Интересную модель определения зрелости ИБ услышал на SANS курсах.
Возьмите листик и ручку. Сделайте два столбца: Превентивные меры, Детективные меры. И запишите в них все имеющиеся у вас контроли / инструменты ИБ.
Если превентивных контролей у вас >80% - поздравляю, ваш уровень 0.
В далеком 2003 Гартнер предрёк гибель IDS в пользу IPS.
Спустя 14 лет роль IDS почти невозможно преуменьшить. Сейчас это, пожалуй, основной потребитель услуг Threat Intelligence и поставщик индикаторов компрометации (IoC). Скажи мне, как у тебя настроена IDS, и я скажу кто твоя служба ИБ.
Конечно, IDS должна стоять в разрыв и блокировать 100% вредоносную активность, но количество правил Prevention и Detection обычно отличается на порядок. Правильно настроенная IPS (я вот больше предпочитаю термин IDS, установленная в разрыв) это в гораздо большей степени уши, чем рубильник.
У IDS есть только один (серьезный) недостаток - нужны мозги чтобы понимать как она работает и что показывает, и руки чтобы отладить реакцию на каждый звоночек.
Фокус на обнаружение так же сильно удлинит цепочку расследований инцидентов, потому что "вирус удален" и "атака блокирована" больше перестанет быть результатом расследования. А куда нам нужно смотреть чтобы в следующий раз поймать нарушителя на ступеньку раньше?
Переход к детектированию угроз повлечет за собой увеличение штата ИБ. Зато появится такая классная штука, как Threat Hunting: активный поиск нарушителя в вашей сети. Теперь вы не будете ждать, пока злоумышленник нарвется на мину. Вы будете выдумывать его шаги и ловить его за хвост. Это инетерсно и весело. Наш мозг вообще очень любит охоту и благодарит за нее солидной порцией эндорфинов.
Огромный простор для творчества открывает sysmon, Yara + ELK / Splunk, Microsoft ATA. Это, пожалуй, именно та область, куда стоит расти.
Классический IDS это про известные атаки, и уж лучше пусть он будет в разрыв. Скорость реакции неизмеримо выше человеческой.
ОтветитьУдалитьНапример сигнатуры EternalBlue уже добавлены во многие детекторы, если система не в режиме IPS, то wancray быстренько завалит всю сетку пока ИБ-шник будет морщить лоб и раскачиваться.
А так, только сигнатура выскочила, сразу хост в бан и не спеша разбираешься, кто, что и зачем.
Другое дело про выявление аномалий, отклонение от среднего по больнице, поведенческий анализ. Все то что предоставляют продвинутые SIEM. Тут уже нет готовых алгоритмов и надо думать, а "чего это оно чудит", может уже враг APT зарядил.