ВД
За прошедшее время кроме тебя никто не спросил :)
Size: a a a
2021 May 15
AL
А ФСТЭК не должен задавать вопросы - он выпустил обязательный к применению нормативно-правовой акт, который должны соблюдать все субъекты КИИ. И вы в том числе 😊
ВД
Если это единственный негативный комментарий и повод для обсуждения этого отчёта, я счастлив, значит команда все сделала очень хорошо :)
ВД
А меняет ли описанный сценарий атаки фактическую модель угроз хотя бы одного объекта или нет - тоже очень дискуссионный вопрос :) но извините, я не за нормативку, вызову кого-нибудь из своих ребят на соответствующую дискуссию :)
NL
Блин, пока дошла от метро до дома тут такая дискуссия. Могу про ТАСС прокомментировать, остальное Володя прокомментировал
NL
В СМИ мы в принципе отдаем не для распространения иоков, да их туда и не возьмут - ни в Ъ, ни в РБК, ни в ТАСС. Это ровно опубличивание важного кейса (и поскольку эта атака ориентирована на ОКИИ втч ФОИВы, выбор очень логичный), повышение awareness и подсвечивание конкретно наших достижений и экспертизы
AL
Если бы в отчете против каждой техники по ATT&CK стояла техника по ФСТЭК, цены бы ему не было (ну кроме темы с ИоКами). А так вы перекладываете на субъектов задачу маппинга. И да, это не ваша проблема
NL
Разумеется, помощь в детекте и респонсе более важна, чем это, но это делается с помощью других инструментов
NL
ТАСС - это ровно пиар и awareness
NL
Извините за обилие англицизмов
ВД
Да, аргумент понятный. Но я действительно не уверен что для тех организаций, которые в состоянии после этого принять меры по защите на уровне наличия инструментов и экспертизы, часть маппинга станет проблемой. Я подумаю про формальную плоскость на следующей неделе, может дадим небольшой апдейт.
AL
Твой ответ говорит о том, что ты ни разу не пытался смаппить ТТР в ТТУ ;-)
ВД
А про IOC я уже все сказал. К сожалению, в классическом формате, лёгком для использования, практически бесполезны.
ВД
Помню во Владивостоке как-то обсуждали, что круглый стол с некоторыми экспертами рынка обязательно придет в обсуждение регуляторов. Извини, я пас :) и нет, пытался, и нет, никаких комментариев давать не буду.
AL
Так никто ж не заставлял тебя вступать в дискуссию ;-)
ВД
Я думал, что вопрос в технической плоскости базируются и в интересах полезности для рынка. Это для меня важные аспекты :)
AL
1. ИоКов нет - в СрЗИ не засунешь
2. Маппинга нет - даже бумажную часть не закроешь
3. Понять как ваши ТТР транслировать в свои ИоКи требует опытной команды по твоим словам. Их в госухе (и не только) немного.
2. Маппинга нет - даже бумажную часть не закроешь
3. Понять как ваши ТТР транслировать в свои ИоКи требует опытной команды по твоим словам. Их в госухе (и не только) немного.
AL
Так есть ли в этом случае польза для рынка?
ВД
Давай спросим у рынка. С моей колокольни и обсуждений с заказчиками и до и после - есть.
ВД
Но это не тема обсуждения на 2,5 тысячи человек