AS
Size: a a a
2019 September 27
AK
Andrei Potseluev
А вот интересно, почему мы рассматриваем инцидент исключительно в разрезе КИИ? Понятно, что группа профильная, но все-же. Да и далеко не все системы АСУ ТП - ОКИИ.
Потому как за окии может прилететь и есть регуляторы)
AK
Я считаю что обсудив понятие инцидента мы ответили на вопрос почему колючая проволока нужнее фаерволла. Брутфорс рута не инцидент, кошка запрыгнувшая в трансформатор да. От кошки спасёт гкл, фаерволл не спасёт)
AP
Alexander Kremlev
Я считаю что обсудив понятие инцидента мы ответили на вопрос почему колючая проволока нужнее фаерволла. Брутфорс рута не инцидент, кошка запрыгнувшая в трансформатор да. От кошки спасёт гкл, фаерволл не спасёт)
Про кошку двусмысленно, учитывая пост выше. 😊 А вообще, что значит кошка в трансформатор - инцидент? Есди она запрыгнула, погуляла и вышла, с чего вдруг? Если там коротнуло и получился фейерверк, то да. Ну так и брутфорс рута, если из-за него все легло, тоже инцидент так-то.
AK
Там выше говорили что это не инцидент и нарушить работу не сможет
AL
Так аналогия тогда должна быть другая. Если кошка пыталась зайти в трансформаторную и не зашла, то это не инцидент
v
а какая вот разница внутренний нарушитель с флешкой или с топором?
AK
Alexey Lukatsky
Так аналогия тогда должна быть другая. Если кошка пыталась зайти в трансформаторную и не зашла, то это не инцидент
Почему? 2 свершившихся факта, взломали буртом пароль админа и кошка вызвала кз. Мнение коллег, что первый случай не инцидент.
AK
А вообще обнаружение вредоносного кода в доверенной зоне это 3 этап killchain, подбор пароля 4 этап. Атака в самом разгаре, но это даже подозрений не вызывает у некоторых коллег, а на собеседовании на дверь указывают)
AL
Alexander Kremlev
А вообще обнаружение вредоносного кода в доверенной зоне это 3 этап killchain, подбор пароля 4 этап. Атака в самом разгаре, но это даже подозрений не вызывает у некоторых коллег, а на собеседовании на дверь указывают)
Инцидент - это СВЕРШИВШИЙСЯ факт, приведший к ущербу. Все остальное требует внимания безусловно и детект на первых этапах килчейна позволяет вам недопустить наступления инцидента. Но тут вроде речь шла именно о самом инциденте, как свершившемся факте, а не о том, что привело к нему
AK
Alexey Lukatsky
Инцидент - это СВЕРШИВШИЙСЯ факт, приведший к ущербу. Все остальное требует внимания безусловно и детект на первых этапах килчейна позволяет вам недопустить наступления инцидента. Но тут вроде речь шла именно о самом инциденте, как свершившемся факте, а не о том, что привело к нему
Мы в терминах 187 обсуждали. Коллеги говорят что взлом пароля рута не приводит к нарушению функционирования.
AK
Лично для меня обнаружение вредоносного кода это инцидент, код доставлен на защищаемый объект, то что антивирус не дал ему запуститься не отменяет этого факта.
AL
Может привести 😊
DK
Alexander Kremlev
А вообще обнаружение вредоносного кода в доверенной зоне это 3 этап killchain, подбор пароля 4 этап. Атака в самом разгаре, но это даже подозрений не вызывает у некоторых коллег, а на собеседовании на дверь указывают)
Все правильно. И обнаружение вируса, и обнаружение брутфорса - сами по себе еще не инциденты, но уже повод начать разбираться, а не проморгали ли мы инцидент.
Но обязанность сообщить об инциденте возникает тогда, когда мы разобрались и узнали, что инцидент действительно есть.
Но обязанность сообщить об инциденте возникает тогда, когда мы разобрались и узнали, что инцидент действительно есть.
AK
Все правильно. И обнаружение вируса, и обнаружение брутфорса - сами по себе еще не инциденты, но уже повод начать разбираться, а не проморгали ли мы инцидент.
Но обязанность сообщить об инциденте возникает тогда, когда мы разобрались и узнали, что инцидент действительно есть.
Но обязанность сообщить об инциденте возникает тогда, когда мы разобрались и узнали, что инцидент действительно есть.
На основании чего начнётся разборка? Вот есть у нас разработанный по исо регламент по управлению инцидентами, там прописаны обязанности и полномочия группы по расследованию. Теперь ещё и для алертов регламент заводить? А потом для варнингов? Инцидент же может и не подтвердиться по итогам расследования, но заводится всё равно.
AL
Alexander Kremlev
На основании чего начнётся разборка? Вот есть у нас разработанный по исо регламент по управлению инцидентами, там прописаны обязанности и полномочия группы по расследованию. Теперь ещё и для алертов регламент заводить? А потом для варнингов? Инцидент же может и не подтвердиться по итогам расследования, но заводится всё равно.
С чего у вас заводится инцидент-то? Тикет у вас может и открывается, а вот инцидент нет. У вас сигналов тревоги может быть миллиарды, а инцидентов всего с десяток. И да, регламенты (playbook) у вас пишутся в том числе и для алертов 😊 Точнее для use case, которые включают в себя набор событий/алертов, на которые надо реагировать
AK
И если цель в масштабах страны построить систему защиты и учитывать только подтверждённые инциденты, это совершать ошибку выжившего, не факт что у субъекта хватит компетенций разобраться и можно проморгать глобальную атаку. Например у 1000 субъектов кии одновременно прошёл один и тот же ложный инцидент, совпадение? Но об этом никто не узнает.
AK
Alexey Lukatsky
С чего у вас заводится инцидент-то? Тикет у вас может и открывается, а вот инцидент нет. У вас сигналов тревоги может быть миллиарды, а инцидентов всего с десяток. И да, регламенты (playbook) у вас пишутся в том числе и для алертов 😊 Точнее для use case, которые включают в себя набор событий/алертов, на которые надо реагировать
Нет у нас тикетов, мы не сок.
AL
То есть процесс сбора сбора событий ИБ, процесс реагирования, процесс обмена информацией есть, а SOC нет?