зрения техники это было бы интересно. Про опыт может)

Ну причина же может быть не только технического характера. Может быть недостаток процесса, неумышленные или зловредные действия людей и т.д.

всем привет, посоветуйте оптимальную методологию проведения спринтов по разбору инцидентов (смотрю в сторону scrum, но не совсем)

мне тоже расскажите пожалуйста какие там спринты для IR есть

IR Scrum-mater нннаада?

Может только если приравнять инциденты к багам ... ну и дальше по флоу разработки )))
Хотя конечно странный подход

если под разбором понимать этапы lessons learned -> preparation, то скрам вполне норм и кое-где так и работает)

хм, действительно.

Всем привет!

Positive Technologies открывает стажировку в ряд команд Blue Team!
Задачи есть разные: начиная от написания YARA правил и анализа вредоносного ПО до расследования инцидентов, а также автоматизация различных задач мониторинга ИБ.
Занятость от 20 до 40 часов в неделю.
Есть возможность пройти стажировку удаленно.

Требования:
* Базовое понимание архитектуры ОС Windows
* Представление, как работает вредоносное ПО
* Знакомство с YARA/Sigma правилами


Резюме с пометкой "Стажировка в Blue Team" присылайте на amansurova@ptsecurity.com

Хорошего дня)

Вот во мне сейчас граммар наци прям разбушевался :)

Думаю, что по каждому направлению лучше указать минимальные необходимые требования к кандидатам на стажировку, т к для ребят, которым интересна такая стажировка, это может быть неочевидно.

и не очевидно что для пенсионеров оно не подходит)))