Мониторинг и SIEM

Статистические модели в IDS: как ROC-анализ помогает принять инженерное решение

от

"Статистические методы в системах обнаружения вторжений, это не просто набор алгоритмов, это инженерный подход к тому, как сделать неопределённость измеримой. ROC-кривая при этом становится не просто графиком, а инструментом принятия решений о том, какой уровень ложных срабатываний мы готовы терпеть ради обнаружения реальных угроз. Внедрение таких моделей меняет саму философию работы SOC: от реагирования на … Читать далее

Выбор NGFW в России: обзор и критерии после ухода лидеров рынка

от

«Ощущение выбора на рынке межсетевых экранов нового поколения (NGFW) в России — иллюзия. Реальная задача теперь — не выбрать самый лучший, а найти тот, который просто будет работать стабильно, масштабироваться, а его вендор не скроется за горизонтом через полгода. На кону не только функциональность, но и предсказуемость всего жизненного цикла продукта.» Контекст рынка: почему западные … Читать далее

Почему «работает» — опасный аргумент в пользу старой SIEM-системы

от

«Смена SIEM, это разговор с бизнесом о том, что текущая «работающая» система больше симулирует работу, чем выполняет её. Она создаёт иллюзию контроля, но на деле слишком медленная, дорогая и беспомощная перед современными угрозами. Это не обсуждение функций, а спор о стратегии: стоит ли застревать в прошлом или сделать рывок к реальной осведомленности.» Почему «работает» — … Читать далее

Как перейти на Zero Trust за три дня без простоя: практический опыт

от

«Внезапное требование соответствия Zero Trust в госсекторе, это не конец, а возможность переписать правила игры. Задача кажется невозможной, пока ты не откажешься от главного мифа: что доверие, это зона. Три дня были не хаотичной сменой технологий, а переключением с географии на человека. Результат — ноль простоя не потому, что я всё спланировал, а потому, что … Читать далее

Настройка автоматического сканирования съемных носителей

от

Практическое руководство по организации непрерывной проверки USB-накопителей, SD-карт и внешних дисков на наличие вредоносного кода. От политик антивирусной защиты до интеграции с SIEM и автоматического реагирования на инциденты. Почему автоматическое сканирование остается актуальным Съемные носители остаются одним из наиболее сложных векторов для защиты. Они физически перемещаются между сетями, обходят периметральные средства защиты и часто используются … Читать далее

Как убедить руководство вложиться в безопасность: цифры и история

от

Мы часто видим только цифры — рост выручки, проценты, ставки, которые должны всё решать. Но за каждым решением стоит человек, который мыслит не цифрами, а образами и сюжетами. Когда нужно убедить кого-то вложить ресурсы, особенно в IT-безопасность, одну логику подкрепляют другой — эмоциональной. Методика «три цифры и одна история» не просто учит рассказывать. Она учит … Читать далее

От отчета к диалогу: почему совету директоров нужен язык киберрисков

от

“Управление киберрисками на уровне совета директоров, это не формальность «для регулятора» и не фильтр докладов от ИБ-службы. Это вопрос языка: умения переводить технические индикаторы в стратегические последствия для бизнеса, денег и репутации. Без такого перевода решения в лучшем случае принимаются в вакууме, а в худшем — создают иллюзию безопасности.” От отчёта к диалогу: зачем совет … Читать далее

После увольнения сотрудника его API-ключ месяц лежал в открытом доступе

от

«Ситуации, когда после увольнения сотрудника остаётся дыра в безопасности, случаются постоянно. В большинстве случаев это связано не со злым умыслом, а с фундаментальными упущениями в управлении доступом и аутентификацией. Я столкнулся с классическим кейсом утечки через забытый ключ API и за сутки закрыл дыру, не просто удалив ключ, а перестроив всю систему учёта привилегий под … Читать далее

Автоматизация PowerShell для безопасности Windows

от

«Защита Windows, это не только установка обновлений и настройка брандмауэра. Это прежде всего непрерывный контроль и прогнозирование угроз. Всё, что можно автоматизировать, должно работать без твоего участия, а твоя задача — анализировать исключения и реагировать на них. PowerShell, это ключ к такой автоматизации, превращающий рутинные проверки в цифрового охранника.» Что такое PowerShell в контексте безопасности … Читать далее

Забытые IoT-устройства — легальный канал утечки данных

от

«Периметр безопасности, это уже не стена вокруг сети, а контроль над каждым сетевым интерфейсом, который вы не считали важным. Забытый IoT-датчик, это не мёртвый груз, а легализованный троянский конь, который месяцами может сливать данные через доверенный канал, пока вы ищете сложные атаки.» Почему тишина в логах опаснее сотни алертов Ситуация, когда системы мониторинга молчат, а … Читать далее