Роль TI-средств и фидов в выявлении инцидентов
Екатерина Данилина, 19.06.19
Насколько вам помогают в выявлении инцидентов TI-средства и фиды? Какие используете?
Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies
Практика показывает, что фиды сегодня неэффективны, потому что вендор не несет никакой ответственности за их качество. В итоге у одного вендора фид некоторой тематики может состоять из 100 тыс. записей, а у другого такой же фид такой же тематики – из 800 записей. В первом случае вы столкнетесь излишне большим числом ложных срабатываний, а во втором – получите слишком мало информации.
Фиды могут получить второе дыхание, если сформируется практика оповещения (обмена данными, публичности) об инцидентах в индустрии или хотя бы в рамках отдельных отраслевых центров безопасности. В этом случае появится шанс формировать качественные и достоверные отраслевые фиды на уровне страны.
Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")
Что касается фидов, то они безусловно полезны, когда есть подозрения или предпосылки к тому, что вас могут атаковать, если вы хотите получше защититься и быть всегда в тренде. Если можешь получить экспертизу и опыт как в платном, так и в бесплатном варианте, этим надо пользоваться. Это достаточно полезная информация, которая позволяет видеть, в какую сторону идет процесс развития, чтобы заранее прорабатывать риски потенциально возможных инцидентов. Другое дело, что нужно уметь это делать.
Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"
За TI определенно есть будущее в рамках выявления инцидентов ИБ. Для того чтобы обеспечить эффективность выявления инцидентов, необходимо учитывать и взаимодействие с различными форумами, где приводятся последняя информация по фидам. Дальнейшим циклом работы с выявленным инцидентом является его нейтрализация, анализ для предотвращения возможных прецедентов и постоянный мониторинг событий ИБ.
Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”
Есть ряд правил корреляции основанных на данных от свободно-распространяемых сервисов с фидами. Один из источников Hail a TAXII, но не единственный – тут хорошая практика агрегация информации из нескольких ресурсов. Место же в процессе выявления событий и инцидентов ИБ у таких сервисов (в нашем исполнении) скорее дополняющее, позволяющее более достоверно определить тип, способ и возможную цель атаки. Метрики эффективности для конкретно этого сервиса не прорабатывались.
SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?
