На чем бы эти гении играли?
19 июня 2018
Нельзя не обратить внимание на недавнюю новость из мира большого бизнеса – здесь есть о чем поговорить:
«Ростелеком» приобрел 100% акций компании Solar Security, лидера в области целевого мониторинга и оперативного управления информационной безопасностью. Оператор планирует создать экосистему из обширного набора телеком-услуг и цифровых сервисов, важной частью которых являются сервисы информационной безопасности, рассказали в компании.
На базе Solar Security будет создан национальный оператор кибербезопасности России, который займется созданием сервисов, собственных продуктов и комплексных решений по кибербезопасности.
https://www.computerworld.ru/news/Rostelekom-kupil-kompaniyu-Solar-Security
«Национальный оператор кибербезопасности России» – звучит более чем солидно. Разберемся?
В наших выпусках мы в основном говорим о мерах защиты, доступных для обычных пользователей. Но резервным копированием и антивирусом возможные меры защиты не исчерпываются.
Зачем нужны более продвинутые технологии? Проблема – в неизвестных угрозах, информация о которых еще не была получена разработчиками средств защиты или не была загружена пользователями в ходе обновлений.
Как можно противодействовать таким угрозам? Простейший способ – создание белых списков запускаемых программ. Но он не идеален хотя бы потому, что пользователи в большинстве своем не могут определить нужные им программы, выделить системные процессы и т. д.
Другой способ реализован в превентивной защите – она анализирует поведение запущенных программ и ищет среди них аномалии. Отличный метод, но и правила превентивной защиты тоже нужно обновлять.
Автоматически добавлять правила позволяет облако – сбор информации со многих компьютеров и выявление множественных аномалий схожей природы помогают предотвратить возможную атаку.
А есть еще SIEM, SOC, CERT и CSIRT – модные слова, о которых сейчас много говорят.
SIEM — Security Information and Event Management, термин был введен в оборот по некоторым данным в 2000-2001 гг., когда еще ArcSight назывался Wahoo Technologies, а по другим — в 2005 г. представителями компании Gartner. Были в ходу и вариации этой аббревиатуры: например, название SIM использовалось компанией Symantec для подобного класса решений.
https://www.anti-malware.ru/analytics/Technology_Analysis/...
SIEM – это автоматизированный анализ событий, происходящих на контролируемых компьютерах. Грубо говоря, система собирает записи в логи, упорядочивает их и анализирует. SIEM может принимать и данные с антивирусов.
Таким образом, SIEM – это по сути развитие облаков антивирусов, когда пользователь имеет доступ к собираемым данным. Но сама по себе SIEM мало чего может – поступающие данные нужно кому-то анализировать, кто-то должен принимать решение и т. д. А это уже SOC:
SOC — Security Operations Center, термин весьма широк, а потому им называют практически любую организованную деятельность вокруг обнаруженных в SIEM инцидентов, для уменьшения false positive и true negative в работе корреляционных правил (тут целый пласт связанных с этим задач) и с целью повышения эффективности работы специалистов ИБ внутри самого SOC (да, похоже это рекурсия, а точнее бесконечный процесс). Пожалуй, именно из-за такого широкого значения термина складывается впечатление, что вообще любая жизнь в отделах ИБ может называться SOC.
Забавно: получается, что все мудреные слова просто-напросто прикрывают уже известные вещи:
Пожалуй, самая большая путаница возникает вокруг терминов CERT, CSIRT. Любую команду, занимающуюся реагированием и разбором инцидентов, стали называть CERT, некоторые, считающие себя более продвинутыми, используют CSIRT с акцентом на слово Security
https://www.anti-malware.ru/analytics/Technology_Analysis/...
Аббревиатура CERT расшифровывается как Computer Emergency Response Team. Иногда она принимает значение Компьютерной команды безопасности по реагированию на инциденты — CSIRT (Computer Security Incident Response Team). Слово «команда» в данном случае часто заменяется словом «центр».
Мы начали с новости о покупке Solar Security. Наиболее вероятно, что это будет очередной CERT, которых уже создано, мягко говоря, немало. Самые известные среди них – ГосСОПКА и FinCERT, а кроме них еще есть НКЦКИ, GovCERT, CERT МО, CERT-GIB, Ru-CERT… Зачем они нужны?
Их задача – сбор информации и выработка рекомендаций по предотвращению угроз.
#технологии #антивирусАнтивирусная правДА! рекомендует
«На чем бы эти гении играли, не будь простых настройщиков роялей»? Забавно, сколько структур могут анализировать сообщения обычного антивируса.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
23:24:38 2019-04-29
Денисенко Павел Андреевич
16:25:37 2018-08-04
BigVal
15:35:35 2018-07-06
Ruslan
11:55:32 2018-06-29
МЕДВЕДЬ
18:54:36 2018-06-22
Вячeслaв
09:55:54 2018-06-21
При этом все фиолетово, что бесплатные антивирусы прут информацию с якобы защищаемых машин
Внешне все пристойно? Значит нормально
a13x
09:39:52 2018-06-21
Виндовс встроили свой антивирус, который работает по умолчанию где-то с 8-ки. И как бы средний пользователь не понимает: а на что мне всё ещё нужен сторонний антивирус? Против оптимизаторов же выступают, мол, зачем оптимизаторы,клинеры и прочие программы нужны, ведь в Майкрософт не дураки, сидят, так на кой сторонний антивирус, когда включенный в десятку антивирь и так защищает?
Плюс телефоны теперь со встроенными защитами. От той же компании Сяоми, в чьих телефонах ты можешь базы трёх компаний выбрать для юзания.
Я про это. Про жёсткую конкуренцию. Про закручивание гаек.
zsergey
07:55:41 2018-06-21
Vlad
07:03:36 2018-06-21
GREII
21:14:41 2018-06-20
Вячeслaв
09:55:22 2018-06-20
Знаете как мы боялись, когда Microsoft купил Гекад? Или как нам предсказывали смерть когда появились облака? А сейчас на нас поглядывает ИИ - и скорее всего мы включим ИИ в себя и будем жить, чем системы с ИИ обойдутся без нас. А почему? Да просто потому, что выпускать программы без дыр не получится
alex-diesel
08:57:30 2018-06-20
2. "Их задача – сбор информации и ..." -вот когда сбор информации, да с моего компа, да еще кто-то новый - тревожит слегка.
3. @Morpheus, Ну да, я тоже пропустил ((
achemolganskiy
08:30:49 2018-06-20
Zserg
08:26:06 2018-06-20
Morpheus
05:10:36 2018-06-20
Владимир
23:57:06 2018-06-19
Александр
23:51:25 2018-06-19
Любитель пляжного футбола
23:24:23 2018-06-19
razgen
22:07:43 2018-06-19
razgen
22:02:40 2018-06-19
Dvakota
21:49:31 2018-06-19
Toma
21:29:11 2018-06-19
Littlefish
21:22:34 2018-06-19
Littlefish
21:20:11 2018-06-19
Andromeda
21:06:10 2018-06-19
anatol
20:55:47 2018-06-19
Шалтай Александр Болтай
20:45:08 2018-06-19
Любитель пляжного футбола
20:42:31 2018-06-19
Альфа
20:40:40 2018-06-19
Геральт
20:37:47 2018-06-19
Шалтай Александр Болтай
20:35:23 2018-06-19
Х...р
20:21:38 2018-06-19
Сергей
20:13:10 2018-06-19
Damir
19:24:22 2018-06-19
ka_s
19:00:24 2018-06-19
aleks_ku
18:48:19 2018-06-19
Татьяна
18:37:00 2018-06-19
B0RIS
18:15:37 2018-06-19
Раш КХ
17:59:23 2018-06-19
a13x
17:59:21 2018-06-19
mk.insta
17:49:17 2018-06-19
znamy
17:37:58 2018-06-19
kva-kva
17:22:56 2018-06-19
duduka
16:50:55 2018-06-19
La folle
16:45:19 2018-06-19
Masha
16:45:06 2018-06-19
vasvet
16:40:59 2018-06-19
Людмила
16:30:06 2018-06-19
в нашей компании настройщиков роялей отбирают здесь:) https://company.drweb.ru/careers/
tigra
16:08:44 2018-06-19
ek
16:03:59 2018-06-19