На удивление получил много положительных отзывов на новую рубрику, поэтому решил продолжить. Использую все тот же сайт Jet Info, т.к. там много всякого пишут. Решил поискать материал для чтения и не смог выбрать. Поэтому сегодня сборная солянка.

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

Сравнение SIEM-решений для построения SOC

Статья от Тимура Ниязова как раз под SOC- forum. Материал позиционируется как сравнение. Замечу, что методологически статья построена очень хорошо.

Но остается ряд сомнений (стать очень уж большая):

1. Неужто компания Джет знает лучше Гарднера, какой SIEM обладает какой функциональностью? ArcSight по Гартнеру даже не второй, а третий или четвертый. Но он первый, хотя и с небольшой разницей. Нет ли тут аффилированности с одни вендором, строящим свои решения на ArcSight? ;)
2. Цитата: Ввиду малой распространенности на рынке России и СНГ таких продуктов как Splunk и LogRhythm мы решили не рассматривать эти платформы в нашей статье.

Оу, но оба эти решения выше выбранного вами RSA

Понятно, что статья коммерческая и заказная, вопросов нет. Но почему в таблицах ArcSight идет в середине списка, а буквально в самом начале есть перечисление, где он первый в названиях, отсортированный по алфавиту? Можно считать меня жопоголиком, но я вижу тут стандартный прием манипуляторов: поместить продвигаемый продукт в середину, обрамив всяким «шлаком».

3. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.
   • Поддержка источников событий (5)
   • Сбор событий (8)
   • Корреляция (10)
   • Поиск данных и аналитика (9)
   • Визуализация и отчетность (5 и 5 соответственно)
   • Оповещение и приоритизация (5 и 5 соответственно)
   • Общие настройки и предустановленный функционал (5 и 3 соответственно)
   • Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
   • Мониторинг компонентов системы и внутренний аудит (3)
   • Удобство использования (10)
   • Наличие сертификатов соответствия ФСТЭК (2)
   • Дополнительные модули системы (5)

Только выше сказали, что веса с 1 до 5, и сразу в следующем перечислении пошли 8 и 10. И дело даже не в этом, а в системе выбора этих весов. Почему-то 10 получила корреляция и удобство использования. И если к корреляции вопросов нет, то удобство использования — очень субъективный показатель. Здесь сильное влияние имеет привычка. Но даже если так, нет ни слова о том, что богатсво визаулизации ArcSigh делается интегратором по отдельному прайсу ;)

4. HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

Тимур, ну что вы? Зачем так топорно? Ведь и без этого цель статьи была достигнута, а детали все портят :(

5. HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

Почему стоимость решения не была в списке критериев? :) И, разумеется, квалифицированные специалисты есть в одном известном вендоре и одном известном интеграторе ;)

 

В целом статья очень понравилась, видна любовь к цифрам, чувствуется рука мастера.

2 полена из 5.

 

ПК или смартфон – что безопаснее для интернет-банкинга?

Алексей Сизов, решил поднять актуальную тему. Тема на главной Jet Info

Пользователи ДБО сегодня в большинстве случаев предпочитают доступ с ПК. Для юридических лиц это обусловлено использованием криптографических хранилищ, сегодня преимущественно работающих на базе защищенных USB-устройств.

Ну, юрики в основном используют клиент-банк, т.к. у него функций больше. Но можно это с натяжкой назвать и ДБО. Но при чем тут они? Страшный сон: главный бухгалтер Газпрома на бегу в метро отправляет платежку через модный смартофон.

«Физики» также используют ПК как базовый вариант работы с ДБО. Но многие банки сегодня уже создали или внедряют приложения для мобильных платформ. Процент использования таковых не очень велик – 10–20%: это преимущественно активная часть населения, имеющая портативные устройства (смартфоны) и обслуживающаяся в крупных банках.

Подбираемся к сути. Проблема стоит у 20% физиков, использующих ДБО.

А вот безопасность таких приложений – вопрос отдельный. Дополнительная аутентификация, в основном средствами одноразовых SMS-кодов, внедрялась с прицелом на то, что канал доставки таких сообщений будет отличным от доставки самого приложения ДБО.

… ну, думаю, это не основная цель. Думаю, на первом месте было удобство.

ДБО работал через web, а SMS – через GSM, ДБО – через компьютер, а SMS – через несвязанный телефон.

И…

Кстати, SMS — это канал негарантированной доставки сообщений, редко не приходит вообще, но сообщения можно ждать и часы.

Сегодня мы сталкиваемся с ситуацией, когда и приложение, и SMS оказываются доступными на одном устройстве, а значит, разделение каналов доставки теряет смысл. Вредоносное ПО может получить доступ и к мобильному приложению, и к данным SMS аутентификации.

А на компьютере этого не могло быть? Т.е. встроиться в клиент и перехватывать корректно введенный секретный номер?

У меня идея для старт-апа: пусть секретный номер говорят голосом по телефону, сразу после нажатия кнопки.

Конечно, использование банковского приложения со специальными средствами защиты позволяет более тщательно контролировать уровень защищенности гаджета (от проверки jailbrake до контроля активных вирусов и троянов).

Конечно.

Но даже несмотря на это мы не рекомендуем использовать один и тот же аппарат и как устройство запуска мобильного приложения, и как телефон для получения SMS-уведомлений.

Мера защиты номер 2: не ставить ДБО на мобильник.

Я так понимаю, выбор все же в пользу ПК. Ура! Победа нокаутом!

Да, это вся статья.

 

12, или магия цифр в киберпреступности

У камина, мой друг – Андрей Янкин.

12 человек в мире каждую секунду становятся жертвами киберпреступников

Каждый 12-й житель Земли – жертва кибер-злоумышленников

От киберпреступлений в 2015-м пострадали 594 млн человек, при этом в среднем каждый из них потерял $358. Общий же ущерб, нанесенный киберпреступлениями, составил $158 млрд. Для того чтобы справиться с последствиями киберпреступлений, в среднем пострадавшие тратили около 21 часа.

Ни ссылки на источник, ни каких-то подробностей. Кто сказал, как посчитал? Судя по этим данным, все хакеры должны разъезжать на золотых хаммерах как нарко-бароны. Уверен, что общая цифра мб и больше.

Хотя я вот взял калькулятор и разделил 158 млрд на 594 млн, получилось 265… кто-то отпили почти сотку баксов…

Кстати, это не я точки в первых двух предложения не поставил – так и было.

Наш эксперт Андрей Янкин поделился своими соображениями насчет этих цифр:

Можно сделать вывод о том, что нам всего лишь надо быть «быстрее, чем самая медленная зебра», чтобы не стать 1 из 12 пострадавших. Но это, увы, не так.

Т.е. вывод можно сделать, но это не так. Проще вообще комп не использовать.

Специфика компьютерных преступлений в том, что они очень легко масштабируются. Чтобы ограбить еще один банк, грабителям нужно приложить усилия. Чтобы добавить в ботнет еще одну не обновленную машину, никаких усилий не требуется.

Ботнеты крадут деньги со счетов? Андрюх, вроде про ущерб статья.

Да и сколько из 12 случайных людей на Земле вообще имеют дело с компьютерами? Но если вы читаете этот пост на фейсбуке, ваши шансы попасть под удар куда выше.

Фейсбук не заплатил за рекламу :)

Обидно, что у Jet Info такие короткие статьи…

 

Присылайте ваши статьи. Всего вам доброго.