RI
У нас он выглядит сейчас как (в голове ИБ) FW + AV (продвинутые мигрируют к NGFW + EPP/EDR) -> DLP + SIEM + защита почты (как правило, встроенный AV, реже песочницы) -> SOC
Size: a a a
2019 August 01
RI
Вот где-то между вторым и третьим этапом неожиданно трескается шаблон, что оказывается нужно не гайки крутить, а процессы выстраивать. И начинать их выстраивать надо было на первом ещё этапе, потому что в том, что сейчас процессы выстроить уже не выйдет (нет, ну можно дождаться реорганизации компании и под шумок, но это как повезёт).
RI
И самое смешное, что после выстраивания процессов приходит и понимание где какие гайки должны быть, и как их крутить, и надо ли вообще…
RI
У нас традиционно отсутствие процессов пытаются закрыть техникой - потому и любовь к SIEM такая в том числе.
NA
Порой внедрение siem сподвигает на выстраивание процессов :) в моей старой интеграторской практике такое наблюдал раза 3 :)
RI
Невозможно защищать то, чего ты не знаешь.
да можно, конечно. https://www.veracode.com/security/black-box-analysis как пример анализа по методу чёрного ящика. Опять NTA, про которые уже говорили. Вот вам пример научных работ на этот счёт: https://www.sciencedirect.com/science/article/pii/S1877050913009289
RI
Порой внедрение siem сподвигает на выстраивание процессов :) в моей старой интеграторской практике такое наблюдал раза 3 :)
Должно быть наоборот.
RI
E
Коллеги, меня всё мучает вопрос обсуждавшийся выше. Каким образом предполагается заменить NTA SIEM`ом? (безотносительно какого-либо конкретного решения)
E
ок, наверное превратно понял
RI
Коллеги, меня всё мучает вопрос обсуждавшийся выше. Каким образом предполагается заменить NTA SIEM`ом? (безотносительно какого-либо конкретного решения)
Да не предполагается его заменять!
RI
SIEM ищет известные проблемы, на основе заложенной логики
RI
NTA показывает что реально есть, с точки зрения анализа сетевого трафика, плюс аномалии и отклонения от обычного поведения
RI
В какой-то момент они пересекаются, безусловно. NTA хорошо дополняет IPS, например, или EDR
RI
Это просто разные подходы к решению одной и той же задачи, что позволяет ускорить её решение и снизить количество ошибок при этом
RI
У Алексей была очень хорошая идея с окнами Джохари - можно послушать тут https://youtu.be/6NSy5wNuOp8
RI
Надеюсь @vbengin меня не забанит за это.
RI
Я сам про это несколько раз тоже рассказывал
NA
Налетай, не скупись, покупай... NTA.
RI
Налетай, не скупись, покупай... NTA.
На, держи. Этого достаточно, чтобы сделать свой. https://github.com/cisco/joy
