O
Еще мне понравился абзац про TTPs, но как по мне, он также применим и к IT, и уже довольно давно
Size: a a a
2020 July 29
22
Если СОК видит что идет изменение веток реестра на АРМах оператора это уже инцидент требующий реагирование, вот тока какого
AC
Конечно можно, всё норм :) Но на мой взгляд эта статья про некую "эксклюзивность", "не такой как все" и т.п.
AS
Это понятно, но тут же коммьюнити, можно и пообсуждать, разве не для этого блоги пишут? :)
Нужно! Жаль не указан автора статьи
O
2 2
А какая разница какой СОК?! все равно события все должны обрабатываться, тока реагирование чуть меняется и все
Именно, но реагирование в OT будет иметь место тогда, когда в ИТ все уже... Ну вы поняли)
O
Нужно! Жаль не указан автора статьи
Наверняка он где-то здесь)
AC
Я действительно считаю, что SOC АСУ ТП должен отличаться от ИТ. Даже в названии - первое слово должно быть "System". Но до этого пока не дошли.
AC
А в статье совсем другое :)
O
Я действительно считаю, что SOC АСУ ТП должен отличаться от ИТ. Даже в названии - первое слово должно быть "System". Но до этого пока не дошли.
Вот, кстати, это интересный момент, Лично мне кажется, что этот самый SOC АСУ ТП должен работать не только в ОТ, но и в ИТ, но фокус у него должен быть на актуальные для ОТ угрозы
O
Ну или хотя бы тесное взаимодействие с соком ит
O
Но вам тут, наверно, виднее
22
В данный момент все поступает на одни и те же инструменты. Разница тока в том как проводят анализ. Для того чтобы под каждого заказчика давать нормальныый анализ нужно иметь человека который знает как работает эти системы АСУ у заказчика.
AC
Вот, кстати, это интересный момент, Лично мне кажется, что этот самый SOC АСУ ТП должен работать не только в ОТ, но и в ИТ, но фокус у него должен быть на актуальные для ОТ угрозы
Не совсем. Я говорю о том, что на производстве Security является частью Safety. И правильнее, на мой взгляд, объединять эти вещи, а не выделять soc в отдельную штуковину.
O
Не совсем. Я говорю о том, что на производстве Security является частью Safety. И правильнее, на мой взгляд, объединять эти вещи, а не выделять soc в отдельную штуковину.
То есть должен быть общий SOC?
22
Чем события с сисмона или теже логи будут отличаться от АРМ оператора АСУ или рядового сотрудника ИТ. Тока в порядке анализа и правил по которым можно считать что это инцидент.
AC
То есть должен быть общий SOC?
SOC вообще не должно быть только в понимании security. Дожен быть SOC в понимании System. Куда стекаются все события и инфобеза в том числе.
AS
2 2
Чем события с сисмона или теже логи будут отличаться от АРМ оператора АСУ или рядового сотрудника ИТ. Тока в порядке анализа и правил по которым можно считать что это инцидент.
Тем что на арме оператора сисмона не будет )
O
Тем что на арме оператора сисмона не будет )
Но SOC же должен задетектить network propagation до этого самого арма оператора?
22
Прошу прощения за орфографию. Но сисмон даже нормально себя ведет на АРМах и дает развернутые события об всех действиях.
22
Это если все настроено по уму. А если у вас тока строиться или переделывается инфраструктура. Первым же делом что вы будете ставить на мониторинг, чтобы задетектить не нормальную активность? ПК или сетевку которую еще нужно собрать