Мем с предисторией. Сначала для контекста нужно посмотреть про Алкоголь и марки машин, а затем уже моя предметная область.
#мем
#мем
👍1
#матчасть
Напомню, при работе с атаками обычно выделяют 3 основных метрики, которые показывают:
* время обнаружения атаки(Time-to-Detect, TTD)
* время локализации атаки, включая расследование (Time-to-Contain, TTC)
* время реагирования на атаку (Time-to-Response, TTR)
Напомню, при работе с атаками обычно выделяют 3 основных метрики, которые показывают:
* время обнаружения атаки(Time-to-Detect, TTD)
* время локализации атаки, включая расследование (Time-to-Contain, TTC)
* время реагирования на атаку (Time-to-Response, TTR)
✍1
#инцидент #расследование
История о расследовании, подставе и необратимости наказания.
В одной организации уже использовали систему контроля над информационными потоками. Офицер ИБ получил уведомление, о том, что на АРМ Иванова на флешку была записана информация содержащая коммерческую тайну. Дальше он сделал всё согласно протоколу: зашёл в кабинет, где работал Иванов; оповестил что произошёл инцидент информационной безопасности; попросил не покидать помещение и сдать имеющиеся накопители информации; а с Иванова истребовал объяснительную о произошедшем инциденте с утечкой информации. Дальше рассказ именно офицера ИБ, в прошлом оперативного работника: «ожидаемо в объяснительной Иванов написал «это не я … ничего такого не было…» Но! чувствую не врёт …. Забрал объяснительную и стал думать дальше, сопоставляя факты и гипотезы».
Зашёл в консоль, изучил инцидент и закралась ему в голову мысль посмотреть ретроспективно. В целом, у каждой флешки есть серийный номер - посмотрел на каких АРМ встречался этот серийник в течение прошлого полугода. И обнаружил что на компьютере Иванова флешку подключали сегодня, а ещё 10 раз за последние полгода - на соседнем компьютере Петрова.
Здесь уже можно «сложить один плюс один».
Вызвал Петрова, затем «5 минут ректального криптоанализа» и получил чистосердечное признание с восстановлением картины: «Петров планировал увольнение; знал, что используется система по контролю над информационными потоками; дождался когда Иванов ушёл на обед. А у Иванова-дебилушки пароль был на листочке под клавиатурой. Петров залогинился на АРМ Иванова; воткнул флешку; списал информацию; разлогинился, думая что никто ничего не узнает».
История о расследовании, подставе и необратимости наказания.
В одной организации уже использовали систему контроля над информационными потоками. Офицер ИБ получил уведомление, о том, что на АРМ Иванова на флешку была записана информация содержащая коммерческую тайну. Дальше он сделал всё согласно протоколу: зашёл в кабинет, где работал Иванов; оповестил что произошёл инцидент информационной безопасности; попросил не покидать помещение и сдать имеющиеся накопители информации; а с Иванова истребовал объяснительную о произошедшем инциденте с утечкой информации. Дальше рассказ именно офицера ИБ, в прошлом оперативного работника: «ожидаемо в объяснительной Иванов написал «это не я … ничего такого не было…» Но! чувствую не врёт …. Забрал объяснительную и стал думать дальше, сопоставляя факты и гипотезы».
Зашёл в консоль, изучил инцидент и закралась ему в голову мысль посмотреть ретроспективно. В целом, у каждой флешки есть серийный номер - посмотрел на каких АРМ встречался этот серийник в течение прошлого полугода. И обнаружил что на компьютере Иванова флешку подключали сегодня, а ещё 10 раз за последние полгода - на соседнем компьютере Петрова.
Здесь уже можно «сложить один плюс один».
Вызвал Петрова, затем «5 минут ректального криптоанализа» и получил чистосердечное признание с восстановлением картины: «Петров планировал увольнение; знал, что используется система по контролю над информационными потоками; дождался когда Иванов ушёл на обед. А у Иванова-дебилушки пароль был на листочке под клавиатурой. Петров залогинился на АРМ Иванова; воткнул флешку; списал информацию; разлогинился, думая что никто ничего не узнает».
#кино
Запомнился один момент из «Брат якудзы»: когда Като, для того чтобы показать уровень Ямамото и степень преданности ему, пустил себе пулю в лоб. После этого произошёл союз с Шираси.
Иногда думаю, что такое доказательство могло бы сэкономить кучу времени и сил вместо дней на составление инвестов, пояснений, обоснований затрат на ИБ.... но только один раз....
Запомнился один момент из «Брат якудзы»: когда Като, для того чтобы показать уровень Ямамото и степень преданности ему, пустил себе пулю в лоб. После этого произошёл союз с Шираси.
Иногда думаю, что такое доказательство могло бы сэкономить кучу времени и сил вместо дней на составление инвестов, пояснений, обоснований затрат на ИБ.... но только один раз....
#матчасть #лучшиепрактики
Намяукал в статью. Благодарю Михаила за совместную работу.
https://secrets.tbank.ru/blogi-kompanij/kakie-dannye-voruyut-sotrudniki/
Намяукал в статью. Благодарю Михаила за совместную работу.
https://secrets.tbank.ru/blogi-kompanij/kakie-dannye-voruyut-sotrudniki/
Т-Бизнес секреты
Почему при увольнении сотрудники крадут данные и как защитить компанию
При увольнении сотрудника компания рискует, что вместе с ним могут уйти и конфиденциальные данные, к которым у него есть доступ. Как не допустить подобного — читайте в статье.
#мем перефразирую другой популярный мем
Твой будущий CISO сейчас использует ChatGPT, чтобы сдать экзамены.
Так что тебе лучше начать разбираться в ИБ уже сегодня.
Твой будущий CISO сейчас использует ChatGPT, чтобы сдать экзамены.
Так что тебе лучше начать разбираться в ИБ уже сегодня.
#схема #письмачитателей
Жертве звонят якобы из Почты России и сообщают о заказном письме.
Дальше уточняют какой вариант доставки удобнее - или домой в указанное окно времени, или забрать на почте. В обоих случаях просят код из СМС, причём код придёт от ПочтаБанка, что в целом очень похоже на почту (даже могут сказать что единая система рассылки СМС сообщений)
Написали об этом: https://ria.ru/20250811/moshenniki-2034500576.html
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
Жертве звонят якобы из Почты России и сообщают о заказном письме.
Дальше уточняют какой вариант доставки удобнее - или домой в указанное окно времени, или забрать на почте. В обоих случаях просят код из СМС, причём код придёт от ПочтаБанка, что в целом очень похоже на почту (даже могут сказать что единая система рассылки СМС сообщений)
Написали об этом: https://ria.ru/20250811/moshenniki-2034500576.html
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
🔥2
#матчасть Эффект Пельцмана в ИБ
Эффект Пельцмана - когнитивное искажение, при котором слишком большое количество защитных устройств и правил техники безопасности повышает риск несчастных случаев из-за ложного чувства неуязвимости.
Сотрудник работающий в организации в которой из каждой кофемашины рассказывают что компания под защитой SEIM, DLP, NGFW, SOAR, EDR и прочими BDSM инструментов может создать себе предположение, что ему уже больше не нужно думать своей головой. Это опасное заблуждение ложной абсолютной защищённости может проявится в неосторожном поведении в сети, паролях "12345" и ещё где-то в работе.
Эффект Пельцмана - когнитивное искажение, при котором слишком большое количество защитных устройств и правил техники безопасности повышает риск несчастных случаев из-за ложного чувства неуязвимости.
Сотрудник работающий в организации в которой из каждой кофемашины рассказывают что компания под защитой SEIM, DLP, NGFW, SOAR, EDR и прочими BDSM инструментов может создать себе предположение, что ему уже больше не нужно думать своей головой. Это опасное заблуждение ложной абсолютной защищённости может проявится в неосторожном поведении в сети, паролях "12345" и ещё где-то в работе.
#матчасть
С людьми также как и с ПО. Купленный фаервол, но не настроенный - не работает.
И сотрудники необученный - тоже потенциальная дыра в безопасности.
С людьми также как и с ПО. Купленный фаервол, но не настроенный - не работает.
И сотрудники необученный - тоже потенциальная дыра в безопасности.