История создания ASoar: от идеи до реализации системы кибербезопасности
Я описал свой путь в предыдущей статье https://habr.com/ru/articles/813239/, но если коротко, то моя карьера в сфере информационной безопасности началась, как и у многих, с работы в ИТ-инфраструктуре. Поначалу моя компания занималась тем, что поддерживала стабильность сетей и систем для различных...
Путь в ИБ глазами управленца
Здравствуйте! Я Александр Шульман, руководитель компании Active в которой мы уже несколько лет занимаемся амбициозным проектом — пишем продукт для обеспечения кибербезопасности и достигли первых результатов: полгода назад мы получили аккредитацию от Минцифры, попали в реестр отечественного софта и...
Чего ждать от SIEM-систем на горизонте нескольких лет
Свою первую SIEM-систему я внедрял в 1998-99-х годах (сам термин Gartner ввел только в 2005 году), и тогда от этого класса продуктов ожидать многого было сложно: они собирали события безопасности от систем обнаружения вторжения и сканеров уязвимостей и коррелировали их, снижая тем самым число...
Когда SIEM бесполезна: что важно учесть до внедрения системы
Существует несколько факторов, без которых использование даже самой продвинутой SIEM-системы не даст ожидаемого результата. Тем, кто планирует внедрить решение, важно оценить, насколько инфраструктура и процессы компании готовы к этому. Практика показывает, что в большинстве случаев обращать...
SIEM-терапия: защититься, импортозаместиться, сэкономить
С недавних пор SIEM-системы «показаны» не только крупному бизнесу, но и субъектам КИИ, и операторам персданных – то есть почти всем. ФСТЭК и другие регуляторы настоятельно рекомендуют вооружаться SIEM, в некоторых отраслях это прямые требования, которые нельзя игнорировать. Теперь ситуация и вовсе...
Системы большие и маленькие: парадокс «четвёртого измерения» в эволюции SIEM
Кадр из х/ф «Интерстеллар», все права у правообладателей Как-то раз наш начИБ Алексей Дрозд (aka @labyrinth) оказался в эфире AM Live – медиа собрало коллег по цеху обсудить будущее SIEM. Компания подобралась отменная: IBM, Positive Technologies, Micro Focus, Kaspersky, RuSIEM, мы и Solar JSOC....
Эффективность Security Operations Center: на какие параметры смотреть?
Когда мы говорим о KPI и эффективности, возникает вопрос: а что вообще должен отслеживать SOC в своей повседневной деятельности? С одной стороны, тут все понятно: во-первых, соблюдение SLA, а во-вторых, возникающие события с подозрениями на инциденты. Но ведь статистику событий можно смотреть под...
SIEM с автопилотом: какая связь между гастритом и системой выявления инцидентов
В 2012 году мы начали делать новый большой продукт, призванный сменить MaxPatrol 8. Внутри компании он получил прозвище MaxPatrol X. К тому времени у нас сложилось понимание, что сделать качественно новый продукт можно только полностью поменяв подход к решению задачи. Подход был связан с идеями...
Обзор решений SIEM (Security information and event management)
Современная корпоративная ИТ-инфраструктура состоит из множества систем и компонентов. И следить за их работой по отдельности может быть довольно сложно — чем больше предприятие, тем обременительнее эти задачи. Но есть инструменты, которые собирают в одном месте отчеты о работе всей корпоративной...
[recovery mode] SIEM Solutions Overview (Security Information and Event Management)
Modern corporate IT infrastructure consists of many systems and components. And monitoring their work individually can be quite difficult — the larger the enterprise is, the more burdensome these tasks are. But there are the tools, which collect reports on the work of the entire corporate...
Платформа автоматизированного реагирования на инциденты ИБ
Представьте себе обычный ситуационный центр по ИБ в крупной компании. В идеальном мире софт детектирует подозрительную активность, и команда «белых хакеров» начинает стучать руками по клавиатуре. И так происходит раз в месяц. В реальном мире это сотни ложноположительных срабатываний и усталые...
Мониторинг безопасности облаков. Часть 2
Итак, я продолжу статью, посвященную мониторингу безопасности облачных провайдеров. В первой части я рассказывал об опыте Cisco в работе с внешними облачными сервисами, а также о наблюдениях Cisco, с которым мы столкнулись при построении или аудите SOCов наших заказчиков. Взяв в первой части в...
[Перевод] Аналитик информационной безопасности – кто он такой? Погружение в профессию
Сегодня мы сделаем для вас обзор ежедневных обязанностей аналитика информационной безопасности. Его работа – это, по сути, постоянный анализ необработанных данных из разнородных источников событий (информационной и сетевой) безопасности для поддержания (и желательно) повышения уровня безопасности...
[Из песочницы] Пентест-лаборатория «Pentestit Test lab 12» — полное прохождение
Каждый год компания Pentestit запускает новую лабораторию для тестирования на проникновение «Test Lab», и данная статья будет посвящена прохождению 12-ой лаборатории, получившей название «z 9r347 39u411z3r» или если раскодировать — «The great equalizer». Disclaimer Данная статья не носит...