Галерея фото Vivo V15 Pro

Концерн BBK в лице Vivo продолжит показывать решения, как отказаться от «моноброви», но при этом сделать минимальные рамки по периметру дисплея. Идею с выдвижной селфи-камерой компания уже продемонстрировала в Vivo NEX, и она ей понравилась. Вслед за флагманом выдвижной Читать далее »

Meizu 16s с тройной камерой на рендере

Известно, что весной состоится анонс семейства Meizu 16s, в которое помимо базового флагмана войдет его увеличенная Plus-версия, а также компания вознамерилась выпустить свой игровой мобильник с именем Meizu 16T. Смею предположить, что это не будет скромный анонс и нас ждет Читать далее »

Официальное изображение Xiaomi Mi 9 и «живые» фото от инсайдеров

Через неделю Xiaomi представит флагман Mi 9, который отправится покорять рынок смартфонов. Станет ли новинка триумфом инженерной мысли, узнаем после анонса. Сам производитель уверен, что создал мощный и привлекательный внешне мобильник. Следом за тизером, оповещающем о дате Читать далее »

США признали низкий уровень боевой готовности на случай военного конфликта с Россией и Китаем

Счетная палата США представила доклад, в котором говорится о низком уровне боевой готовности страны и опасности в случае прямого военного столкновения с Россией и Китаем.

Отмечается, что способность Штатов успешно участвовать в столкновениях с такими Читать далее »

Пентагон заявил о намерении сократить число военных в Афганистане

Глава Центрального командования США генерал Джозеф Вотел заявил о том, что США намерены сократить свой военный контингент в Афганистане на тысячу человек.

Вотел добавил, что данное решение не связано с заявлением Дональда Трампа о готовности вывести из Читать далее »

В Сети появилось видео с испытаниями танка Т-90МС

Телеканал «Звезда» опубликовал видеозапись, на которой продемонстрированы кадры испытаний нового танка Российской Федерации Т-90МС.

Отмечается, что видео с испытаниями было показано в преддверии международной выставки вооружений IDEX-2019, которая стартует Читать далее »

Последний герой Афгана: кто на самом деле первым захватил первый «Стингер»

Зимой 1986-1987 годов сразу несколько групп советских войнов-интернационалистов захватили американские ПЗРК «Стингер», за что командование обещало Звезду Героя. Но и по сей день остаётся не ясным, кто же из бойцов выполнил поставленную задачу первым.

Сегодня, 15 Читать далее »

«Мы всё проспали!»: десять самых абсурдных провалов американской разведки

ТОП-10 спецопераций ЦРУ, которые привели к катастрофическим последствиям.

Со дня основания ЦРУ США, одной из самых известных спецслужб мира, прошло более 70 лет. Президент Штатов Гарри Трумен подписал указ о создании разведуправления, которое будет Читать далее »

Почему вашему центру безопасности нужен не только комплекс SIEM

С каждым днем киберпреступления становятся все более изощренными. Также растут убытки от подобного рода инцидентов, суммы выкупов и штрафы, предусмотренные законодательством. Вне всякого сомнения, сейчас нужда в установке отдельной системы на базе комплекса SIEM
с целью быстрого распознавания угроз стоит особенно остро. Но достаточно ли SIEM для борьбы с современными угрозами?

Что такое SOC и SIEM

Хотя IT-профессионалы могут быть хорошо знакомы с понятиями SOC и SIEM, однако руководителей, скорее всего, придется ввести в курс дела.

Аббревиатура SOC расшифровывается как Security Operations Center (Центр службы безопасности). Поддержание кибербезопасности исключительно при помощи пассивных методов (например, фаерволов или систем IDS) сродни строению стены вокруг замка и надежде на то, что враг не сможет найти лазейку или перемахнуть сверху. Существует множество толкований термина SOC, однако в большинстве случае SOC выступает как центр управления безопасностью компании или организации. Формирование SOC включает в себя найм команды профессионалов, настройку процессов мониторинга сервера и/или всей сети и комплекс мер реагирования при возникновении инцидентов. Иногда функции этого центра завязаны на одном человеке, но такие случаи скорее исключение.

Каждому SOC’у требуются инструменты наподобие SIEM (Security Information and Event Management; Управление событиями и информационной безопасностью), который представляет собой набор утилит для получения информации, необходимой для детектирования и управления событиями, связанными с безопасностью.

Точнее говоря, система SIEM собирает и упорядочивает данные из различных источников. Информация может браться из журналов сообщений (syslog), логов операционной системы, конечных устройств, фаерволов/IDS или сети. Вместо того чтобы собирать все подряд, SIEM удаляет нерелеватную информацию. По-другому эта операция называется нормализацией. После первоначальной обработки SIEM использует правила умной корреляции для подсвечивания связей между событиями, которые затем анализируются командой IT-поддержки. Далее специалисты применяются различные техники, как, например, анализ NetFlow и другие методики для поиска причин аномалий и, если требуется, предпринимают меры для защиты IT-инфраструктуры бизнеса.

Помимо того, что каждом SOC’е будет использоваться приложения в духе SIEM, этот набор утилит также используется командами по реагированию на киберинциденты (CIRT) и как часть других IT-служб, имеющих отношение к безопасности. Например, в Лос-Анжелесе комплекс SIEM был внедрен как часть централизованного командного центра, связанного с кибер-вторжениями.

Нужно ли что-то помимо SIEM?

Одно из ограничений SIEM заключается в том, что обрабатываются исключительно сигналы, генерируемые системой. Хотя если кибератака реализуется вручную, а не при помощи вредоноса, то может остаться незамеченной. Кроме того, могут возникнуть специфические аномалии, связанные с пользователями, которые могут сигнализировать о надвигающейся угрозе. Например, специалист одного из департаментов во время планирования своих злонамеренных действий мог подключаться к системе несколько раз, которую в целом редко использует. Или другой сценарий: учетные записи одного из сотрудников были украдены во время фишинговой атаки и использованы злоумышленником для доступа к системе в непривычное время или одновременно с легитимным пользователем.

Эти сценарии относятся к сфере анализа поведения пользователя (UBA). Если внедрить приложения, позволяющие выполнять подобный анализ, в связке с SIEM, то получим систему способную сопоставлять внутренние и внешние сигналы и от систем, и от пользователей.

Несмотря на то, что сам по себе запуск и поддержка SOC требует активных действий, многие компании следуют стандартным стратегиями и тратят много времени на просеивание предупреждений. Даже там, где используются технологии предотвращения вторжений, реакция на инциденты, как правило, очень медленная из-за размера и сложности сетей.

Часть проблемы заключается в том, что большинство утилит из линейки SIEM/UBA сами по себе не очень адекватны. Однако возможно использовать эти средства в связке с другими мерами, например:

    Конечными устройствами для детектирования и реагирования (EDR), находящимися за пределами фаервола.

    Источниками информации, посвященными аналитике угроз.

    Ловушками в виде ресурсов (honeypot), файлов, пользователей и учетных записей.

    Заранее заготовленными схемами детектирования.

    Технологией централизованного управления журналами.

Естественно, в компании должны быть образовательные программы и база знаний, где рассказывается, как объединить все вышеуказанные средства в единый SOC. Еще один вариант сделать хорошо управляемый SOC с наилучшей экспертизой в сфере безопасности и утилитами – интегрировать облачные SaaS-приложения.

Однако даже если интегрировать SIEM, UBA, другие утилиты и процессы, связанные с безопасностью, что приведет к повышению эффективности и уменьшению «слепых зон», можно сделать и другие улучшения.

Подавляющее большинство данных, помеченных SIEM, слава богу, не представляет угрозы. Тем не менее, аналитики должны анализировать каждый случай, чтобы выловить 2-5% информации, имеющей отношение к реальным атакам.

Чтобы снизить уровень шума и улучшить эффективность специалистам по информационной безопасности можно взять пример из медицинской индустрии. Когда скорая помощь прибывает на место, где произошел несчастный случай, то медработники не распределяют равномерно свои усилия на всех пострадавших. Как вы понимаете, довольно странно тратить драгоценное время на перелом руки, если рядом лежит человек, умирающий от потери крови.

То есть, специалисты, находящиеся на первом рубеже реагирования, сортируют и быстро оценивают степень тяжести несчастного случая и расставляют соответствующие приоритеты.

Если сортировка будет привязана к SIEM, специалисты отдела SOC смогут быстро реагировать на наиболее очевидные и важные сигналы, вместо растрачивания временных ресурсов впустую на нерелевантную информацию. Сортировка также поможет аналитику избежать замыливания взгляда на неактуальные сведения, что может стать причиной пропуска реальных угроз из-за постоянного потока ложных предупреждений.

Таким образом, SIEM с интегрированной системой UBA и платформой для сортировки событий уже начинает представлять из себя нечто интересное. Однако можем ли мы пойти еще дальше?

Чем быстрее специалисты центра SOC смогут реагировать на инциденты, чем меньше вероятность простоя и потерь у бизнеса. Вместо того, чтобы ждать, пока специалист среагирует на наиболее важные сигналы, можно настроить так, чтобы приложение реагировало автоматически. Например, если от SIEM и UBA поступают сигналы о возможной атаке, а от сортировочной платформы приходит сигнал о том, что нужно начать немедленное расследование, еще до начала расследования можно заблокировать IP-адреса, удалить права доступа и/или изолировать сети.

Кроме того, система управления общим документооборотом, где будет храниться системная и контекстуальная информация в структурированном виде, значительно упростит расследование после возникновения инцидента.

Центр SOC будущего

По мере роста индустрии IoT (интернет вещей), текущая модель SOC становится все более устаревшей. С другой стороны, вполне вероятно искусственный интеллект и машинное обучение сделают умнее приложения, связанные с безопасностью.

Хотя и невозможно точно сказать, какова будет SOC будущего, собрав воедино SIEM, UBA и другие утилиты вместе с платформой сортировки, приложением для автоматического реагирования и системой управления документооборотом, компании, как минимум, сделают уверенный шаг в сторону построения модели центра безопасности будущего.

Источник: securitylab.ru

Медведев присвоил статус ТОР двум свердловским «атомным» городам

Премьер РФ Дмитрий Медведев Яромир Романов

Премьер-министр России Дмитрий Медведев подписал постановление о присвоении статуса территории опережающего развития ЗАТО Новоуральск и Лесной, где градообразующими являются предприятия «Ростома». Об этом Znak.com Читать далее »