1
А если фолспозитив?
Байпас
Size: a a a
2020 October 01
1
А если фолспозитив?
Я имею ввиду, блокирование несанкционированного изменения уставок.
1
Технологи меняют уставки в исключительных случаях
1
И для этого требуется куча согласований
1
Именно блокировочных позиций
AC
1+1
Именно блокировочных позиций
Мне кажется, такое проще на IDS сделать. Не знаю какой именно протокол, но написать правило, вроде, вполне реально
AS
И все равно это очень чувствительная задача. Отсюда многие переживания насчёт активных/превеншен систем в АСУ ТП, отсюда и рост пассивного мониторинга
AC
Блокировки не будет, конечно, но инцидент прилетит
1
Мне кажется, такое проще на IDS сделать. Не знаю какой именно протокол, но написать правило, вроде, вполне реально
Не спорю
AK
по-моему если безопасников меньше, то это как раз еще один повод для внедрения SOAR? Другой вопрос, как правильно заметил @Anton_Shipulin - какие действия автоматизировать. И тут общего ответа нет. Для офисный сетей классика - запрет IP на МЭ или изоляция ПК. Надо в каждом случае отдельно смотреть, вряд ли общие рекомендации будут.
Ну давай разберем что такое SOAR: это оркестровка и реагирование
То есть у нас уже должен быть обширный парк СЗИ, управление которым целесообразно автоматизировать
И должен быть процесс реагирования, который требует долгого пройденного пути по работе с инцидентами и пониманием рисков
Соответственно вот, на входе должна быть большая команда, а SOAR необходим чтобы все это автоматизировать и не надо было держать в штате целую роту безопасников.
То есть у нас уже должен быть обширный парк СЗИ, управление которым целесообразно автоматизировать
И должен быть процесс реагирования, который требует долгого пройденного пути по работе с инцидентами и пониманием рисков
Соответственно вот, на входе должна быть большая команда, а SOAR необходим чтобы все это автоматизировать и не надо было держать в штате целую роту безопасников.
1
И все равно это очень чувствительная задача. Отсюда многие переживания насчёт активных/превеншен систем в АСУ ТП, отсюда и рост пассивного мониторинга
Согласен, я просто привёл пример. И таких примеров можно ещё поискать.
L
Ну давай разберем что такое SOAR: это оркестровка и реагирование
То есть у нас уже должен быть обширный парк СЗИ, управление которым целесообразно автоматизировать
И должен быть процесс реагирования, который требует долгого пройденного пути по работе с инцидентами и пониманием рисков
Соответственно вот, на входе должна быть большая команда, а SOAR необходим чтобы все это автоматизировать и не надо было держать в штате целую роту безопасников.
То есть у нас уже должен быть обширный парк СЗИ, управление которым целесообразно автоматизировать
И должен быть процесс реагирования, который требует долгого пройденного пути по работе с инцидентами и пониманием рисков
Соответственно вот, на входе должна быть большая команда, а SOAR необходим чтобы все это автоматизировать и не надо было держать в штате целую роту безопасников.
Я со всем согласен, только обращу внимание на завершение "... и не надо было держать в штате роту безопасников". По идее именно то, что мы видим на пром предприятиях. А все, что до этого можно попробовать аутсорсить интеграторам. Ну хотя бы в теории=)
AK
Я со всем согласен, только обращу внимание на завершение "... и не надо было держать в штате роту безопасников". По идее именно то, что мы видим на пром предприятиях. А все, что до этого можно попробовать аутсорсить интеграторам. Ну хотя бы в теории=)
Только вот на аутсорсинг интеграторов денег нет у большинства предприятий, им бы от комплаенса отмахаться и заборы построить
L
Только вот на аутсорсинг интеграторов денег нет у большинства предприятий, им бы от комплаенса отмахаться и заборы построить
таким SOAR точно не нужен, тут спору нет. Ну а кому кроме комплаенса еще что-то практичное необходимо, так или иначе находят. Разбивают на несколько лет и потихоньку делают
ПА
напоминает letmegoogle4u)) хотя поиск, действительно, не самый лучший.
Несколько примеров:
https://gridology.ru/projects/2811
https://gridology.ru/projects/2489
https://gridology.ru/projects/2330
Несколько примеров:
https://gridology.ru/projects/2811
https://gridology.ru/projects/2489
https://gridology.ru/projects/2330
Спасибо! Даже пересмотрел ещё раз. Странный у них поиск. В фильтре "энергопрорыв 2020" году нет их)
Ну оно может и к лучшему)
Ну оно может и к лучшему)
AK
таким SOAR точно не нужен, тут спору нет. Ну а кому кроме комплаенса еще что-то практичное необходимо, так или иначе находят. Разбивают на несколько лет и потихоньку делают
В общем SOAR должен быть вишенкой на торте, а не фундаментом
AL
В общем, SOAR даже в ИТ-инфраструктуре мало у кого есть. И он требует наличия четко описанных процессов и плейбуков. В ОТ с этим совсем все плохо. Там МСЭ-то не всегда ставят; какой SOAR?
AC
Alexey Lukatsky
В общем, SOAR даже в ИТ-инфраструктуре мало у кого есть. И он требует наличия четко описанных процессов и плейбуков. В ОТ с этим совсем все плохо. Там МСЭ-то не всегда ставят; какой SOAR?
Не, ну про МСЭ - это вы загнули! Он почти везде стоит, правда, не везде настроен, но это уже другой вопрос :)
AG
Чтобы был SOAR, нужны безопасники, которых нет.
А ещё должен быть уровень зрелости процессов ИБ компании соответсвующий
22
Ну может МСЭ и ставят но точно не везде где нужно) на каждом сегменте не поставишь, а весь трафик не загонишь через один МСЭ. Вот и получаются гонки , что критично или что не должно взаимодействовать, туда и ставим )