Коллеги, в двух предыдущих публикациях были рассмотрены стратегии 0-3 и 4-7 документа MITRE «11 стратегий SOC-центра мирового уровня». В сегодняшней публикации завершим рассмотрение данного документа финальным набором стратегий MITRE: Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC», Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией», Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC», Стратегия №11 «Повышайте эффективность путем расширения функционала SOC». Приступим!

Друзья, мы в Security Vision создали новую версию системы IRP/SOAR на платформе Security Vision 5 - Security Vision IRP/SOAR 2.0, в которой реализованы уникальные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Предлагаю вашему вниманию статью о концепции динамических плейбуков и о возможностях продукта Security Vision IRP/SOAR 2.0. Авторы - команда экспертов-разработчиков Security Vision.

Дорогие друзья, в предыдущей публикации мы рассмотрели первую часть стратегий, описанных в документе MITRE «11 стратегий SOC-центра мирового уровня». Двигаясь далее, разберем сегодня следующий набор рекомендаций MITRE: Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников», Стратегия №5 «Приоритизируйте реагирование на киберинциденты», Стратегия №6 «Используйте киберразведку для борьбы с атакующими», Стратегия №7 «Выбирайте и собирайте правильные данные». Начнем!

Дорогие друзья, этой статьей мы начинаем мини-цикл из нескольких постов, посвященных обзору публикации MITRE «11 стратегий SOC-центра мирового уровня». Данный документ является международно признанным сборником лучших практик по построению и управлению SOC-центрами, мониторингу и реагированию на кибератаки, обеспечению слаженной работы персонала, процессов и технологий SOC. В нем излагаются практические рекомендации на основе многолетнего опыта работы различных центров мониторинга и широкой экспертизы авторов публикации. В нашем сегодняшнем посте - обзор введения (условная «Стратегия №0») и первых трех стратегий из указанной публикации (Стратегия №1 «Знайте, что вы защищаете и почему», Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач», Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании»). Приступим!

В предыдущих публикациях мы сделали обзор самых интересных на наш взгляд специальных публикаций NIST по информационной безопасности. В данном посте мы рассмотрим два документа от NIST, которые посвящены выстраиванию процессов реагирования на инциденты ИБ: публикации NIST SP 800-61 "Computer Security Incident Handling Guide" («Руководство по обработке инцидентов компьютерной безопасности») и NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops" («Руководство по предотвращению и обработке инцидентов заражения ВПО на десктопах и лэптопах»). Приступим!

Друзья, предлагаю вашему вниманию статью о Security Vision Threat Intelligence Platform (TIP)— обновленном продукте нашей компании. Рассказываем в ней о продуктах класса TIP, а также о том, что представляет собой решение Security Vision TIP и какие возможности оно дает бизнесу. Хочу подчеркнуть, что статья – плод командной работы Security Vision. Постарались рассказать подробно и по делу.

В предыдущей публикации мы сделали обзор первой части специальных публикаций NIST по информационной безопасности, а в данном посте мы рассмотрим другие значимые и актуальные документы NIST. Напомним, что институт NIST (National Institute of Standards and Technology, Национальный Институт Стандартов и Технологии) публикует специальные публикации (Special Publications, SP) 800 серии, представляющие собой рекомендации, руководства, технические спецификации и ежегодные отчеты по вопросам информационной безопасности в рамках компетенций NIST, а также специальные публикации 1800 серии, содержащие практические советы и решения по кибербезопасности, наглядно демонстрирующие применение стандартов и лучших практик. Данные документы широко используются ИБ-специалистами во всем мире для выстраивания логически взаимосвязанных, прозрачных, измеримых процессов обеспечения кибербезопасности и управления киберрисками.

Авторитет института NIST (National Institute of Standards and Technology, Национальный Институт Стандартов и Технологии) в среде специалистов по информационной безопасности фактически непререкаем. На протяжении многих лет документы NIST (специальные публикации, рекомендации и стандарты) используются мировым сообществом кибербезопасности для выстраивания логически взаимосвязанных, прозрачных, измеримых процессов обеспечения информационной безопасности и управления киберрисками. Обзор самых интересных на наш взгляд публикаций NIST будет состоять из двух частей, эта – первая. Вперед!

Актуальные тренды информационной безопасности четко дают понять, что без автоматизации процессов управления ИБ и реагирования на киберинциденты противостоять атакующим будет очень непросто. Количество бизнес-процессов, ИТ-активов и уязвимостей, сложность тактик и инструментов хакеров, скорость распространения атак приводят к необходимости автоматизации ИБ-процессов, что позволяет упростить менеджмент кибербезопасности, снизить нагрузку на специалистов и минимизировать показатели MTTD (mean time to detect, среднее время обнаружения инцидента) и MTTR (mean time to respond, среднее время реагирования на инцидент). При этом экономический эффект применения систем автоматизации, таких как системы IRP (Incident Response Platform), SOAR (Security Orchestration, Automation and Response) и SGRC (Security Governance, Risk Management and Compliance), является не единственным драйвером их внедрения: в отечественной и международной нормативной базе есть рекомендации и требования, выполнить которые проще всего именно с использованием указанных систем. Анализу нормативных требований к IRP/SOAR и SGRC-системам и посвящен данный пост, состоящий из двух крупных частей: первая посвящена нормативному анализу применения IRP/SOAR, вторая часть – нормативному анализу применения SGRC. Начнем!

Скорость развития и изменения киберпространства в последние годы поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд. Эволюция современного киберпространства и ландшафта киберугроз обусловлена в том числе и развитием инструментов создания новых, более совершенных технологий, что, в свою очередь, влечет за собой дальнейшее ускорение создания уже следующих поколений технологий и инструментов. Широкое использование высокоуровневых и сверхвысокоуровневых языков программирования, мощных фреймворков и сред разработки, развитие облачных инфраструктур и технологий виртуализации и контейнеризации позволяет выпустить новое приложение или сервис в беспрецедентно короткие сроки. С такой же скоростью множатся и киберугрозы, поскольку злоумышленники используют те же высокоэффективные инструменты разработки, но в своих целях. Это выводит уровень киберпротиводействия на новую ступень: если раньше противостояние со злоумышленниками можно было описать как борьбу умов и настроенных средств защиты информации, то теперь это уже можно назвать полноценной «войной машин», в которой сражаются искусственные киберинтеллекты. В этой статье мы поговорим про актуальные тренды кибербезопасности в 2021 году: атаки на цепочки поставок и на третьих лиц (3rd parties), атаки на элементы «интернета вещей» и вопросы защиты облачных инфраструктур, безопасность персональных данных (в т.ч. биометрических), противодействие ransomware и криптомайнерам, применение искусственного интеллекта в ИБ. Поехали!

Коллеги, в предыдущей статье мы обсудили принципы эффективной работы с событиями аудита ОС Windows. Однако, для построения целостной системы управления ИБ важно не только своевременно реагировать на киберинциденты - необходимо прежде всего понимать, что именно мы защищаем. Для построения корректной модели угроз и нарушителя, выстраивания системы управления киберрисками, управления уязвимостями и для многих других процессов ИБ требуется фундаментальная основа - управление ИТ-активами. Четкое видение инфраструктуры, учет программного и аппаратного обеспечения, их взаимодействия и зависимостей будет ключом к построению грамотной системы киберзащиты. В настоящей технической статье мы расскажем, как провести инвентаризацию ИТ активов, при этом реализуя принцип наименьших привилегий, с использованием штатного функционала Windows: удаленного реестра, WMI и WinRM. Приступим!

Уважаемые друзья, в предыдущих публикациях мы говорили об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также провели анализ основных стандартов по управлению рисками информационной безопасности и обсудили системы класса IRP, предназначенные для автоматизации реагирования на инциденты ИБ. Как мы знаем, при обработке инцидентов детальный анализ событий безопасности с устройств является одним из ключевых этапов. В данной публикации мы рассмотрим настройку подсистемы аудита ОС Windows, принципы анализа и централизованного сбора журналов аудита с Windows-устройств и их пересылку в SIEM-систему IBM QRadar, а также покажем, как можно с помощью штатных средств Windows и утилиты Sysmon настроить простейшую систему реагирования на инциденты ИБ. Вперед!