Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (44)
  • добавить в избранное
    Добавить в закладки

На чем бы эти гении играли?

Прочитали: 1525 Комментариев: 84 Рейтинг: 98

Нельзя не обратить внимание на недавнюю новость из мира большого бизнеса – здесь есть о чем поговорить:

«Ростелеком» приобрел 100% акций компании Solar Security, лидера в области целевого мониторинга и оперативного управления информационной безопасностью. Оператор планирует создать экосистему из обширного набора телеком-услуг и цифровых сервисов, важной частью которых являются сервисы информационной безопасности, рассказали в компании.

На базе Solar Security будет создан национальный оператор кибербезопасности России, который займется созданием сервисов, собственных продуктов и комплексных решений по кибербезопасности.

https://www.computerworld.ru/news/Rostelekom-kupil-kompaniyu-Solar-Security

«Национальный оператор кибербезопасности России» – звучит более чем солидно. Разберемся?

В наших выпусках мы в основном говорим о мерах защиты, доступных для обычных пользователей. Но резервным копированием и антивирусом возможные меры защиты не исчерпываются.

Зачем нужны более продвинутые технологии? Проблема – в неизвестных угрозах, информация о которых еще не была получена разработчиками средств защиты или не была загружена пользователями в ходе обновлений.

Как можно противодействовать таким угрозам? Простейший способ – создание белых списков запускаемых программ. Но он не идеален хотя бы потому, что пользователи в большинстве своем не могут определить нужные им программы, выделить системные процессы и т. д.

Другой способ реализован в превентивной защите – она анализирует поведение запущенных программ и ищет среди них аномалии. Отличный метод, но и правила превентивной защиты тоже нужно обновлять.

Автоматически добавлять правила позволяет облако – сбор информации со многих компьютеров и выявление множественных аномалий схожей природы помогают предотвратить возможную атаку.

А есть еще SIEM, SOC, CERT и CSIRT – модные слова, о которых сейчас много говорят.

SIEM — Security Information and Event Management, термин был введен в оборот по некоторым данным в 2000-2001 гг., когда еще ArcSight назывался Wahoo Technologies, а по другим — в 2005 г. представителями компании Gartner. Были в ходу и вариации этой аббревиатуры: например, название SIM использовалось компанией Symantec для подобного класса решений.

https://www.anti-malware.ru/analytics/Technology_Analysis/...

SIEM – это автоматизированный анализ событий, происходящих на контролируемых компьютерах. Грубо говоря, система собирает записи в логи, упорядочивает их и анализирует. SIEM может принимать и данные с антивирусов.

Таким образом, SIEM – это по сути развитие облаков антивирусов, когда пользователь имеет доступ к собираемым данным. Но сама по себе SIEM мало чего может – поступающие данные нужно кому-то анализировать, кто-то должен принимать решение и т. д. А это уже SOC:

SOC — Security Operations Center, термин весьма широк, а потому им называют практически любую организованную деятельность вокруг обнаруженных в SIEM инцидентов, для уменьшения false positive и true negative в работе корреляционных правил (тут целый пласт связанных с этим задач) и с целью повышения эффективности работы специалистов ИБ внутри самого SOC (да, похоже это рекурсия, а точнее бесконечный процесс). Пожалуй, именно из-за такого широкого значения термина складывается впечатление, что вообще любая жизнь в отделах ИБ может называться SOC.

Забавно: получается, что все мудреные слова просто-напросто прикрывают уже известные вещи:

Пожалуй, самая большая путаница возникает вокруг терминов CERT, CSIRT. Любую команду, занимающуюся реагированием и разбором инцидентов, стали называть CERT, некоторые, считающие себя более продвинутыми, используют CSIRT с акцентом на слово Security

https://www.anti-malware.ru/analytics/Technology_Analysis/...

Аббревиатура CERT расшифровывается как Computer Emergency Response Team. Иногда она принимает значение Компьютерной команды безопасности по реагированию на инциденты — CSIRT (Computer Security Incident Response Team). Слово «команда» в данном случае часто заменяется словом «центр».

https://www.anti-malware.ru/node/16464

Мы начали с новости о покупке Solar Security. Наиболее вероятно, что это будет очередной CERT, которых уже создано, мягко говоря, немало. Самые известные среди них – ГосСОПКА и FinCERT, а кроме них еще есть НКЦКИ, GovCERT, CERT МО, CERT-GIB, Ru-CERT… Зачем они нужны?

Их задача – сбор информации и выработка рекомендаций по предотвращению угроз.

#drweb

#технологии #антивирус

Dr.Web рекомендует

«На чем бы эти гении играли, не будь простых настройщиков роялей»? Забавно, сколько структур могут анализировать сообщения обычного антивируса.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: