Létrehozásának irányelvei gossopki központok (1. rész)
Ma előestéjén a nap a SOC Fórum Astana, szeretném megosztani a benyomásait a 66 tistranichnogo „című dokumentum iránymutatások létrehozását megyei és korporatív állam felderítése központok, megelőzése és megszüntetése következményeinek számítógépes támadások információs források az Orosz Föderáció” által kidolgozott, a Nemzeti koordinációs központ számítógépes incidensek (NKTSKI), amely felügyeli a letelepedés és a működés GosSOPKI. Megvan a kezébe egy dokumentumot, csak meghatározza, hogyan kell létrehozni a vállalati és megyei központok a nemzeti rendszer támadásészleléstől.
Nem fogok festeni minden 66 oldalas dokumentum; Csak érintse meg, hogy mi után három pohár vörösbor, észrevettem egy repülőgép repül az útvonalon „Moszkva - Astana”. Azt kell mondanom, hogy a dokumentum nem ad választ az összes kérdésre, amely felmerülhet, ha létre saját Soca. Ez inkább egy olyan fogalom, amely ezután bővíthető és kiegészíthető. A képzési kézikönyv sok utalást jövő dokumentumok, rendeletek, kölcsönhatás interfészeket kell kidolgozni csak a fejlesztési GosSOPKI. Másik jellemzője a használati útmutatóban kantselyarizm. Helyek kell gázol keresztül az újonnan bevezetett, és nem azonnal érthető. Csak miután többszöri figyelmes áttanulmányozása (és három pohár vörös nem könnyítik meg a feladatot), akkor megértjük, hogy itt ez az arány körülbelül UEBA (felhasználó entitás viselkedés analitika), és itt a NBAD (hálózati alapú anomáliák felderítése), és itt a SIEM.
Egyértelmű, hogy a fő feladat GosSOPKI, amint az a neve, a terrorizmus elleni számítógépes támadások, melyek során a dokumentum tarkított számítógép események és veszélyek. Ezek mindegyikének megvan a saját meghatározása szempontjából, de néha úgy tűnik nekem, hogy ezek össze vannak zavarodva. Az incidens - sérti a működését az információs infrastruktúra a tárgy, ami oka lehet a támadás, és talán nem támadás. Attack - jelentős hatással céljára egy biztonsági rés (mellesleg, a ventilátor és alkalmi rohamok jönnek a figyelmet a dokumentum, vagy nem?), És a fenyegetés - egy sor feltételek és tényezők, amelyek kockázatot jelentenek a biztonság. Ha teljesen egyszerűsített fenyegetés - valami, ami történhet, a támadás - mi történt, de az eset - ahol minden vezetett.
Például az iránymutatások szerint a használati eset (a dokumentumban említett „tipikus eset”) fogja meghatározni a fejlesztés során GosSOPKI, amelyet adott ajánlásokat reagál rájuk. Azt is azonosítani típusú támadások, amelyek fogja meghatározni az iratok, amelyek mondják ki az eljárást NOB és a személyzet intézkedéseket követően a támadások (feltételezve, hogy egy ismerős kifejezés „Playbook”, de ez vkusovschina). A 8. fejezetben kézikönyvek egyértelműen azonosítani 4 csoport események és azok tartalma (a lista valamilyen okból zárva van, és nem bővíthető). Ezzel lista volt kérdés. Miért hagyományos vírus egyenlített APT? Miért botnet irányító központ kapcsolódik az esetet, de nem támadnak? Vagy ugyanazt a spam? Vagy brute force jelszó Ha követed a szempontból, ez még mindig nem incidensek, nevezetesen a támadást. Én átdolgozták ebben a szakaszban alapuló, bármely meglévő taxonómiákat támadások.
By the way, nem tudom, hogy a véletlen, de néhány nappal ezelőtt, a Honvédelmi Minisztérium Kazah webhelyét feltörték. És ez a (második) támadás (esemény), amelynek egyértelműen reputációs kár (ha nem volt behatolás), a lista incidensek kézikönyvek NKTSKI nem tartalmazza. Ez nem tekinthető komoly probléma? Vagy elfelejtette, mint az orosz oldalak már régóta nem elcsúfít?
A második nem egészen világos számomra a dolog, a befogadás dinamikus NOB (is lehet naponta egyszer frissülnek) és statikus dokumentumok és kényelmesebb a fej közepén GosSOPKI. Itt, az úton is - a szövegben említett fej központja és a fő központja GosSOPKI. Eleinte azt hittem, elírás, de aztán rájött, hogy a különböző központok - az egyik legfontosabb, a másik szülő :-) De ez nem egy komoly akadálya, és lehet javítani a jövőben változatban a javaslatokat, amelyek, azt hiszem, lesz megváltoztatni.
7 védőintézkedések GosSOPKOY:
PS. Általában a dokumentum kiderült jó, de akkor le kell vonnia egy párszor friss szemmel. Akkor lett volna kevesebb, mint amelyre fogások a szem.