Как стать автором
Обновить
9
Карма
0
Рейтинг

Пользователь

Технические средства мониторинга ИБ

Всё в целом так, как вы говорите. Но как минимум в русскоязычном сегменте не многие так глубоко погружаются. Тот же NIST — очень хороший стандарт, на хабре даже есть на него обзоры. Только лучше всё же читать весь цикл:
image
А это уже несколько тысяч страниц хотя бы по диагонали.
Эта статья прежде всего ликбез для тех, для кого тема не является основной. Краткая шпаргалка, которой можно поделиться или использовать самому, если нужно быстрое и общее понимание. Та же тема КИИ сейчас активно развивается. Хочется, чтобы организации не только получали подтверждение соответствия «на бумаге», но и за почти те же деньги имели реальные результаты уже сейчас. Тут все в плюсе будут.

Технические средства мониторинга ИБ

Статья обзорная, она не ставит перед собой цель уйти глубоко в детали. Её задача — выработать общий понятийный аппарат с теми, для кого направление мониторинга не основное, а одно из многих. Для непрофильных компаний это частая история. Всё, что выглядит как технические детали призвано иллюстрировать необходимость, а не создать законченное видение автора, и уж тем более не заменить необходимость разработки проектной документации. Любое из направлений, обозначенных в статье, можно расписать на книгу или несколько и это будет не истина в последний инстанции, так как здесь пересекается множество плоскостей — техническая, организационная, экономическая и пр.

Далее кратко по пунктам:
ELK для LM — такое себе решение.

Может быть, но это не останавливает производителей от его использования. Я знаю минимум 4 отечественных SIEM на нём. Зарубежные появились раньше ELK, поэтому у них почти всегда самописные базы, они не показатель. Это не мешает производителю самого ELK строить SIEM на нём, исходя из запросов заказчиков. Попутно дорабатывая кросс-кластерный поиск и агрегацию, что прослеживается по последним релизам. А дальше сравнение, плюсы и минусы можно на отдельную статью или цикл расписать. Я бы такую с удовольствием прочитал.
А гипотезы генерировать специалисты будут, видимо, из головы, и никаких знаний о том, какие TTP, кто и против кого применяет, нам не нужно.

Использование LM как основного и почти единственного инструмента для TH это не моя оригинальная мысль, достаточно посмотреть эфиры некоторых русскоязычных ресурсов на эту тему за последний месяц. И основные источники гипотез для начинающих в этом направлений свой путь тоже очень простые и не требуют технических средств — модели ИБ (тот же ATT&CK), бюллетени уязвимостей, да даже новостные рассылки, тот же Exchange несколько недель назад упомянули все, даже не отраслевые СМИ и новостные каналы.
Дальше можно бесконечно погружаться в TI тактический и стратегический, проверку статистики от специализированных (UEBA, NBA) и систем общего профиля, систему обратной связи от сотрудников и прочего. Но это не база, а потому не предмет данной статьи.
Откуда такая интересная и странная метрика? И такая однозначная? А если у заказчика инфраструктура на 8 часовых поясов и на 20к+ источников данных, не считая сетевого оборудования?

Метрика из практики MSSP, подтвержденная и теорией из книг типа «Ten Strategies of a World-Class Cybersecurity Operations Center». Это метрика на аналитика, сколько кейсов он сможет реально расследовать, а не засунуть за 2 минуты в категорию ЛПС\ЛОС. Сколько нужно таких аналитиков параллельно — это другой вопрос и может решаться очень по разному.
Куда-то пропала организационная часть

Отсечена заголовком статьи. При этом безусловно, тема важная, даже более, чем техническая.
Странная нумерация. IPDS — в самом конце? Серьезно?

После пункта 2 система нумерация чисто условная, о чем в статье написано. По сути пункт про IPS открывает тему трафика в мониторинге в рамках данной статьи и тут рассматривается не как самостоятельное решение, как и когда внедрять которое — отдельный вопрос.
Вопрос масштабирования

Статья не погружается в технические детали. Их десятки по каждому классу систем и каждому производителю.
И самое главное, о чем не любят говорить — обоснование таких масштабных задач и, собственно, та ценность, которую SOC создает своему заказчику, не важно, внутреннему или внешнему. Про это вообще ни слова.
Оценка рисков, часть из которых риски ИБ, часть из которых решаются методом минимизации, часть из которых за счёт мониторинга — отдельная область знаний. В статью не вместилась.
Смешанные чувства оставила статья. Тема интересная, но раскрыта однобоко и странно.

Однобоко — так и планировалось, иначе можно писать минимум книгу. Странно — на усмотрение читателя. Учту как заявку на расширение тематики в будущих публикациях, если кто то не успеет осветить смежные вопросы раньше и лучше меня. Я за то, чтобы появилась статья «Все вопросы мониторинга ИБ на 10 страницах» или хотя бы «Мониторинг ИБ от А до Я». Но пока десятки книг от разных авторов никто не смог скомпоновать.

Анализ инцидентов в компьютерных системах и сетях

Не очень понял, как заголовок увязан с содержимым. Кроме того, для сравнения систем такого класса как DLP ну маловато пунктов…

Проблемы в системе журналирования событий безопасности ОС Windows

С этим согласен, однако параметры из GPO не хранятся в указанном ключе реестра, вывод auditpol из примера 1 на доменной машине состоянием по-умолчанию после ввода в домен по крайней мере у меня отличается и т.д.

В любом случае, всего не опишешь, куда копать — из статьи понятно, так что статья — хороший инструмент для погружения в тематику.

Проблемы в системе журналирования событий безопасности ОС Windows

Спасибо за статью! Было бы ещё интереснее, если бы в качестве примеров были рассмотрены машины в домене и с GPO, а не с локальными политиками. Все-таки, если строим систему безопасности, централизованное управление политиками — один из первых шагов.

Майнеры, сливщики и Cobalt: как мы обеспечиваем заказчикам безопасный доступ в Интернет

Насколько мне известно, ни одна ueba\uba система не обладает предсказывающими алгоритмами. Хотя как бы они могли работать — вообще загадка, разве что экстраполировать текущий тренд в будущее с большей или меньшей точностью.

Таким образом, они точно также базируют свой анализ на уже случившихся, собранных сборщиком и обработанных системой событиях. Никакой дополнительной магии они в описанный в статье процесс не принесут, разве что упростят процесс threat hunting-а.

Информация

В рейтинге
5,762-й
Зарегистрирован
Активность