#инцидент #расследование
История о расследовании, подставе и необратимости наказания.
В одной организации уже использовали систему контроля над информационными потоками. Офицер ИБ получил уведомление, о том, что на АРМ Иванова на флешку была записана информация содержащая коммерческую тайну. Дальше он сделал всё согласно протоколу: зашёл в кабинет, где работал Иванов; оповестил что произошёл инцидент информационной безопасности; попросил не покидать помещение и сдать имеющиеся накопители информации; а с Иванова истребовал объяснительную о произошедшем инциденте с утечкой информации. Дальше рассказ именно офицера ИБ, в прошлом оперативного работника: «ожидаемо в объяснительной Иванов написал «это не я … ничего такого не было…» Но! чувствую не врёт …. Забрал объяснительную и стал думать дальше, сопоставляя факты и гипотезы».
Зашёл в консоль, изучил инцидент и закралась ему в голову мысль посмотреть ретроспективно. В целом, у каждой флешки есть серийный номер - посмотрел на каких АРМ встречался этот серийник в течение прошлого полугода. И обнаружил что на компьютере Иванова флешку подключали сегодня, а ещё 10 раз за последние полгода - на соседнем компьютере Петрова.
Здесь уже можно «сложить один плюс один».
Вызвал Петрова, затем «5 минут ректального криптоанализа» и получил чистосердечное признание с восстановлением картины: «Петров планировал увольнение; знал, что используется система по контролю над информационными потоками; дождался когда Иванов ушёл на обед. А у Иванова-дебилушки пароль был на листочке под клавиатурой. Петров залогинился на АРМ Иванова; воткнул флешку; списал информацию; разлогинился, думая что никто ничего не узнает».
История о расследовании, подставе и необратимости наказания.
В одной организации уже использовали систему контроля над информационными потоками. Офицер ИБ получил уведомление, о том, что на АРМ Иванова на флешку была записана информация содержащая коммерческую тайну. Дальше он сделал всё согласно протоколу: зашёл в кабинет, где работал Иванов; оповестил что произошёл инцидент информационной безопасности; попросил не покидать помещение и сдать имеющиеся накопители информации; а с Иванова истребовал объяснительную о произошедшем инциденте с утечкой информации. Дальше рассказ именно офицера ИБ, в прошлом оперативного работника: «ожидаемо в объяснительной Иванов написал «это не я … ничего такого не было…» Но! чувствую не врёт …. Забрал объяснительную и стал думать дальше, сопоставляя факты и гипотезы».
Зашёл в консоль, изучил инцидент и закралась ему в голову мысль посмотреть ретроспективно. В целом, у каждой флешки есть серийный номер - посмотрел на каких АРМ встречался этот серийник в течение прошлого полугода. И обнаружил что на компьютере Иванова флешку подключали сегодня, а ещё 10 раз за последние полгода - на соседнем компьютере Петрова.
Здесь уже можно «сложить один плюс один».
Вызвал Петрова, затем «5 минут ректального криптоанализа» и получил чистосердечное признание с восстановлением картины: «Петров планировал увольнение; знал, что используется система по контролю над информационными потоками; дождался когда Иванов ушёл на обед. А у Иванова-дебилушки пароль был на листочке под клавиатурой. Петров залогинился на АРМ Иванова; воткнул флешку; списал информацию; разлогинился, думая что никто ничего не узнает».
#кино
Запомнился один момент из «Брат якудзы»: когда Като, для того чтобы показать уровень Ямамото и степень преданности ему, пустил себе пулю в лоб. После этого произошёл союз с Шираси.
Иногда думаю, что такое доказательство могло бы сэкономить кучу времени и сил вместо дней на составление инвестов, пояснений, обоснований затрат на ИБ.... но только один раз....
Запомнился один момент из «Брат якудзы»: когда Като, для того чтобы показать уровень Ямамото и степень преданности ему, пустил себе пулю в лоб. После этого произошёл союз с Шираси.
Иногда думаю, что такое доказательство могло бы сэкономить кучу времени и сил вместо дней на составление инвестов, пояснений, обоснований затрат на ИБ.... но только один раз....
#матчасть #лучшиепрактики
Намяукал в статью. Благодарю Михаила за совместную работу.
https://secrets.tbank.ru/blogi-kompanij/kakie-dannye-voruyut-sotrudniki/
Намяукал в статью. Благодарю Михаила за совместную работу.
https://secrets.tbank.ru/blogi-kompanij/kakie-dannye-voruyut-sotrudniki/
Т-Бизнес секреты
Почему при увольнении сотрудники крадут данные и как защитить компанию
При увольнении сотрудника компания рискует, что вместе с ним могут уйти и конфиденциальные данные, к которым у него есть доступ. Как не допустить подобного — читайте в статье.
#мем перефразирую другой популярный мем
Твой будущий CISO сейчас использует ChatGPT, чтобы сдать экзамены.
Так что тебе лучше начать разбираться в ИБ уже сегодня.
Твой будущий CISO сейчас использует ChatGPT, чтобы сдать экзамены.
Так что тебе лучше начать разбираться в ИБ уже сегодня.
#схема #письмачитателей
Жертве звонят якобы из Почты России и сообщают о заказном письме.
Дальше уточняют какой вариант доставки удобнее - или домой в указанное окно времени, или забрать на почте. В обоих случаях просят код из СМС, причём код придёт от ПочтаБанка, что в целом очень похоже на почту (даже могут сказать что единая система рассылки СМС сообщений)
Написали об этом: https://ria.ru/20250811/moshenniki-2034500576.html
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
Жертве звонят якобы из Почты России и сообщают о заказном письме.
Дальше уточняют какой вариант доставки удобнее - или домой в указанное окно времени, или забрать на почте. В обоих случаях просят код из СМС, причём код придёт от ПочтаБанка, что в целом очень похоже на почту (даже могут сказать что единая система рассылки СМС сообщений)
Написали об этом: https://ria.ru/20250811/moshenniki-2034500576.html
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
🔥2
#матчасть Эффект Пельцмана в ИБ
Эффект Пельцмана - когнитивное искажение, при котором слишком большое количество защитных устройств и правил техники безопасности повышает риск несчастных случаев из-за ложного чувства неуязвимости.
Сотрудник работающий в организации в которой из каждой кофемашины рассказывают что компания под защитой SEIM, DLP, NGFW, SOAR, EDR и прочими BDSM инструментов может создать себе предположение, что ему уже больше не нужно думать своей головой. Это опасное заблуждение ложной абсолютной защищённости может проявится в неосторожном поведении в сети, паролях "12345" и ещё где-то в работе.
Эффект Пельцмана - когнитивное искажение, при котором слишком большое количество защитных устройств и правил техники безопасности повышает риск несчастных случаев из-за ложного чувства неуязвимости.
Сотрудник работающий в организации в которой из каждой кофемашины рассказывают что компания под защитой SEIM, DLP, NGFW, SOAR, EDR и прочими BDSM инструментов может создать себе предположение, что ему уже больше не нужно думать своей головой. Это опасное заблуждение ложной абсолютной защищённости может проявится в неосторожном поведении в сети, паролях "12345" и ещё где-то в работе.
#матчасть
С людьми также как и с ПО. Купленный фаервол, но не настроенный - не работает.
И сотрудники необученный - тоже потенциальная дыра в безопасности.
С людьми также как и с ПО. Купленный фаервол, но не настроенный - не работает.
И сотрудники необученный - тоже потенциальная дыра в безопасности.
#матчасть #лучшиепрактики
Вопрос: сколько времени нужно хранить собранную ИБ системами (DLP, SIEM, SOAR) информацию?
Ответ: рекомендую хранить за последние полгода.
Больше чем полгода - не имеет смысла, потому что уже истечёт срок давности расследования инцидента в организации и подачи обращения в УБК или участковому. Да и актуальность на таком длинном периоде уже совсем растворится в нашей динамичное время.
Меньше чем 3 месяца тоже хранить не нужно, потому что инциденты обнаруживаются не моментально, расследуются не быстро (сбор комиссии может занять месяц ). Поэтому меньше три месяца - это гигиенический минимум.
Получается хранение в интервале 3-6 месяцев в зависимости от объёма данных и стоимости ваших накопителей.
Естественно, если есть какие-то требования по компании или ЛНА от руководства - следуем им. Есть примеры когда компании хранят абсолютно все данные.
Вопрос: сколько времени нужно хранить собранную ИБ системами (DLP, SIEM, SOAR) информацию?
Ответ: рекомендую хранить за последние полгода.
Больше чем полгода - не имеет смысла, потому что уже истечёт срок давности расследования инцидента в организации и подачи обращения в УБК или участковому. Да и актуальность на таком длинном периоде уже совсем растворится в нашей динамичное время.
Меньше чем 3 месяца тоже хранить не нужно, потому что инциденты обнаруживаются не моментально, расследуются не быстро (сбор комиссии может занять месяц ). Поэтому меньше три месяца - это гигиенический минимум.
Получается хранение в интервале 3-6 месяцев в зависимости от объёма данных и стоимости ваших накопителей.
Естественно, если есть какие-то требования по компании или ЛНА от руководства - следуем им. Есть примеры когда компании хранят абсолютно все данные.
#лучшиепрактики
Делайте отдельный документ для тех, кто работает с данными ИБ систем.
Мол, "знаю с чем работаю, обязуюсь не грешить, использую данные только по служебным целям, готов к дополнительному контролю и проверкам".
Надеюсь, никогда не пригодится, но, во-первых, если случится дизастер - будете очень рады такому документу; во-вторых, это отрезвляет и настраивает на правильный лад работающих с данными.
Делайте отдельный документ для тех, кто работает с данными ИБ систем.
Мол, "знаю с чем работаю, обязуюсь не грешить, использую данные только по служебным целям, готов к дополнительному контролю и проверкам".
Надеюсь, никогда не пригодится, но, во-первых, если случится дизастер - будете очень рады такому документу; во-вторых, это отрезвляет и настраивает на правильный лад работающих с данными.