ВД
Владислав, от меня видимо в ответ будет лонгрид. Но чуть позже, все-таки телеграмм-чат - не работа, хоть тут SLA нет :)
Size: a a a
2019 May 10
$
Мне кажется что тут управленческую задачу "человек не решает поставленную ему задачу, аругментируя тем что "не знал"" предлагают решить ЕДИНСТВЕННЫМ методом "а мы сделаем 24"7 смену кто точно сделает чтобы ЗНАЛ", упуская альтернативные варианты. А имхо - они есть и разные.
Это попытка выключения человеческого фактора через обязательное подтверждение и страховки. Случай про «не знал» напоминает мне о попытке найти виновного. Описанная ситуация - попытка не допустить ситуации, в которой нужно искать виновного.
А так, конечно же, какой из подходов вам ближе - тот и используете.
А так, конечно же, какой из подходов вам ближе - тот и используете.
$
Я мысль понял, и примеры вроде тоже. И мне кажется что формулировка "24*7 нужен мыслящий человек" согласен, но вот в SOC он нужен или в эксплуатации? Насколько я понял- ваше предложение- в сок. Мне кажется - в эксплуатацию. Согласитесь ли с нижеприведенными аругментами? Имхо в эксплуатацию, потому что задача доставки информации о событии различными способами и путями - мне не кажется и для интегратора/вендора и для заказчика rocket science (число заинтересованных конечно и исчислимо, число способов доставки - тоже). Да, могут быть нюансы вида "а у нас принято оповещения в slack/jabber", но это решаемо обычно во вменяемые сроки. Согласны, или я что-то упустил? А вот задача реагирования (как раз "карт-бланш на..." о котором в вашем втором примере) - обычно в себя включает столько нюансов причем для каждого заказчика, что автоматизации "от интегратора/вендора"" поддается задороговато (много нюансов-много времени, значит дорого будет) И вот тут нужен человек на собственно анализ-расследование-реагирование. И объяснять заказчику почему в его сетке не сработает универсальный механизм реагирования - гораздо нагляднее имхо. На вашем же примере: " и вот после обнаружения новой службы мы этот арм кбр автоматически моментально от сети отключаем "до выяснения". Уважаемый заказчик, такие действия вас никаких бизнес-процеесов на критическое время не порушат? Ведь после такого отключения те, кто будет с проблемой разбираться подключатся не сразу (комп найти, включить, пароли ввести- минут 15 в выходной точно уйдет, если не больше) - у вас так допустимо?".
Про «человека на анализ-расследование-реагирование» интересно:
1. Сколько организаций нуждается в таких?
2. Сколько на рынке квалифицированных?
Из 1 и 2 возникает вопрос о его стоимости. Далее рассуждаем об обоснованности этой стоимости
3. Сколько инцидентов у вас требуют участие такого человека?
3.1 а он один? А малварь тоже он разбирает? А дампы собирает? А доступы?
4. Чем вы его будете кроме IRT «грузить»? А ему это интересно?
5. Через сколько этот человек заскучает (от рутины или отсутствия инцидентов) и начнет_терять_квалификацию/уйдёт в другое_место?
Ответите сами себе честно на эти вопросы и многое станет понятнее.
Пишу, потому что сам через такое прошёл.
З.Ы.: человек на реагирование по звонку с каким-то карт-бланшем нужен, бесспорно
З.з.ы.: эксплуатация зачастую итак в 24/7, но в ИТ. И когда задача конкретизирована - прекрасно справляются.
З.З.Ы.: все на правах имхо.
1. Сколько организаций нуждается в таких?
2. Сколько на рынке квалифицированных?
Из 1 и 2 возникает вопрос о его стоимости. Далее рассуждаем об обоснованности этой стоимости
3. Сколько инцидентов у вас требуют участие такого человека?
3.1 а он один? А малварь тоже он разбирает? А дампы собирает? А доступы?
4. Чем вы его будете кроме IRT «грузить»? А ему это интересно?
5. Через сколько этот человек заскучает (от рутины или отсутствия инцидентов) и начнет_терять_квалификацию/уйдёт в другое_место?
Ответите сами себе честно на эти вопросы и многое станет понятнее.
Пишу, потому что сам через такое прошёл.
З.Ы.: человек на реагирование по звонку с каким-то карт-бланшем нужен, бесспорно
З.з.ы.: эксплуатация зачастую итак в 24/7, но в ИТ. И когда задача конкретизирована - прекрасно справляются.
З.З.Ы.: все на правах имхо.
VL
@stvTel я, исходя из 1 и 2 и того кто на самом деле 24*7 - как раз и считаю что это делать эксплуатация должна.
VL
@stvTel И имхо, если умного сотрудника поселить в сок и дать ему основную задача -звонить и оповещать, недолго его удержим :(
$
@stvTel И имхо, если умного сотрудника поселить в сок и дать ему основную задача -звонить и оповещать, недолго его удержим :(
Звонить и оповещать - l1 же
VL
VL
Звонить и оповещать - l1 же
Мне показалось что у Владимира в сообщении было как будто на этот же уровень повешено "карт-бланш на реагирование". Если я неправильно понял, надеюсь, он меня поправит.
ВД
Я мысль понял, и примеры вроде тоже. И мне кажется что формулировка "24*7 нужен мыслящий человек" согласен, но вот в SOC он нужен или в эксплуатации? Насколько я понял- ваше предложение- в сок. Мне кажется - в эксплуатацию. Согласитесь ли с нижеприведенными аругментами? Имхо в эксплуатацию, потому что задача доставки информации о событии различными способами и путями - мне не кажется и для интегратора/вендора и для заказчика rocket science (число заинтересованных конечно и исчислимо, число способов доставки - тоже). Да, могут быть нюансы вида "а у нас принято оповещения в slack/jabber", но это решаемо обычно во вменяемые сроки. Согласны, или я что-то упустил? А вот задача реагирования (как раз "карт-бланш на..." о котором в вашем втором примере) - обычно в себя включает столько нюансов причем для каждого заказчика, что автоматизации "от интегратора/вендора"" поддается задороговато (много нюансов-много времени, значит дорого будет) И вот тут нужен человек на собственно анализ-расследование-реагирование. И объяснять заказчику почему в его сетке не сработает универсальный механизм реагирования - гораздо нагляднее имхо. На вашем же примере: " и вот после обнаружения новой службы мы этот арм кбр автоматически моментально от сети отключаем "до выяснения". Уважаемый заказчик, такие действия вас никаких бизнес-процеесов на критическое время не порушат? Ведь после такого отключения те, кто будет с проблемой разбираться подключатся не сразу (комп найти, включить, пароли ввести- минут 15 в выходной точно уйдет, если не больше) - у вас так допустимо?".
Попробую некоторый поток мыслей изложить. Где нужен 24*7 - да в идеале везде :) Но мы сейчас находимся в мире, где очень мало кто строит дежурные смены по ИБ в принципе. А когда говорят об аутсорсинге, на сторону в первую очередь передают мониторинг и soc, противодействие (не хочу использовать термин реагирование, оно идёт с обоих сторон) оставляя себе. Снаружи 24*7 всегда чаще чем внутри
Возвращаясь к изначальному вопросу: все-таки я явно говорил, что функция дозвониться - вырожденный и действительно скриптуемый пример. Хоть в call center отдайте, если доверяете. Проблема разобраться в фактической проблеме и анализе инцидента.
Давайте на примере: у нас есть эксплуатация и в неё летят алерты от какого-то автомониторинга. Как пример давайте будем смотреть не на вирусные заражения. А "на критичном хосте ночью запустили powershell скрипт" или "на критичном хосте ночью запустилась программа из папки temp". Предвосхищая вопрос "часто ли это бывает" - в больших банках таких сработок видим десятками в неделю.
Что теперь надо делать инженеру эксплуатации с этим? Разбираться :
-Посмотреть что за скрипт или программа. Легитимное или неприятности. В общем наверняка справится
-Разобраться кто запустил, откуда он взялся и что за пользователь (скорее всего пробираясь через "run as"). Уже хитрее, но мы верим в технологии, SIEM, сетевые модели и т.д.
-В идеале ещё "похантить" события на этом хосте и пользователе назад, проверить бывало ли раньше. Вдруг регулярные работы /скрипт в автозагрузке и т.д. Это уже в LM или SIEM надо идти точно
На основании всего этого принимать решение, инцидент ли это и изолировать ли машину.
И, о чудо, мы только что сделали из инженера эксплуатации аналитика SOC. И теперь он занимается и тем и другим.
Можно конечно подумать и поспорить (здесь вендоров хватает), что сбор всех этих данных можно сделать автоматически и тогда инженер все получит на блюдечке. Но я в своей жизни таких технологий, которые бы правда и всегда работали, ещё не видел. И Skynet пока не готов победить
Возвращаясь к изначальному вопросу: все-таки я явно говорил, что функция дозвониться - вырожденный и действительно скриптуемый пример. Хоть в call center отдайте, если доверяете. Проблема разобраться в фактической проблеме и анализе инцидента.
Давайте на примере: у нас есть эксплуатация и в неё летят алерты от какого-то автомониторинга. Как пример давайте будем смотреть не на вирусные заражения. А "на критичном хосте ночью запустили powershell скрипт" или "на критичном хосте ночью запустилась программа из папки temp". Предвосхищая вопрос "часто ли это бывает" - в больших банках таких сработок видим десятками в неделю.
Что теперь надо делать инженеру эксплуатации с этим? Разбираться :
-Посмотреть что за скрипт или программа. Легитимное или неприятности. В общем наверняка справится
-Разобраться кто запустил, откуда он взялся и что за пользователь (скорее всего пробираясь через "run as"). Уже хитрее, но мы верим в технологии, SIEM, сетевые модели и т.д.
-В идеале ещё "похантить" события на этом хосте и пользователе назад, проверить бывало ли раньше. Вдруг регулярные работы /скрипт в автозагрузке и т.д. Это уже в LM или SIEM надо идти точно
На основании всего этого принимать решение, инцидент ли это и изолировать ли машину.
И, о чудо, мы только что сделали из инженера эксплуатации аналитика SOC. И теперь он занимается и тем и другим.
Можно конечно подумать и поспорить (здесь вендоров хватает), что сбор всех этих данных можно сделать автоматически и тогда инженер все получит на блюдечке. Но я в своей жизни таких технологий, которые бы правда и всегда работали, ещё не видел. И Skynet пока не готов победить
ВД
Мне показалось что у Владимира в сообщении было как будто на этот же уровень повешено "карт-бланш на реагирование". Если я неправильно понял, надеюсь, он меня поправит.
Карт - бланш на реагирование - это выдернутый шнур. Как пример: если за 3 часа вы не смогли поднять по эскалации никого из менеджеров incident response, тогда звоните в дежурную смену ИТ и по кодовому слову машину выключаем. Очень редкий кейс, почти не бывает. Но несколько раз видели. Да и обычно дозвониться выходит
ВД
В Д
Карт - бланш на реагирование - это выдернутый шнур. Как пример: если за 3 часа вы не смогли поднять по эскалации никого из менеджеров incident response, тогда звоните в дежурную смену ИТ и по кодовому слову машину выключаем. Очень редкий кейс, почти не бывает. Но несколько раз видели. Да и обычно дозвониться выходит
И звонит в нашем случае уже не первая линия, а так же разбуженный аналитик. Но без заказчика.
ВД
@stvTel И имхо, если умного сотрудника поселить в сок и дать ему основную задача -звонить и оповещать, недолго его удержим :(
Я так и не говорил. Поэтому и раскрыл пример ниже. Как писал ранее, звонить - это просто самая очевидная человеческая функция 24*7. Где сложно спорить за "качества контента и фильтрации fp". Сами задачи l1 в нашем случае куда шире
VL
Владимир о, так понял. Проблематику в первом сообщении понял неверно, а теперь понятно. Спасибо за терпение.
ВД
Хорошо, что синхронизировались :)
ДЮ
Поговорили с Andras Iklody и Alexandre Dulaunoy (создатели и разработчики) про скейлинг MISP.
ДЮ
#misp #ti #cti #threatintel #threatintelligence #scaling
ДЮ
tl;dr варианты есть, реализации есть, идеи есть, документация на подходе.
2019 May 13
e
В Д
Ну самые интересные уходят в контент и аналитику. Не совсем паблик, и так у всех. Все остальное - в статьях и отчетах всех компаний по кибербезопасности
Имел в виду отчеты и такого формата:
https://www.ptsecurity.com/ru-ru/research/analytics/operation-taskmasters-2019/
https://www.ptsecurity.com/ru-ru/research/analytics/operation-taskmasters-2019/
e
Поделитесь, пожалуйста, ссылками, если у вас есть где почитать.