Z
В зеркале;)
Size: a a a
2019 November 23
$
Выскажешь своё виденье?
Так, давай совсем коротко пробежимся тупо по ФОТ, раз к нему были претензии. Да и писать с телефона много - лень. Не с телефона, правда, тоже.
Но сначала по терминам (на истину не претендую, это мое видение):
У нас идеальный мир, где никто не стесняется говорить о переработках.
В идеальном мире все оптимизировано под средний размер трафика/епс + небольшой геп на пики.
Комп. Атака - любые действия, приводящие к инциденту ИБ.
Инцидент ИБ - любая нестандартная активность ИС, пока не доказано иное.
Рассматриваем стандартную службу реагировани:
1-я линия - отсеивает фолсы и фолс-позитив
2-я первичный разбор
3-я администраторы систем
Доп: форензика (ибо может привлекаться со стороны, может быть 3-у линией, может 4-й)
При атаке:
Если первая линия 24/7 (что далеко не везде, хотя большинство в чате из больших контор - там часто 24/7) - затраты не увеличиваются. Если не 24/7 - как минимум переработки.
2-я линия в 90% случаев - 5/2, соответственно - переработки, возможно ещё ночное время и за выходные дни.
3-я аналогично. Плюс ты отвлекаешь администраторов от текущей работы - следовательно сдвигаются сроки, а раз так - либо переработки либо простой бизнеса (может и дико мелкий)
Про привлечение форензики, думаю, говорить не стоит.
Кроме всего - руководители (те что так или иначе на разборе или имеют отношение к системе) - переработки. Вот если совсем коротко.
Кроме того, увеличение епс на всяких siem/lm/soar или трафика (лицензируются по-разному) и ещё можно многое напридумывать.
Как-то так
Но сначала по терминам (на истину не претендую, это мое видение):
У нас идеальный мир, где никто не стесняется говорить о переработках.
В идеальном мире все оптимизировано под средний размер трафика/епс + небольшой геп на пики.
Комп. Атака - любые действия, приводящие к инциденту ИБ.
Инцидент ИБ - любая нестандартная активность ИС, пока не доказано иное.
Рассматриваем стандартную службу реагировани:
1-я линия - отсеивает фолсы и фолс-позитив
2-я первичный разбор
3-я администраторы систем
Доп: форензика (ибо может привлекаться со стороны, может быть 3-у линией, может 4-й)
При атаке:
Если первая линия 24/7 (что далеко не везде, хотя большинство в чате из больших контор - там часто 24/7) - затраты не увеличиваются. Если не 24/7 - как минимум переработки.
2-я линия в 90% случаев - 5/2, соответственно - переработки, возможно ещё ночное время и за выходные дни.
3-я аналогично. Плюс ты отвлекаешь администраторов от текущей работы - следовательно сдвигаются сроки, а раз так - либо переработки либо простой бизнеса (может и дико мелкий)
Про привлечение форензики, думаю, говорить не стоит.
Кроме всего - руководители (те что так или иначе на разборе или имеют отношение к системе) - переработки. Вот если совсем коротко.
Кроме того, увеличение епс на всяких siem/lm/soar или трафика (лицензируются по-разному) и ещё можно многое напридумывать.
Как-то так
E
вот это старания, без коньяка не обойтись. тут парни накинули ещё вариант что СЗИ сдетектили только часть атаки, но всё равно, неуспешные атаки приносят работы бумажникам
$
вот это старания, без коньяка не обойтись. тут парни накинули ещё вариант что СЗИ сдетектили только часть атаки, но всё равно, неуспешные атаки приносят работы бумажникам
Про часть атаки - это как раз в сторону моего определения инцидента ;)
2019 November 24
ИК
В зеркале;)
Не видел атак))
A
Я каэшн дико извиняюсь. Но очень напоминает. В начале 90-ых все бизнесменами становились, и вот это "Кто выучил ядерную физику, тому ваша эта экономика - херня" очень распространено было. Так и сейчас. Если вы в ИТ/ИБ разбираетесь, умеете это нихера не значит, что вы в бизнес и экономику умеете. Рисовать бюджеты и в лучшем случае ТЭО, это нихера не финансы и экономика.
KV
Alexey Lukatsky
Зависит от процесса. Пошла у тебя атака, а ты должен завести тикет, внести в него IP, артефакты и потратить еще время, которое деньги. Ну и пропущенные из-за этого реальные атаки
Если забить на все отбитые атаки, то можно не увидеть, как к инфре подбирают ключик. Тут важно приоритеты расставить, потому что очевидно невозможно разобрать все сработки средств защиты.
A
Это все примерно как "антивирус, фв и AD есть, все у нас збс с ИБ"
P
Alexey
Я каэшн дико извиняюсь. Но очень напоминает. В начале 90-ых все бизнесменами становились, и вот это "Кто выучил ядерную физику, тому ваша эта экономика - херня" очень распространено было. Так и сейчас. Если вы в ИТ/ИБ разбираетесь, умеете это нихера не значит, что вы в бизнес и экономику умеете. Рисовать бюджеты и в лучшем случае ТЭО, это нихера не финансы и экономика.
Лучшие HR с тобой не согласны! Недавно ж было и скриптик и бюджетик состряпать )))
R
Так, давай совсем коротко пробежимся тупо по ФОТ, раз к нему были претензии. Да и писать с телефона много - лень. Не с телефона, правда, тоже.
Но сначала по терминам (на истину не претендую, это мое видение):
У нас идеальный мир, где никто не стесняется говорить о переработках.
В идеальном мире все оптимизировано под средний размер трафика/епс + небольшой геп на пики.
Комп. Атака - любые действия, приводящие к инциденту ИБ.
Инцидент ИБ - любая нестандартная активность ИС, пока не доказано иное.
Рассматриваем стандартную службу реагировани:
1-я линия - отсеивает фолсы и фолс-позитив
2-я первичный разбор
3-я администраторы систем
Доп: форензика (ибо может привлекаться со стороны, может быть 3-у линией, может 4-й)
При атаке:
Если первая линия 24/7 (что далеко не везде, хотя большинство в чате из больших контор - там часто 24/7) - затраты не увеличиваются. Если не 24/7 - как минимум переработки.
2-я линия в 90% случаев - 5/2, соответственно - переработки, возможно ещё ночное время и за выходные дни.
3-я аналогично. Плюс ты отвлекаешь администраторов от текущей работы - следовательно сдвигаются сроки, а раз так - либо переработки либо простой бизнеса (может и дико мелкий)
Про привлечение форензики, думаю, говорить не стоит.
Кроме всего - руководители (те что так или иначе на разборе или имеют отношение к системе) - переработки. Вот если совсем коротко.
Кроме того, увеличение епс на всяких siem/lm/soar или трафика (лицензируются по-разному) и ещё можно многое напридумывать.
Как-то так
Но сначала по терминам (на истину не претендую, это мое видение):
У нас идеальный мир, где никто не стесняется говорить о переработках.
В идеальном мире все оптимизировано под средний размер трафика/епс + небольшой геп на пики.
Комп. Атака - любые действия, приводящие к инциденту ИБ.
Инцидент ИБ - любая нестандартная активность ИС, пока не доказано иное.
Рассматриваем стандартную службу реагировани:
1-я линия - отсеивает фолсы и фолс-позитив
2-я первичный разбор
3-я администраторы систем
Доп: форензика (ибо может привлекаться со стороны, может быть 3-у линией, может 4-й)
При атаке:
Если первая линия 24/7 (что далеко не везде, хотя большинство в чате из больших контор - там часто 24/7) - затраты не увеличиваются. Если не 24/7 - как минимум переработки.
2-я линия в 90% случаев - 5/2, соответственно - переработки, возможно ещё ночное время и за выходные дни.
3-я аналогично. Плюс ты отвлекаешь администраторов от текущей работы - следовательно сдвигаются сроки, а раз так - либо переработки либо простой бизнеса (может и дико мелкий)
Про привлечение форензики, думаю, говорить не стоит.
Кроме всего - руководители (те что так или иначе на разборе или имеют отношение к системе) - переработки. Вот если совсем коротко.
Кроме того, увеличение епс на всяких siem/lm/soar или трафика (лицензируются по-разному) и ещё можно многое напридумывать.
Как-то так
Термины не все раскрыты. Что понимаем под сдетектированными, но неуспешными атаками? Детектим попытку хартблид, а у нас всё пропатчено. Это попадает под определение или в фолсы уйдёт?
$
Термины не все раскрыты. Что понимаем под сдетектированными, но неуспешными атаками? Детектим попытку хартблид, а у нас всё пропатчено. Это попадает под определение или в фолсы уйдёт?
Вам нужно - вы и раскрывайте
R
Мне не очень, просто за темой следил
$
Мне не очень, просто за темой следил
Сомнительно что следили.
Если бы следили - вам бы было понятно для чего это писалось.
Слишком толсто
Если бы следили - вам бы было понятно для чего это писалось.
Слишком толсто
R
Ануок
AL
Alexey
Я каэшн дико извиняюсь. Но очень напоминает. В начале 90-ых все бизнесменами становились, и вот это "Кто выучил ядерную физику, тому ваша эта экономика - херня" очень распространено было. Так и сейчас. Если вы в ИТ/ИБ разбираетесь, умеете это нихера не значит, что вы в бизнес и экономику умеете. Рисовать бюджеты и в лучшем случае ТЭО, это нихера не финансы и экономика.
Ты что хотел сказать-то?
Z
Alexey Lukatsky
Ты что хотел сказать-то?
Не умеешь в бизнес и экономику короч ;)
AL
Не умеешь в бизнес и экономику короч ;)
Вне контекста это понятно, а в данном случае, что имел ввиду автор?
Z
Alexey Lukatsky
Вне контекста это понятно, а в данном случае, что имел ввиду автор?
Это знает только автор:)
$
Alexey Lukatsky
Вне контекста это понятно, а в данном случае, что имел ввиду автор?
Что людей «мимо проходивших» в иб много.
Это не к тебе относилось, скорее всего. Мысли в слух
Это не к тебе относилось, скорее всего. Мысли в слух
$
Не умеешь в бизнес и экономику короч ;)
Не обостряй)))