SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

DLP системы (Data Loss Prevention, ДЛП) - что это такое

DLP системы (Data Loss Prevention, ДЛП) - что это такое
29.11.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   

Руслан Рахметов, Security Vision

В последние годы со страниц новостных изданий и профильных ресурсов по кибербезопасности не сходят громкие заголовки об утечках информации: регулярно обнаруживаемые в открытом доступе базы персональных данных, «сливы» внутренних документов и email-архивов крупных компаний, использование украденных паспортных данных в мошеннических действиях. Следовательно, разрабатывая модель угроз и нарушителя для организации, опытный специалист по кибербезопасности не должен упускать из виду угрозы, создаваемые инсайдерами - внутренними нарушителями, а также должен задуматься о применении DLP-систем для предотвращения утечек данных (DLP - Data Leak/Leakage/Loss Prevention).

Внутренние нарушители (инсайдеры) — это сотрудники и руководители организации, а также лица, имеющие с ней активные договорные отношения: партнеры, поставщики, аутсорсеры, подрядчики, заказчики и иные контрагенты. Инсайдеры отличаются хорошими знаниями о работе компании, уже имеют или легко могут получить санкционированный и зачастую расширенный доступ к ИТ-активам. Акционеры, руководители высшего звена, даже линейные менеджеры, пользуясь своим должностным положением и обосновывая срочной служебной необходимостью, могут пытаться получать высокопривилегированный доступ в обход стандартных процедур информационной безопасности, а также могут активно противодействовать мерам защиты (например, DLP-системам) или процедуре расследования в случае выявленных нарушений.

Юридические лица (подрядчики, аутсорсеры, поставщики и т.д.) могут представлять угрозу кибербезопасности для компании из-за возможности осуществления умышленных атак: кражи интеллектуальной собственности и иной интересующей их конфиденциальной информации, отработки «заказа» конкурентов, выполнения задания по поручению правительства своей юрисдикции. Кроме того, такие юридические лица могут неумышленно предоставлять свою ИТ-инфраструктуру в качестве плацдарма для атак внешних злоумышленников: например, хакеры зачастую скрытно закрепляются в системах взломанной организации для того, чтобы атаковать более интересные для них цели. Так, взломав IT-компании SolarWinds и Kaseya, атакующие получили доступ к инфраструктурам клиентов данных компаний, в результате чего атакованными оказались многие организации, которые, возможно, были защищены даже лучше, чем их провайдеры ИТ-услуг, которые оказались «слабым звеном».

Более распространенным способом проникновения, однако, остаются настроенные между компаниями VPN-туннели, которые позволяют хакерам, находясь в инфраструктуре взломанной компании, атаковать её контрагентов через это VPN-соединение. Известны случаи, когда причинами утечек становились поставщики IT-сервисов, производители вспомогательного оборудования и сотрудники компании-подрядчика. Таким же «посредником» для атаки может стать и ничего не подозревающий сотрудник компании, по невнимательности запустивший вредоносный файл на своем ноутбуке, который он затем подключил к корпоративному VPN для работы из дома. Вирус, получив контроль над зараженным ноутбуком, может передать управление атакующему, который, поняв, что это не простой домашний ноутбук, а корпоративное устройство, скорее всего разовьет атаку: похитит учетные данные сотрудника (доменное имя пользователя и пароль), затем постарается проникнуть в инфраструктуру компании для хищения конфиденциальной информации, запуска вируса-шифровальщика, майнинга криптовалюты и т.д.

Итак, инсайдерами можно считать как лиц, которые умышленно осуществляют несанкционированный доступ к защищаемой информацией с различными деструктивными целями, так и тех, чьи аккаунты и рабочие станции были скомпрометированы злоумышленниками. Вредоносное ПО, попав в инфраструктуру целевой атакуемой организации, будет на первых порах работать от имени похищенной учетной записи, с дальнейшими попытками получить доступ к самым высокопривилегированным аккаунтам (например, администратора домена/предприятия) и отключением всех защитных систем (в т.ч. антивируса, фаирволла, DLP системы). Как раз на этом этапе кибератаки, когда несанкционированные действия выполняются из-под учетных записей обычных, низкопривилегированных пользователей, мы и можем осуществить реагирование и предотвратить негативные последствия взлома с помощью систем класса DLP (Data Leak/Leakage/Loss Prevention, системы предотвращения утечек/потери данных). Данный класс решений осуществляет контроль за работой сотрудников с защищаемой информацией, за потоками конфиденциальных данных в инфраструктуре компании и способами их обработки. Контролируемые каналы потенциальной утечки информации у разных производителей DLP-систем могут отличаться, но, как правило, основными способами хищения данных являются:

  • копирование файлов на съемные накопители (флешки, CD/DVD-диски) и мобильные устройства (смартфоны, планшеты)

  • передача по электронной почте

  • передача через веб-сервисы (мессенджеры, соцсети, облачные хранилища)

  • передача через сервисы синхронизации данных (например, OneDrive, Dropbox)

  • передача через AirDrop и Bluetooth-соединения

  • передача через буфер обмена (возможность скопировать данные через удаленное RDP-подключение)

  • распечатывание, фотографирование и сканирование документов.

В случае хакерской атаки с помощью скомпрометированных учетных записей каналы вывода (эксфильтрации) информации могут быть более изощренными: например, через разнообразные Web API с передачей данных через защищенный HTTPS-протокол, через протокол удаленной синхронизации данных (rsync), через SFTP/SCP/SSH-соединение, путем создания скрытых каналов передачи данных (например, с инкапсуляцией похищаемой информации в DNS/ICMP-трафике), с применением методов стеганографии (сокрытие передаваемых данных внутри файлового контейнера, например, безобидной картинки).

По принципу работы системы DLP можно условно разделить на агентные и безагентные, с возможностью оперативной блокировки несанкционированных действий «на лету» или позволяющие только осуществлять пост-мониторинг выполненных действий. Также DLP-решения отличаются по функциональным возможностям выявления конфиденциальной (защищаемой) информации в потоках данных, по количеству поддерживаемых файловых форматов и сетевых протоколов, по наличию функционала поиска и классификации конфиденциальной информации на сетевых хранилищах и на локальных дисках, а также по наличию дополнительных модулей (модули машинного обучения, компьютерного зрения, выявления аномалий в поведении пользователей и систем и т.д.).

Агентные системы предотвращения утечек данных подразумевают установку DLP-агента на все контролируемые устройства (ПК, ноутбуки, серверы, мобильные устройства), невидимого и неотключаемого для обычного низкоприлегированного пользователя. Такой DLP-агент работает аналогично антивирусу: устанавливается в операционную систему на низком уровне, осуществляет перехват системных вызовов, контролирует работу дисковой подсистемы и сетевую активность для выявления защищаемой информации. Минусами агентного DLP-решения можно назвать возможность отключения/приостановки DLP-агента высокопривилегированным пользователем (локальным администратором), зависимость агента от окружения (может некорректно работать на атакованной злоумышленниками системе), ресурсоемкость (повышенное потребление вычислительных ресурсов устройства, на котором он установлен).

Безагентные системы функционируют на уровне контроля сетевого трафика, а также устанавливаются на точки обработки потоков информации (корпоративные прокси-серверы, почтовые серверы, файловые серверы, серверы бизнес-приложений). При работе DLP-систем на уровне контроля сетевого трафика их подключение осуществляется либо через SPAN-порт маршрутизатора (схема «зеркалирования», mirroring), либо через TAP-подключение (установка устройства с DLP-компонентом «в разрыв» сетевого соединения). В случае использования TAP-подключения можно выполнять инспекцию SSL/TLS-трафика, доля которого в современном интернете близка к 90%. Установка DLP-компонент на важные инфраструктурные объекты (почтовые, файловые, бизнес- и прокси-серверы) подразумевает контроль обработки информации вне зависимости от пользовательских конечных точек - иначе говоря, сотрудник может работать с корпоративной электронной почтой с личного iPhone, на котором нет DLP-агента, и тем не менее его действия с защищаемой информацией будут отслеживаться.

DLP-системы, обеспечивающие возможность блокировать несанкционированную обработку информации, позволяют значительно снизить риск утечки информации и, как следствие, уменьшить ущерб от такого инцидента практически до нуля. Однако, работа DLP-решения в режиме блокировки имеет свои очевидные недостатки: в случае False Positive (ложноположительного срабатывания), когда DLP ошибочно заблокировала санкционированный, легитимный обмен информацией, соответствующий бизнес-процесс будет приостановлен. Приведем пример: DLP-решение ошибочно приняла файл с открытой конкурсной документацией за конфиденциальный договор и заблокировала email-отправку такого файла, таким образом заблокировав бизнес-процесс до момента ручного вмешательства специалиста по ИБ, который должен проанализировать заблокированный файл, понять, что классификатор отработал неверно, добавить этот файл в «белый список», связаться с отправителем и попросить его повторить отправку email. Таким образом, работа DLP-системы в режиме блокирования требует очень тщательной предварительной настройки, классификации и тюнинга правил контроля информации для минимизации подобных ложноположительных срабатываний.

DLP-решения по защите от утечек данных, работающие в режиме мониторинга, осуществляют, по сути, постфактум-анализ произошедшего с данными: в случае, когда передача событий безопасности и предупреждений от DLP-агента осуществляется непрерывно, в режиме реального времени, это лишь незначительно снижает общий уровень защищенности конфиденциальной информации, поскольку дежурный аналитик SOC-центра может своевременно предпринять дополнительные действия по недопущению утечки информации: связаться с руководителем сотрудника-нарушителя, заблокировать доступ к облачному хранилищу, принудительно отключить съемный накопитель и т.д. Однако в случае, если сетевая коммуникация между DLP-агентом и центром управления DLP-системой нарушена (например, нарушитель намеренно отключил интернет на время копирования данных на флешку), то реакция может быть слишком запоздавшей. Однако, даже DLP-система в режиме мониторинга окажет неоценимую помощь путем обогащения данных о событиях безопасности, поступающих, например, в SIEM-систему. Сведения о действиях пользователей с файлами, их работа с облачными хранилищами, съемными накопителями и иными потенциальными каналами утечки информации будет чрезвычайно полезной при анализе инцидентов и проведении форензик-исследований.

Функциональные характеристики способов выявления конфиденциальной (защищаемой) информации в потоках данных играют решающую роль при выборе DLP системы, поскольку именно возможности семантического анализа содержимого определяют конечную эффективность системы предотвращения утечек данных. Представим, что в перечень защищаемых сведений мы внесли персональные данные наших сотрудников и клиентов; таким образом, все файлы и документы, содержащие фамилии, имена, отчества, даты рождения, серии/номера паспортов и прочее DLP-система должна интерпретировать, как конфиденциальные, путем семантического анализа контента (содержимого).

Семантическое ядро DLP системы может использовать:

  • Регулярные выражения: применяется для структурированных данных, таких как паспортные данные, данные банковских карт и номеров страхования.

  • Сравнение по ключевым словам: применяется для поиска конкретных «секретных» слов в содержимом файлов (название нового продукта, химические формулы, наименования компаний-поставщиков).

  • Поиск по полному совпадению файлов: применяется для контроля обработки известных заранее и неизменных файлов (например, подписанные электронной подписью договора, зашифрованные файловые контейнеры, дистрибутивы проприетарного ПО).

  • Поиск по структуре файлов: анализ содержимого файла выявляет определенную частоту употребления ключевых слов и структуру документа, на основании чего делается вывод о принадлежности документа к той или иной категории конфиденциальной информации (например, документы, содержащие в правой верхней части страницы «шапку», считаются заявлениями сотрудников, а документы, содержащие в колонтитуле каждой страницы название и адрес компании - объектами интеллектуальной собственности).

  • Поиск по содержимому с использованием машинного обучения: система DLP обучается на некотором большом наборе документов и файлов, которые аналитик ИБ пометил как конфиденциальные. Далее при обнаружении нового файла DLP-система проводит его сравнение с ранее проанализированными файлами и принимает решение, может ли с определенной долей вероятности данный файл содержать конфиденциальную информацию.

Дополнительный функционал DLP-систем может включать в себя:

  • Модуль анализа файловых хранилищ: используется для анализа файлов на общих сетевых дисках для поиска конфиденциальных документов, хранящихся в общем доступе с некорректными правами, для выявления владельцев файлов (по количеству и частоте обращений к документу конкретного пользователя), для структурирования и наглядного представления состояния системы хранения документов в компании, для дедупликации данных.

  • Функционал записи действий на устройстве: помогает контролировать деятельность как сотрудников, так и подрядчиков и аутсорсеров в IT-системах организации; также может использоваться при проведении внутренних проверок (расследований) и при форензик-исследовании устройства.

  • Модуль выявления аномалий в поведении пользователей: применение машинного обучения позволяет выявить отклонения в нормальном рабочем поведении пользователя, такие как работа в нехарактерные часы (ночью в выходные), запуск редких системных утилит, установка и работа подозрительного ПО, посещение нетипичных для пользователя веб-ресурсов, изменение круга общения в корпоративном мессенджере, даже резкое повышение количества опечаток, что может говорить о стрессе или выгорании.

  • Модуль OCR (optical character recognition, оптическое распознавание символов): позволяет перевести картинку, например, отсканированный текст, в машиночитаемый вид для применения семантических алгоритмов.

  • Модуль машинного зрения (computer vision): применяется для анализа поведения и действий сотрудников за экраном рабочего компьютера, оснащенного веб-камерой, например, для выявления фактов фотографирования экрана или нецелевого использования рабочего времени.

  • Модуль распознавания речи: использование встроенного в рабочий компьютер микрофона для выявления фактов устного разглашения конфиденциальной информации.

Отметим также, что внедрение DLP-системы — это комплексный процесс, который включает в себя оценку текущего состояния процессов ИБ в компании, анализ информации, представляющей ценность и обрабатываемой в цифровом виде, проведение классификации ИТ-активов, содержащих конфиденциальные данные, интервьюирование ответственных и владельцев бизнес-процессов. Для юридического и документарного обоснования работы DLP-системы следует ввести в компании режим коммерческой тайны (в соответствии с нормами 98-ФЗ «О коммерческой тайне»), подготовить список сведений, составляющих коммерческую тайну компании, затем ознакомить с документами сотрудников компании под роспись, особо подчеркнув в них факт применения в компании DLP-системы. Кроме того, в качестве организационных мер борьбы с внутренними угрозами можно применять проведение проверок соискателей при приёме на работу, психофизиологические исследования с применением полиграфа, обучение и регулярное повышение осведомленности работников в области информационной безопасности и требований организации по работе с информацией, а также непрерывное обеспечение и контроль кадровой и психологической безопасности членов коллектива - выявление негативных тенденций, работа с негласными информаторами, взаимодействие с формальными и неформальными лидерами коллективов. Для минимизации рисков, порожденных юридическими лицами (аутсорсерами, подрядчиками, поставщиками и т.д.), следует заключать с ними юридически верно составленное соглашение о неразглашении (NDA, non-disclosure agreement) с указанием ответственности за его нарушение и порядка компенсации ущерба; также может проводиться проверка благонадежности контрагентов, анализ истории и возможностей поставщиков, оценка возможных рисков оказания тех или иных услуг определенным лицам, дополнительно может осуществляться неформальный аудит информационной безопасности поставщиков и подрядчиков (в виде опросников). Отметим также, что анализ мест хранения и способов обработки охраняемой информации, пересмотр семантических правил выявления конфиденциальной информации DLP-системы и актуализацию списка сведений, составляющих коммерческую тайну, следует проводить с заранее определенной периодичностью (но не реже 1 раза в год), включив данный процесс в систему управления информационной безопасностью в компании.

В заключение отметим, что DLP-системы могут быть успешно применены для борьбы как с внутренними нарушителями, так и с внешними угрозами: например, попавшее в систему шпионское ПО будет вести себя как типичный инсайдер: сканировать корпоративную ЛВС, искать ценную информацию в сети и локально, пытаться передать найденные данные наружу. Такой киберинцидент может привести к существенному ущербу для компании, если добычей вируса-шпиона станет конфиденциальная корпоративная информация или персональные данные клиентов.

Время реагирования на подобные киберинциденты должно быть максимально сокращено, поскольку с момента первичного проникновения в сеть до вывода похищенных данных зачастую проходят считанные минуты. Для минимизации значений показателей MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент) применяются системы автоматизации процессов ИБ и реагирования на киберинциденты - такие, как IRP/SOAR-решение Security Vision. Данный продукт может заполнить пробелы в стандартных DLP-системах, такие, как недостаточная интеграция с другими средствами защиты (например, с SIEM-системами), отсутствие модулей машинного обучения, искусственного интеллекта и обработки Big Data, невозможность проактивного реагирования на утечку информации за пределами контролируемой с помощью DLP инфраструктуры (например, на межсетевом экране или в EDR-системе). Интеграция данных, предоставляемых DLP-решением, с событиями безопасности, получаемыми SIEM-системой, помогут аналитику SOC-центра получить более полную, обогащенную картину инцидента, а риск-профилирование пользователей станет более точным. Можно будет увидеть не только сам факт передачи конфиденциальной информации, но и контекст данного действия: было ли оно выполнено пользователем локально или удаленно, из какой геолокации подключался удаленный сотрудник, не предшествовали ли этому подключению попытки неуспешной аутентификации (возможный подбор пароля), насколько типичным для пользователя является поиск определенного слова во всех документам на всех доступных сетевых дисках. Графический плейбук, создаваемый в системе Security Vision IRP/SOAR, поможет отразить логику реагирования на подозрительные действия как внутренних нарушителей, так и внешних атакующих, получивших несанкционированный доступ к учетной записи сотрудника, а интеграция Security Vision с различными системами и средствами защиты информации поможет минимизировать ущерб от утечки информации за счет сокращения времени реагирования на киберинцидент.



Что такое DLP (Data Loss Prevention)?

DLP - это система, предназначенная для предотвращения утечек данных из организации. Она позволяет контролировать и мониторить информацию, движущуюся внутри и вне корпоративной сети, и предотвращать ее несанкционированное распространение. Это важная составляющая информационной безопасности, которая обеспечивает защиту от внутренних и внешних угроз, таких как утечки данных, утеря секретов, атаки злоумышленников и нарушения регуляторных требований.

Как работает DLP?

DLP-системы используют разнообразные методы и технологии для определения, классификации и контроля данных. Вот некоторые ключевые аспекты их функционирования:

1. Обнаружение конфиденциальных данных: DLP системы сканируют текст, файлы, электронную почту и другие виды информации, чтобы выявить конфиденциальные или чувствительные данные, такие как социальные номера, кредитные карты, медицинская информация и другие.

2. Мониторинг трафика: Они анализируют сетевой трафик и передачу данных, чтобы определить аномалии и потенциальные нарушения политики безопасности.

3. Применение политик безопасности: DLP позволяет настраивать политики безопасности, которые определяют, какие действия допустимы с определенными данными. Это может включать в себя блокировку, шифрование, предупреждения и многое другое.

4. Управление инцидентами: Когда система обнаруживает нарушение политики безопасности, она предоставляет информацию и инструменты для расследования и реагирования на инцидент.

Подкасты ИБ IRP SOAR DLP SIEM SOC

Рекомендуем

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение

Рекомендуем

Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение

Похожие статьи

Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»

Похожие статьи

Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»