Всем привет 🙂

Специально для участников нашего чата придумали супер-крутую штуку 👍

В преддверии конференции Код ИБ ПРОФИ Сочи мы попросили наших экспертов в формате комментариев и ответов на вопросы обсудить с вами те горячие темы, которые они приготовили для ПРОФИ.

Расписание этой недели:
01 июля | Рустем Хайретдинов (Атак Киллер):  КАК и почему нужно защищать бизнес-процессы
02 июля | Лев Палей (СО ЕЭС): КАК выбрать и обосновать средства защиты для Вашей компании
03 июля | Андрей Прозоров (RAOS Project OY) КАК управлять ИБ по ISO 27001
04 июля | Евгений Волошин (BI.ZONE): Как проводить пентесты
05 июля | Алексей Пятигорский (Ростелеком - Солар): КАК распознать атаку?

Готовьте вопросы или просто читайте комментарии.

Поехали?

ИБ Единой Биометрической системы, 508 участников.
@ibebs

ИБ в Финсекторе, 357 участников.
@FinSecurity

Привет!

Сегодня поговорим о защите бизнес-процессов. Сначала - зачем этим вообще заниматься

Давайте рассмотрим несколько случаев.
Первый: пользователь сети послал письмо, содержащее, скажем, детализацию счёта клиента на почту  xxx@yyy.com. Это легитимный процесс или нарушение?

Сегодня в нашем чате Рустем Хайретдинов, Атак Киллер

📢Тема дня: Как защитить бизнес-процесс

Ждем от Рустема небольшую вводную и можно будет задавать вопросы или делиться своим опытом

Второй: сотрудник банка зашёл в АБС со своими правами и изменил кредитный лимит клиенту Иванову. Это легитимный процесс или нарушение?

Третий: сотрудник удалённо зашёл в систему и оформил платёжное поручение. Это легитимное действие или мошенничество?

Правильный ответ на все три вопроса: недостаточно информации

Вполне возможно в певом и втором случае сотрудник получили запрос от клиента на информацию или действие, а во втором бухгалтер работает удалённо

Само знание о событиях, откуда мы бы их не получали, не даёт нам достаточно информации о легитиности или нелегитимности события. Поэтому на прикладном уровне ваши DLP, SIEM, IDM, UEBA и другие средства безопасности бессильны

Задним числом мы можем полезть в документооборот или почту и увидеть, был ли запрос на действия

Но нам хочется не расследовать, а предотвращать

Потому что от расследований никакого экономического эффекта нет, а от предотвращения - есть и измеряемый деньгами, а не привычными нам инцидентами, рисками и прочей непонятной бизнесу билибердой

Что делать, откуда взять контекст каждой операции? Надо перестать смотреть на события со стороны инфраструктуры, данных или поведения пользователей, а начать смотреть на них в контесте бизнес-процессов

Тогда и атака, и мошенничество, и сбой, о ошибка оператора для вас будет выглядеть одинаково - действие, направленное на нарушение процесса.

А значит, реакцию на атаку вы можете рассматривать как действие, направленное на возврат процесса к эталонному течению

И вы перестанете реагировать на атаки или ошибки, которые не несут в себе риска изменения нормального течения процесса.

Вот это всё смешное типа "за период _ был отражён сикстильярд атак" вас не будет беспокоить