Контакты
Подписка
МЕНЮ
Контакты
Подписка

Роль TI-средств и фидов в выявлении инцидентов

Екатерина Данилина, 19.06.19

Насколько вам помогают в выявлении инцидентов TI-средства и фиды? Какие используете?

Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies

Практика показывает, что фиды сегодня неэффективны, потому что вендор не несет никакой ответственности за их качество. В итоге у одного вендора фид некоторой тематики может состоять из 100 тыс. записей, а у другого такой же фид такой же тематики из 800 записей. В первом случае вы столкнетесь излишне большим числом ложных срабатываний, а во втором получите слишком мало информации.
Фиды могут получить второе дыхание, если сформируется практика оповещения (обмена данными, публичности) об инцидентах в индустрии или хотя бы в рамках отдельных отраслевых центров безопасности. В этом случае появится шанс формировать качественные и достоверные отраслевые фиды на уровне страны.

 

Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")

Что касается фидов, то они безусловно полезны, когда есть подозрения или предпосылки к тому, что вас могут атаковать, если вы хотите получше защититься и быть всегда в тренде. Если можешь получить экспертизу и опыт как в платном, так и в бесплатном варианте, этим надо пользоваться. Это достаточно полезная информация, которая позволяет видеть, в какую сторону идет процесс развития, чтобы заранее прорабатывать риски потенциально возможных инцидентов. Другое дело, что нужно уметь это делать.

 

Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"

За TI определенно есть будущее в рамках выявления инцидентов ИБ. Для того чтобы обеспечить эффективность выявления инцидентов, необходимо учитывать и взаимодействие с различными форумами, где приводятся последняя информация по фидам. Дальнейшим циклом работы с выявленным инцидентом является его нейтрализация, анализ для предотвращения возможных прецедентов и постоянный мониторинг событий ИБ.

 

Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”

Есть ряд правил корреляции основанных на данных от свободно-распространяемых сервисов с фидами. Один из источников Hail a TAXII, но не единственный тут хорошая практика агрегация информации из нескольких ресурсов. Место же в процессе выявления событий и инцидентов ИБ у таких сервисов (в нашем исполнении) скорее дополняющее, позволяющее более достоверно определить тип, способ и возможную цель атаки. Метрики эффективности для конкретно этого сервиса не прорабатывались.

Читать полную версию

SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?

Темы:Positive TechnologiesStaffCopСО ЕЭСЛев ПалейЕлена НагорнаяТехснабэкспортДмитрий КандыбовичSIEMВладимир БенгинСергей РысинUEBA

Еще темы...