А вы до сих пор блокируете?

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()
Интересную модель определения зрелости ИБ услышал на SANS курсах.
Возьмите листик и ручку. Сделайте два столбца: Превентивные меры, Детективные меры. И запишите в них все имеющиеся у вас контроли / инструменты ИБ.
Если превентивных контролей у вас >80%  - поздравляю, ваш уровень 0.


В далеком 2003 Гартнер предрёк гибель IDS в пользу IPS.
Спустя 14 лет роль IDS почти невозможно преуменьшить. Сейчас это, пожалуй, основной потребитель услуг Threat Intelligence и поставщик индикаторов компрометации (IoC). Скажи мне, как у тебя настроена IDS, и я скажу кто твоя служба ИБ.

Конечно, IDS должна стоять в разрыв и блокировать 100% вредоносную активность, но количество правил Prevention и Detection обычно отличается на порядок. Правильно настроенная IPS (я вот больше предпочитаю термин IDS, установленная в разрыв) это в гораздо большей степени уши, чем рубильник.

У IDS есть только один (серьезный) недостаток - нужны мозги чтобы понимать как она работает и что показывает, и руки чтобы отладить реакцию на каждый звоночек.

Фокус на обнаружение так же сильно удлинит цепочку расследований инцидентов, потому что "вирус удален" и "атака блокирована" больше перестанет быть результатом расследования. А куда нам нужно смотреть чтобы в следующий раз поймать нарушителя на ступеньку раньше?
Переход к детектированию угроз повлечет за собой увеличение штата ИБ. Зато появится такая классная штука, как Threat Hunting: активный поиск нарушителя в вашей сети. Теперь вы не будете ждать, пока злоумышленник нарвется на мину. Вы будете выдумывать его шаги и ловить его за хвост. Это инетерсно и весело. Наш мозг вообще очень любит охоту и благодарит за нее солидной порцией эндорфинов.

Огромный простор для творчества открывает sysmon, Yara + ELK / Splunk, Microsoft ATA. Это, пожалуй, именно та область, куда стоит расти.

Оцените материал:
Total votes: 78
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.