9 марта, вторник 03:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Обработка инцидентов безопасности.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Обработка инцидентов безопасности.

    Коллеги, наверняка все сталкивались с такой проблемой, что подразделения зачастую скрывают информацию об инцидентах ИБ.
    Особенно это касается тех мелких инцидентов, которые наружу не выходят и ответственность за инцидент лежит на том подразделении, в котором он произошел. И это естесственно.

    Вопрос, как с этим бороться?

  • #2
    Воспитывать как-то. Донести что информация по инцидентам нужна не для того чтоб наказать провинившихся, а что было реальное представление дел. Чтобы знать где и что нужно дорабатывать, в каком направлении двигаться. Информация нужна для совершенствования организации.

    Комментарий


    • #3
      Сообщение от Sat_Kelman Посмотреть сообщение
      Воспитывать как-то.
      Взывать к совести, можно, только на это мало надежды.
      Хочется чего-нибудь более эффективного.

      Комментарий


      • #4
        Сообщение от ost Посмотреть сообщение
        Взывать к совести, можно, только на это мало надежды.
        Хочется чего-нибудь более эффективного.
        В чём проблема? Прописать в нормативном документе обязанность предоставления сведений. Не предоставил - служебка - приказ директора - лишение премии. В следующий раз через две минуты сведения предоставят.

        Комментарий


        • #5
          Сообщение от serg_mur Посмотреть сообщение
          Не предоставил - служебка - приказ директора - лишение премии. В следующий раз через две минуты сведения предоставят.
          Это не работает. Может сработать другое -- стукнул, получил премию...

          Хотелось бы услышать про технические средства обнаружения инцидентов.
          Чтобы факт возникновения инцидента фиксировался какой-то системой.
          А уж получить объяснения по этому факту проблем не будет.

          Кто-нибудь пользует такие системы?

          Комментарий


          • #6
            Сообщение от ost Посмотреть сообщение
            Кто-нибудь пользует такие системы?
            Какие именно инциденты нужно фиксировать? Примеры приведите.

            Комментарий


            • #7
              Сообщение от Sat_Kelman Посмотреть сообщение
              Какие именно инциденты нужно фиксировать
              Самый распространённый пример: использование чужого логина/пароля для входа в АБС.
              Без этой статистики невозможно доказать руководству, что роли в АБС распределены неправильно.

              Комментарий


              • #8
                Сообщение от ost Посмотреть сообщение
                Это не работает. Может сработать другое -- стукнул, получил премию...

                Хотелось бы услышать про технические средства обнаружения инцидентов.
                Чтобы факт возникновения инцидента фиксировался какой-то системой.
                А уж получить объяснения по этому факту проблем не будет.

                Кто-нибудь пользует такие системы?
                На мой взгляд лучше постараться избегать такого отношения к сообщению о произошедших инцидентах, как "настучал на соседа". Большая часть коллектива воспримет такую практику негативно.
                Лучше постараться объяснить сотрудникам, что сообщение офицеру ИБ об инциденте - это естественная обязанность добросовестного сотрудника, такая же например, как соблюдение правил дорожного движения и она помогает предотвратить более серьезные инциденты, в которых приходится выяснять, кто и когда совершил ту или иную ошибку в информационной системе. И конечно же было бы прекрасно, если такие добросовестные пользователи получали и какую-нибудь конфетку по результатам своих сообщений об инцидентах.
                Ну а технически - можно привязать вход пользователей к определенным машинам. Можно парсить лог контроллера домена на наличие захода пользователя на чужую машину. Если оперативно получать информацию о таких заходах, то можно предупреждать инциденты с заходом в систему под чужой учетной записью. После трех, пяти звонков таким сотрудникам вас уже станут считать ясновидящим и постараются не нарушать правила, раз вы об этом знаете и быстро реагируете на такие инциденты.

                Комментарий


                • #9
                  Сообщение от ost Посмотреть сообщение
                  Это не работает. Может сработать другое -- стукнул, получил премию...

                  Хотелось бы услышать про технические средства обнаружения инцидентов.
                  Чтобы факт возникновения инцидента фиксировался какой-то системой.
                  А уж получить объяснения по этому факту проблем не будет.

                  Кто-нибудь пользует такие системы?
                  SIEM?
                  Пишем, пишем, пишем, пишем документы.

                  Комментарий


                  • #10
                    Сообщение от ARsHi Посмотреть сообщение
                    SIEM
                    Оно? http://www.securitylab.ru/analytics/430777.php

                    Комментарий


                    • #11
                      Хотел сказать, что то, что ищется по определению подходит под слово SIEM. А решений немало представлено, в статье верный комментарий дается http://ismmarket.ru/index.php?option...d=77&Itemid=15
                      Пишем, пишем, пишем, пишем документы.

                      Комментарий


                      • #12
                        Если нужен SIEM то тут можно много чего найти - http://ismmarket.ru/catid=77

                        Вы также можете выборочно поставить на контроль отдельных пользователей, которых подозреваете в совершении некорректных действий, для этого есть решения по мониторингу за экранами пользователей, например вот - http://ismmarket.ru/db/Spector-360

                        А что касается организационных мер, то вместо узаконенного стукачества можно предложить "американскую" систему, т.е ввести правило, что обо всех инцидентах необходимо сообщать, а в случае если вдруг (в ходе какого-нибудь внутреннего расследования) выясниться о том, что случился инцидент, а ответственные лица знали и скрыли его, то они должны быть серьезно наказаны финансово (например, лишением премий). Но только такая мера будет работать исключительно при серьезной поддержке сверху.

                        Комментарий


                        • #13
                          Из SIEM систем использовал GFI. Так же пользовался указанным выше Спектром.
                          Спектор вещица очень мощная, интересная и временами полезная, но как показала практика, она больше интересна экономической безопасности. Для ИБ тоже соберет много интересного, но если ей пользоваться в больших объемах 100-1000чел. погрязнете в информации и не откопаетесь. Если только по отчетам выявите тенденции определенные. Правда, Спектор ставится в основном на "избранных", за кем грешок уже был замечен или на кого экономическая безопасность пальцем показала. Да и стоит он не малых денег.

                          Что касается siem системы, то в приведенном выше примере (когда используется чужой логин-пароль для АБС) они вряд ли помогут.

                          Пример.
                          Маша ушла на обед, Катя осталась в офисе. До Маши дозвонилось руководство с просьбой срочно провести платеж. Маша звонит в офис Кате, по телефону говорит ей пароль на вход ОС, пароль на вход в АБС.
                          Катя с ПК Маши входит и выполняет все действия.

                          SIEM система это событие как инцидент не отработает, потому что ничего выходящего за рамки обычного в этих действиях нет.
                          Если бы Катя зашла со своего ПК в АБС под учеткой Маши, и в siem системе есть правило коррелирующее два этих события - "Не соответствие учетки windows и учетки АБС" - тогда бы сработал АЛАРМ.

                          Тут еще нюансы появляется - заставить siem систему понимать лог АБС и правильно коррелировать с другими событиями.

                          Вход в АБС по отпечатку пальца?
                          При входе в АБС щелчок затвора веб камерой для определения соответствия личности?

                          Может у кого-то и есть такое. Я не видел.

                          Комментарий


                          • #14
                            Сообщение от Whitenoise Посмотреть сообщение
                            Вход в АБС по отпечатку пальца?
                            При входе в АБС щелчок затвора веб камерой для определения соответствия личности?
                            Корреляция с логами СКУД

                            Комментарий


                            • #15
                              инцидент с ДБО и Админским доступом http://top.rbc.ru/society/31/10/2013/886026.shtml
                              Мы продолжаем делать то, что мы уже много наделали

                              Комментарий

                              Обработка...
                              X