Astăzi, în ajunul zilei Forumului SOC la Astana, aș dori să-mi împărtășesc impresiile din documentul 66 tistranichnogo intitulat „Linii directoare pentru crearea de centre de detectare a stării departamentale și corporative, prevenirea și eliminarea consecințelor atacurilor cibernetice asupra resurselor informaționale ale Federației Ruse“, elaborat de în Centrul Național de Coordonare a Incidentelor Informatice (NKCCI), care supraveghează crearea și funcționarea Comitetului de Stat pentru Protecția Drepturilor Omului. Documentul care vine în mâinile mele determină tocmai modul de creare a centrelor corporative și departamentale ale acestui sistem național pentru detectarea atacurilor.
Nu voi detalia toate cele 66 de pagini ale documentului; Mă voi atinge doar ce, după trei pahare de vin roșu, am observat într-un avion care zbura pe ruta "Moscova - Astana". O dată voi spune că documentul descris nu răspunde la toate întrebările care pot apărea la crearea propriei SOC. Acesta este mai mult un concept, care va fi apoi extins și completat. În metodologie, există o mulțime de referințe la documentele viitoare, reglementările, interfețele de interacțiune, care vor fi dezvoltate doar pe măsură ce se dezvoltă GOSOPKI. O altă trăsătură a acestei metodologii este clericalismul. Uneori, trebuie să vă treziți prin termenii nou introduși și care nu sunt ușor de înțeles. Numai după repetate perusal atent (și trei pahare de roșu nu facilitează sarcina), ați înțeles că aici era vorba despre UEBA (comportament entitate utilizator de analiză), și aici, pe NBAD (detectarea anomaliilor bazată pe rețea), și aici, pe SIEM.
Este clar că sarcina principală GosSOPKI, așa cum este evident din numele său, este lupta împotriva atacurilor informatice, care, în cursul documentului intercalate cu incidente de calculator și amenințări. Fiecare dintre termeni are o definiție proprie, dar în unele locuri mi se pare că sunt confuzi. Incidentul este un fapt al încălcării funcționării obiectului infrastructurii informaționale, care poate fi cauzată de un atac sau poate nu de un atac. Attack - un impact semnificativ în scopul unei încălcări de securitate (de altfel, ventilator și atacuri ocazionale vin în atenția documentului sau nu?), Iar amenințarea - un set de condiții și factori care creează un risc de o încălcare a securității. Dacă este complet simplificată, atunci amenințarea este ceea ce se poate întâmpla, atacul este ceea ce sa întâmplat și incidentul - ceea ce a dus la toate acestea.
De exemplu, liniile directoare spun că acest caz de utilizare (într-un document denumit „incident tipic“) va fi determinată în timpul dezvoltării GosSOPKI, care vor fi oferite recomandări pentru a răspunde la acestea. Acesta va identifica, de asemenea tipuri de atacuri, care vor fi determinate de documentele care vor fi precizate procedura pentru acțiunile IOC și de personal în urma atacurilor (presupunând că acesta este un termen mai familiar „Playbook“, dar vkusovschina). În același timp, în secțiunea a opta a manualului, sunt indicate în mod clar patru grupe de incidente și conținutul acestora (lista este închisă și nu este extensibilă din anumite motive). Cu această listă am avut întrebări. De ce este un virus normal egal cu APT? Și de ce este centrul de management al botnetului referitor la incident, și nu la atac? Sau același spam? Sau parole de forță brute? Dacă urmați termenii, nu este încă un incident, ci un atac. Aș reproiecta această secțiune, luând ca bază orice taxonomie a atacurilor existente.
Apropo, nu știu dacă a fost accidental, dar cu câteva zile în urmă site-ul Ministerului Apărării din Kazahstan a fost hacked. Iar un astfel de atac (incidente), care are un prejudiciu în mod clar reputațional (dacă nu există penetrare în interior), nu este inclus în lista incidentelor din Ghidul NKCC. Nu este considerată o problemă serioasă? Sau ați uitat, deoarece site-urile rusești nu au defectat mult timp?
Al doilea nu este destul de clar pentru mine lucru este includerea dinamic IoC (poate fi chiar și actualizate o dată pe zi) la documente statice și mai concordant la centrul capului GosSOPKI. Aici, apropo, textul menționează centrul de centru al GOSOPKI și centrul principal. La început am crezut că a fost o greșeală de scriere, dar apoi a dat seama că era centre diferite - una, cealaltă :-) majoră părinte Dar acest lucru nu este un impediment serios și pot fi corectate în versiunile viitoare ale recomandărilor, pe care, cred, va fi mai mult suferă modificări.
Există 7 măsuri de protecție implementate de GosOPKOY:
PS. În ansamblu, documentul sa dovedit a fi destul de bun, dar ar fi un aspect nou de câteva ori. Apoi ar fi mai puțin decât ceea ce privește ochiul.
Articole similare
Trimiteți-le prietenilor: