Mastodon on ZHub

0 posts0 participants0 posts today

HabrSOAR на практике: автоматизация ИБ, интеграция и нестандартные сценарииКаждое внедрение SOAR в новой компании обнаруживает уникальные особенности и узкие места, связанные с неочевидными нюансами инфраструктуры и бизнес-процессов. Одной из частых проблем является отсутствие у заказчика выстроенных процессов реагирования на инциденты ИБ и большое количество активов в инфраструктуре. Также на текущий момент не у всех компаний сформировано понимание, что SOAR — это не просто отдельный инструмент, а способ объединить все решения в области ИБ и ИТ в единую экосистему, тем самым получая целиком ландшафт инфраструктуры компании для управления, расследования и предотвращения кибератак. Поэтому не все осознают, что для этого требуется корректная подготовка данных, чёткая координация между смежными отделами и грамотное распределение ролей при реагировании на киберинциденты.<a href="https://habr.com/ru/companies/ussc/articles/901652/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/ussc/articles/901652/</a><a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#информационная_безопасность</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85" class="mention hashtag" rel="tag">#интеграция_данных</a> <a href="https://zhub.link/tags/%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D0%BE%D0%B2" class="mention hashtag" rel="tag">#автоматизация_процессов</a> <a href="https://zhub.link/tags/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D0%B0%D0%BC%D0%B8" class="mention hashtag" rel="tag">#управление_инцидентами</a> <a href="https://zhub.link/tags/%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA%D0%B8" class="mention hashtag" rel="tag">#кибератаки</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D1%8B_%D0%B8%D0%B1" class="mention hashtag" rel="tag">#инциденты_иб</a> <a href="https://zhub.link/tags/%D1%80%D0%B5%D0%B0%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BD%D0%B0_%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D1%8B" class="mention hashtag" rel="tag">#реагирование_на_инциденты</a> <a href="https://zhub.link/tags/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B" class="mention hashtag" rel="tag">#настройка_системы</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85" class="mention hashtag" rel="tag">#анализ_данных</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a>

HabrАвтоматизировать, нельзя анализировать: интеграция SOAR Shuffle в SOC ч. 1Привет, Хабр! Работая в современном коммерческом SOC'е я впервые столкнулся с масштабными средствами автоматизации, заточенными под самые разные инфраструктуры, которые позволяют экономить колоссальное количество времени и предотвращать тысячи киберинцидентов каждый день. Пообщавшись с коллегами по цеху из других SOC'ов, пришел к выводу, что львиную долю из них эксплуатируют достаточно дорогие и сложные в настройки SOAR решения, а часть из них вовсе не могут себе позволить этого и занимаются некоторыми рутинными процессами вручную или не занимаются вовсе. В первой части статьи я бы хотел обсудить, что такое SOAR системы и зачем они используются в SOC'ах. Помимо этого, познакомится с молодым и перспективным Open Source решением под названием Shuffle .<a href="https://habr.com/ru/articles/900584/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/900584/</a><a href="https://zhub.link/tags/SOAR" class="mention hashtag" rel="tag">#SOAR</a> <a href="https://zhub.link/tags/%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_soar" class="mention hashtag" rel="tag">#автоматизация_с_помощью_soar</a> <a href="https://zhub.link/tags/open_source_soar" class="mention hashtag" rel="tag">#open_source_soar</a> <a href="https://zhub.link/tags/shuffle" class="mention hashtag" rel="tag">#shuffle</a> <a href="https://zhub.link/tags/shuffle_soar" class="mention hashtag" rel="tag">#shuffle_soar</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F_soar" class="mention hashtag" rel="tag">#интеграция_soar</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F_soar_%D0%B2_soc" class="mention hashtag" rel="tag">#интеграция_soar_в_soc</a>

HabrЧто произошло в 2022 году и как будет развиваться рынок информационной безопасности в 2025 годуРассказываем о том, какие компании стали лидерами в отдельных сегментах рынка ИБ и какие тренды определяют их развитие.<a href="https://habr.com/ru/articles/887752/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/887752/</a><a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#информационная_безопасность</a> <a href="https://zhub.link/tags/%D0%B8%D0%BC%D0%BF%D0%BE%D1%80%D1%82%D0%BE%D0%B7%D0%B0%D0%BC%D0%B5%D1%89%D0%B5%D0%BD%D0%B8%D0%B5" class="mention hashtag" rel="tag">#импортозамещение</a> <a href="https://zhub.link/tags/%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B8%D1%82" class="mention hashtag" rel="tag">#решения_ит</a> <a href="https://zhub.link/tags/appsec" class="mention hashtag" rel="tag">#appsec</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/ngfw" class="mention hashtag" rel="tag">#ngfw</a> <a href="https://zhub.link/tags/data_security" class="mention hashtag" rel="tag">#data_security</a> <a href="https://zhub.link/tags/mfa" class="mention hashtag" rel="tag">#mfa</a> <a href="https://zhub.link/tags/identity_and_access_management" class="mention hashtag" rel="tag">#identity_and_access_management</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0" class="mention hashtag" rel="tag">#антивирусная_защита</a>

HabrАвтоматизация взаимодействия с регулятором: как мы интегрировали SOAR и АСОИ ФинЦЕРТПривет, Хабр! Меня зовут Елена Петренко, я бизнес-аналитик по информационной безопасности в компании R-Vision. Сегодня хочу поделиться историей о том, как мы разработали интеграцию между SOAR-системой и АСОИ ФинЦЕРТ для автоматизации взаимодействия с регулятором. Вы узнаете, какие задачи она решает и какие технологии лежат в её основе.<a href="https://habr.com/ru/companies/rvision/articles/879764/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/rvision/articles/879764/</a><a href="https://zhub.link/tags/%D1%84%D0%B8%D0%BD%D1%86%D0%B5%D1%80%D1%82" class="mention hashtag" rel="tag">#финцерт</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D1%85_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC" class="mention hashtag" rel="tag">#интеграция_информационных_систем</a>

HabrНа шаг впереди: как Threat Intelligence раскрывает возможности SIEM, IRP и SOARВ условиях постоянно растущих киберугроз и увеличивающегося объема данных, компании сталкиваются с необходимостью эффективного управления инцидентами безопасности. Для решения этой проблемы используются инструменты по типу SIEM , SOAR и IRP , а в крупных компаниях, как правило, используют сразу комплекс систем от разных вендоров, формируя эшелонированную защиту от сложных угроз информационной безопасности. Эти решения играют важную роль в построении стратегии киберзащиты компании, эксперты даже скажут, что это те решения безопасности, без которых компании не смогут выжить. Но если разбираться глубже, становится очевидно, что камнем преткновения всех этих систем становится некачественное обогащение, дефицит и замкнутость источников данных (Фиды данных/Feeds), которыми оперируют системы для выявления и реагирования на угрозы внутри периметра организации.<a href="https://habr.com/ru/companies/f_a_c_c_t/articles/858176/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/f_a_c_c_t/articles/858176/</a><a href="https://zhub.link/tags/SIEM" class="mention hashtag" rel="tag">#SIEM</a> <a href="https://zhub.link/tags/SOAR" class="mention hashtag" rel="tag">#SOAR</a> <a href="https://zhub.link/tags/IRP" class="mention hashtag" rel="tag">#IRP</a> <a href="https://zhub.link/tags/threat_intelligence" class="mention hashtag" rel="tag">#threat_intelligence</a> <a href="https://zhub.link/tags/%D0%BA%D0%B8%D0%B1%D0%B1%D0%B5%D1%80%D1%80%D0%B0%D0%B7%D0%B2%D0%B5%D0%B4%D0%BA%D0%B0" class="mention hashtag" rel="tag">#кибберразведка</a> <a href="https://zhub.link/tags/%D1%84%D0%B8%D0%B4%D1%8B" class="mention hashtag" rel="tag">#фиды</a> <a href="https://zhub.link/tags/%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D1%83%D0%B3%D1%80%D0%BE%D0%B7%D1%8B" class="mention hashtag" rel="tag">#киберугрозы</a>

HabrИстория создания ASoar: от идеи до реализации системы кибербезопасностиЯ описал свой путь в предыдущей статье <a href="https://habr.com/ru/articles/813239/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/813239/</a> , но если коротко, то моя карьера в сфере информационной безопасности началась, как и у многих, с работы в ИТ-инфраструктуре. Поначалу моя компания занималась тем, что поддерживала стабильность сетей и систем для различных компаний, и регулярно сталкиваясь с типичными проблемами, связанными с кибератаками. Однажды в компании, где штат ИБ был минимален, мы внедрили SIEM — решение, которое, как считалось, должно было кардинально улучшить безопасность. Однако это был дорогостоящий и трудоёмкий процесс. SIEM не только не оправдал ожиданий, но и породил кучу инцидентов, большинство из которых не представляли реальной угрозы. Специалисты тратили время на анализ множества событий, которые, по сути, были незначительными. С каждым новым ложным срабатыванием доверие к системе падало. В конце концов, люди просто начали игнорировать предупреждения, считая, что система безопасна, хотя это было далеко не так. Так я сформулировал ключевую проблему SIEM: В обычных организациях, где число специалистов по ИБ ограничено, использование SIEM часто не приводит к ожидаемым результатам. И именно это открыло мне глаза на необходимость поиска нового подхода. Я начал думать о том, как можно было бы автоматизировать процессы безопасности, не нагружая команду ложными тревогами и сложными настройками.<a href="https://habr.com/ru/articles/846600/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/846600/</a><a href="https://zhub.link/tags/ASoar" class="mention hashtag" rel="tag">#ASoar</a> <a href="https://zhub.link/tags/TDR" class="mention hashtag" rel="tag">#TDR</a> <a href="https://zhub.link/tags/SOAR" class="mention hashtag" rel="tag">#SOAR</a> <a href="https://zhub.link/tags/NDR" class="mention hashtag" rel="tag">#NDR</a> <a href="https://zhub.link/tags/SIEM" class="mention hashtag" rel="tag">#SIEM</a> <a href="https://zhub.link/tags/SOC" class="mention hashtag" rel="tag">#SOC</a> <a href="https://zhub.link/tags/%D0%BE%D0%BF%D1%8B%D1%82" class="mention hashtag" rel="tag">#опыт</a> <a href="https://zhub.link/tags/%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F_%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D1%8F" class="mention hashtag" rel="tag">#история_создания</a> <a href="https://zhub.link/tags/%D0%BE%D1%82%D0%B5%D1%87%D0%B5%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D0%BE" class="mention hashtag" rel="tag">#отечественное_по</a> <a href="https://zhub.link/tags/ueba" class="mention hashtag" rel="tag">#ueba</a>

HabrАвтоматизация безопасности: Когда использовать SOAR?Специалисты по информационной безопасности ежедневно сталкиваются с огромным потоком инцидентов. Логи заполняются, а алерты выстреливают один за другим. Задача — не просто отреагировать на все это в ручном режиме, но и сделать это максимально быстро. Вот тут и появляется SOAR — инструмент, который обещает автоматизировать часть процессов и избавить специалистов от рутины. Но когда действительно стоит внедрять SOAR, а когда можно справиться силами команды?<a href="https://habr.com/ru/articles/842858/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/842858/</a><a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/soc" class="mention hashtag" rel="tag">#soc</a> <a href="https://zhub.link/tags/%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8" class="mention hashtag" rel="tag">#автоматизация_безопасности</a> <a href="https://zhub.link/tags/blue_team" class="mention hashtag" rel="tag">#blue_team</a>

HabrSOAR и PTaS пришел конец? Обзор SecOps прогноза Gartner 2024Хабр, насколько вы верите в гадания и судьбу? А может кармические циклы жизни? Попытка предугадать будущее всегда тешила и успокаивала душу человека. Так вот сфера инфобеза не стала исключением, однако, вместо карт таро и кофейной гущи специалисты каждый год собирают и анализируют изменения в технологиях, стратегиях и новшествах ИБ. Такая аналитика важна сотруднику любого ранга. Руководители могут оценить ландшафт технологий, методик и внести изменения в стратегию, стек технологий, а может и пересмотреть их полностью. Специалисты увидят для себя какие средства защиты информации будут актуальны, а направления в ИБ приоритетны. В данном материале постараемся разобраться насколько прогноз адекватен и соответствует действительности.<a href="https://habr.com/ru/companies/serverspace/articles/835338/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/serverspace/articles/835338/</a><a href="https://zhub.link/tags/SOAR" class="mention hashtag" rel="tag">#SOAR</a> <a href="https://zhub.link/tags/gartner" class="mention hashtag" rel="tag">#gartner</a> <a href="https://zhub.link/tags/gartner_hype_cycle" class="mention hashtag" rel="tag">#gartner_hype_cycle</a> <a href="https://zhub.link/tags/gartner_magic_quadrant" class="mention hashtag" rel="tag">#gartner_magic_quadrant</a> <a href="https://zhub.link/tags/%D0%B8%D0%B1" class="mention hashtag" rel="tag">#иб</a> <a href="https://zhub.link/tags/secops" class="mention hashtag" rel="tag">#secops</a> <a href="https://zhub.link/tags/pentest" class="mention hashtag" rel="tag">#pentest</a> <a href="https://zhub.link/tags/orchestration" class="mention hashtag" rel="tag">#orchestration</a> <a href="https://zhub.link/tags/automatization" class="mention hashtag" rel="tag">#automatization</a> <a href="https://zhub.link/tags/siem" class="mention hashtag" rel="tag">#siem</a> <a href="https://zhub.link/tags/edr" class="mention hashtag" rel="tag">#edr</a> <a href="https://zhub.link/tags/ids" class="mention hashtag" rel="tag">#ids</a>/ips

HabrКак я внедрял SOAR: в чем разница In-house- и Outsourced-подходовМне повезло получить опыт работы с SOAR с совершенно разных сторон: быть и на стороне Заказчика, который только внедряет SOAR и учится использовать его в ежедневных задачах, и на стороне компании-интегратора с богатым опытом внедрения решений автоматизации ИБ. Расскажу о преодолении трудностей, с которыми мне пришлось столкнуться, о поиске уникальных решений для успешной интеграции SOAR, а также о том, как эти испытания преобразили мое видение и подход к работе. Побывав в каждой из двух ролей, я на практике убедился в том, насколько важна адаптация подходов внедрения SOAR к уникальным требованиям каждой организации и как полезен обмен опытом реализации разных проектов. Хочу поделиться не только личным опытом, но и дать практические рекомендации специалистам, которые стоят на пороге внедрения SOAR в своих организациях. Надеюсь, что эта статья поможет избежать типичных ошибок и усилить эффективность внедрения новых решений.<a href="https://habr.com/ru/companies/ussc/articles/833348/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/ussc/articles/833348/</a><a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F" class="mention hashtag" rel="tag">#автоматизация</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#информационная_безопасность</a> <a href="https://zhub.link/tags/siem" class="mention hashtag" rel="tag">#siem</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F" class="mention hashtag" rel="tag">#интеграция</a> <a href="https://zhub.link/tags/outsourced_services" class="mention hashtag" rel="tag">#outsourced_services</a> <a href="https://zhub.link/tags/inhouse_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B8" class="mention hashtag" rel="tag">#inhouse_разработки</a>

HabrTurbo ML Conf 2024 — по следамВ формате разбора содержания докладов я, автор канала @borismlsec, приведу три интереснейших из тех, что мне довелось посетить на конференции Turbo ML 2024. Они привлекли меня не только как дата саентиста, но и как сотрудника вендора решений по кибербезопасности. И по каждому докладу в конце я расскажу, почему.<a href="https://habr.com/ru/articles/832072/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/832072/</a><a href="https://zhub.link/tags/ml" class="mention hashtag" rel="tag">#ml</a> <a href="https://zhub.link/tags/nlp" class="mention hashtag" rel="tag">#nlp</a> <a href="https://zhub.link/tags/recsys" class="mention hashtag" rel="tag">#recsys</a> <a href="https://zhub.link/tags/llm" class="mention hashtag" rel="tag">#llm</a> <a href="https://zhub.link/tags/cybersecurity" class="mention hashtag" rel="tag">#cybersecurity</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/ueba" class="mention hashtag" rel="tag">#ueba</a>

HabrМетрики качества динамических плейбуковПри создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности. Критерии формулируются на основе основных параметров инцидента, которые должны быть учтены в работе над его расследованием, реагированием и постинцидентной активности. При этом важно учитывать тот факт, что работа над инцидентом – гораздо шире, чем стандартный анализ и реакт на скоррелированные события ИБ. Работа над инцидентом – это:<a href="https://habr.com/ru/companies/securityvison/articles/831182/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/securityvison/articles/831182/</a><a href="https://zhub.link/tags/playbook" class="mention hashtag" rel="tag">#playbook</a> <a href="https://zhub.link/tags/next_generation_security" class="mention hashtag" rel="tag">#next_generation_security</a> <a href="https://zhub.link/tags/threat_hunting" class="mention hashtag" rel="tag">#threat_hunting</a> <a href="https://zhub.link/tags/soc" class="mention hashtag" rel="tag">#soc</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/%D0%B4%D0%B8%D0%BD%D0%B0%D0%BC%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D0%BF%D0%BB%D0%B5%D0%B9%D0%B1%D1%83%D0%BA%D0%B8" class="mention hashtag" rel="tag">#динамические_плейбуки</a> <a href="https://zhub.link/tags/kill_chain" class="mention hashtag" rel="tag">#kill_chain</a>

HabrПуть в ИБ глазами управленцаЗдравствуйте! Я Александр Шульман, руководитель компании Active в которой мы уже несколько лет занимаемся амбициозным проектом — пишем продукт для обеспечения кибербезопасности и достигли первых результатов: полгода назад мы получили аккредитацию от Минцифры, попали в реестр отечественного софта и у нас открылись продажи. Я хочу поделиться своим опытом и представлениями о рынке кибербезопасности с вами с позиции управленца, а не от лица специалиста ИБ, хочу рассказать о своих разочарованиях, открытиях и о том, как в итоге у нас в команде родилась идея сделать свой вклад в рынок ИБ. Мне кажется, что это многим будет интересно, т.к. рынок ИТ активно движется в сторону информационной безопасности по причинам регуляции и по причине роста реальных угроз, а значит, все больше менеджеров и управленцев столкнется с вызовами по кибербезопасности. Отказ от ответственности<a href="https://habr.com/ru/articles/813239/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/813239/</a><a href="https://zhub.link/tags/SOAR" class="mention hashtag" rel="tag">#SOAR</a> <a href="https://zhub.link/tags/SIEM" class="mention hashtag" rel="tag">#SIEM</a> <a href="https://zhub.link/tags/SOC" class="mention hashtag" rel="tag">#SOC</a> <a href="https://zhub.link/tags/QRadar" class="mention hashtag" rel="tag">#QRadar</a> <a href="https://zhub.link/tags/%D0%BE%D0%BF%D1%8B%D1%82" class="mention hashtag" rel="tag">#опыт</a>

HabrДинамические плейбукиМы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который постоянно меняется: добавляются новый устройства, сегменты сети, меняются политики работы ноутбука важного босса, добавляются СЗИ. По этой причине в организациях с развитым уровнем ИБ регулярно проводятся аудит и инвентаризация, которые помогают актуализировать информационную модель предприятия, но меняются ли по результатам инвенторки плейбуки? Следующий аспект, влияющий на эффективность защиты – переменчивость внешнего окружения. В текущих реалиях техники реализации атак эволюционируют, усложняются, затрагивают новые типы данных инфраструктуры, используют новые механизмы и способы посткомпрометации (например, программы-вымогатели ransomeware теперь не только шифруют данные организации и требуют оплату за восстановление доступа, но могут также воровать информацию организации, требуя дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности). В силу постоянно меняющегося ландшафта угроз и способов их реализации наши плейбуки тоже должны изменяться, чтобы не устаревать на фоне меняющегося поведения злоумышленников. Для решения первой задачи (изменчивости инфраструктуры) был разработан подход, который в зарубежном сообществе трактуется как CD/CR, или непрерывность обнаружения и реагирования.<a href="https://habr.com/ru/companies/securityvison/articles/796571/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/securityvison/articles/796571/</a><a href="https://zhub.link/tags/playbooks" class="mention hashtag" rel="tag">#playbooks</a> <a href="https://zhub.link/tags/next_generation_security" class="mention hashtag" rel="tag">#next_generation_security</a> <a href="https://zhub.link/tags/threat_hunting" class="mention hashtag" rel="tag">#threat_hunting</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/CD" class="mention hashtag" rel="tag">#CD</a>/CR <a href="https://zhub.link/tags/%D0%B4%D0%B8%D0%BD%D0%B0%D0%BC%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D0%BF%D0%BB%D0%B5%D0%B9%D0%B1%D1%83%D0%BA%D0%B8" class="mention hashtag" rel="tag">#динамические_плейбуки</a> <a href="https://zhub.link/tags/kill_chain" class="mention hashtag" rel="tag">#kill_chain</a> <a href="https://zhub.link/tags/%D1%86%D0%B5%D0%BF%D0%BE%D1%87%D0%BA%D0%B0_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8_%D1%85%D0%B0%D0%BA%D0%B5%D1%80%D0%B0" class="mention hashtag" rel="tag">#цепочка_атаки_хакера</a> <a href="https://zhub.link/tags/soc" class="mention hashtag" rel="tag">#soc</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D1%82%D0%B8%D0%BA_%D0%B8%D0%B1" class="mention hashtag" rel="tag">#аналитик_иб</a>

HabrИскусство следопыта в корпоративной инфраструктуреВ этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции быстроного Ахиллеса, который, догоняя черепаху, всегда остается чуть позади.<a href="https://habr.com/ru/companies/securityvison/articles/783698/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/securityvison/articles/783698/</a><a href="https://zhub.link/tags/SV" class="mention hashtag" rel="tag">#SV</a> <a href="https://zhub.link/tags/%D0%9F%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D0%BA%D0%B0_%D0%98%D0%91" class="mention hashtag" rel="tag">#Практика_ИБ</a> <a href="https://zhub.link/tags/tip" class="mention hashtag" rel="tag">#tip</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/siem" class="mention hashtag" rel="tag">#siem</a> <a href="https://zhub.link/tags/%D0%B8%D0%B1" class="mention hashtag" rel="tag">#иб</a> <a href="https://zhub.link/tags/threat_intelligence" class="mention hashtag" rel="tag">#threat_intelligence</a> <a href="https://zhub.link/tags/threat_hunting" class="mention hashtag" rel="tag">#threat_hunting</a> <a href="https://zhub.link/tags/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8" class="mention hashtag" rel="tag">#уязвимости</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%84%D1%80%D0%B0%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%82%D1%83%D1%80%D0%B0" class="mention hashtag" rel="tag">#инфраструктура</a>

HabrМодель зрелости SOARМихаил Пименов, аналитик Security Vision В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами специалистов Security Vision, которая базируется на экспертизе, полученной в результате десятков реальных внедрений систем класса IRP/SOAR<a href="https://habr.com/ru/companies/securityvison/articles/782328/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/securityvison/articles/782328/</a><a href="https://zhub.link/tags/SV" class="mention hashtag" rel="tag">#SV</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/maturity_model" class="mention hashtag" rel="tag">#maturity_model</a> <a href="https://zhub.link/tags/security_vision" class="mention hashtag" rel="tag">#security_vision</a> <a href="https://zhub.link/tags/%D0%B7%D1%80%D0%B5%D0%BB%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#зрелость</a> <a href="https://zhub.link/tags/%D0%B7%D1%80%D0%B5%D0%BB%D0%BE%D1%81%D1%82%D1%8C_%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B8" class="mention hashtag" rel="tag">#зрелость_компании</a> <a href="https://zhub.link/tags/%D0%B7%D1%80%D0%B5%D0%BB%D0%BE%D1%81%D1%82%D1%8C_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8" class="mention hashtag" rel="tag">#зрелость_организации</a> <a href="https://zhub.link/tags/%D0%BA%D0%BE%D0%BD%D1%86%D0%B5%D0%BF%D1%86%D0%B8%D1%8F" class="mention hashtag" rel="tag">#концепция</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0" class="mention hashtag" rel="tag">#аналитика</a> <a href="https://zhub.link/tags/%D0%B8%D0%B1" class="mention hashtag" rel="tag">#иб</a>

HabrВыявление проблем в log-файлах с помощью аналитикиПривет, Хабр! Log-файлы систематически записывают хронологию событий, происходящих в системе (или приложение). Это может быть что угодно: от записи о запуске программы до детальной информации об ошибках и предупреждениях. Для нас log-файлы — это не просто дневники событий, а очень хороший инструмент для диагностики и устранения проблем. Я часто сталкивался с ситуациями, когда правильный анализ этих файлов помогал не только обнаружить и устранить сбои в работе программ, но и предотвратить потенциальные проблемы, еще до того как они проявились. Log-файлы содержат подробные записи о событиях и ошибках, которые происходят в приложении или системе. Анализируя эти записи, можно точно определить, в какой момент и по какой причине возникла ошибка, также можно отследить последовательность событий, которая привела к ошибке.<a href="https://habr.com/ru/companies/otus/articles/781598/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/otus/articles/781598/</a><a href="https://zhub.link/tags/%D0%BB%D0%BE%D0%B3%D0%B8" class="mention hashtag" rel="tag">#логи</a> <a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0" class="mention hashtag" rel="tag">#аналитика</a>

HabrThe Hive. Разбор open source решенияВ свете быстрого развития информационных систем и увеличения угроз кибербезопасности поиск надежных решений, позволяющих минимизировать вред от нарушения информационной безопасности (ИБ), становится важной задачей для различных организаций. Когда инфраструктура организации начинает настолько усложняться, что становится невозможно уследить за общей картиной происходящего, на помощь приходит Центр обеспечения безопасности (SOC, Security Operations Center) - это широко специализированный ситуационный центр мониторинга информационной безопасности, совокупность программно-аппаратных средств, персонала и процессов. Данный тип систем предназначен для централизованного сбора и анализа информации о событиях и инцидентах ИБ, поступающих из различных источников ИТ-инфраструктуры. Существует множество конкретных решений, но без ряда базовых средств мониторинга и защиты информации сложно себе представить даже внутренний SOC в средней компании, не говоря уже о коммерческом центре. К таким средствам принято относить системы различного класса, где каждый элемент выполняет свою функциональную роль, и одними из центральных и наиболее эффективных являются платформы IRP - отдельные системы для выстраивания процессов управления инцидентами, которые предназначены для автоматизации процессов мониторинга, учета и реагирования на инциденты, а также для решения типовых проблем управления ИБ. Применение IRP позволяет обеспечивать своевременные ответные действия группы реагирования на инциденты информационной безопасности, предоставляя при этом аналитическую информацию и контекст отслеживаемого события. В данной статье мы как раз рассмотрим одну из таких платформ - The Hive, которая предоставляет комплексное решение для эффективного управления и реагирования на инциденты безопасности.<a href="https://habr.com/ru/companies/securityvison/articles/780648/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/securityvison/articles/780648/</a><a href="https://zhub.link/tags/soar" class="mention hashtag" rel="tag">#soar</a> <a href="https://zhub.link/tags/irp" class="mention hashtag" rel="tag">#irp</a> <a href="https://zhub.link/tags/%D1%80%D0%B5%D0%B0%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BD%D0%B0_%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D1%8B" class="mention hashtag" rel="tag">#реагирование_на_инциденты</a> <a href="https://zhub.link/tags/%D1%80%D0%B5%D0%B0%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BD%D0%B0_%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA%D0%B8" class="mention hashtag" rel="tag">#реагирование_на_кибератаки</a> <a href="https://zhub.link/tags/%D1%80%D0%B5%D0%B0%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BD%D0%B0_%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82" class="mention hashtag" rel="tag">#реагирование_на_инцидент</a> <a href="https://zhub.link/tags/%D1%80%D0%B5%D0%B0%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F_%D0%BD%D0%B0_%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D1%8B" class="mention hashtag" rel="tag">#реагирования_на_инциденты</a> <a href="https://zhub.link/tags/dfir" class="mention hashtag" rel="tag">#dfir</a> <a href="https://zhub.link/tags/security" class="mention hashtag" rel="tag">#security</a> <a href="https://zhub.link/tags/security_vision" class="mention hashtag" rel="tag">#security_vision</a> <a href="https://zhub.link/tags/%D0%BE%D1%80%D0%BA%D0%B5%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80" class="mention hashtag" rel="tag">#оркестратор</a>

Recent searches

Search options

Administered by:

Server stats:

#SOAR