Перейти к содержанию

Как понять, что вам пора покупать XDR | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Есть такое когнитивное искажение «отклонение в сторону статус-кво». Оно про то, что нам всем не нравятся перемены, поскольку «ущерб от потери статус-кво воспринимается как больший, чем потенциальная выгода». А еще есть эффект владения, когда человек больше ценит вещи, которыми уже владеет, а не те, которыми может овладеть. И еще 13 разных искажений, которые заставляют нас предпочитать то, во что уже вложены время и усилия.

К чему это я и при чем тут XDR? А я это к тому, что мы не особо любим новое. И хотя вроде бы при принятии решений об использовании того или иного нового ИБ-продукта мы хорошенько все обдумываем и взвешиваем, причем не в одиночку, в конечном итоге все равно решение принимают люди.

Как правило, если рынок начинает активно обсуждать какую-то новую систему, то реальную ее полезность пользователи признают только через пару-тройку лет. И это в лучшем случае. Есть еще вариант, когда система вообще не проходит это испытание и либо плавно сливается с существующим классом решений, либо вовсе исчезает.

Сейчас новым кандидатом, проходящим тест на полезность, стал XDR. И в данном случае под XDR я буду подразумевать платформу, в состав которой входит как минимум EDR, NTA, TI, SIEM и SOAR/IRP. То есть защита сети и конечных точек, система мониторинга и автоматизации реагирования (плейбуки разной степени вложенности и вот это все).

И, возможно, наша нелюбовь к изменениям — это очень даже неплохо. Как будто бы это поможет нам подготовиться и выжать из XDR максимум пользы. Мы же помним, что в стратегиях MITRE есть одна из заповедей, которая говорит, что надо обязательно «максимизировать пользу от закупленных технологий». Да и вообще, вдруг нам не нужен XDR? Как понять, стоит ли отдать много денег вендору?

Как понять, не пора ли купить XDR?

На мой взгляд, существует достаточно четкий критерий: XDR должен автоматизировать уже существующие процессы и механизмы, а не становиться новым продуктом в SOC. Ну в крайнем случае — автоматизировать процессы и механизмы, о которых сотрудники SOC уже задумались и реализацию которых запланировали. Потому что если автоматизировать бардак — получится просто автоматизированный бардак. А хотелось бы получить процесс управления информационной безопасностью.

Получается, если мы хотим использовать XDR — нам надо сначала выстроить все процессы. От выявления до реагирования. Давайте посмотрим, что тут можно сделать своими руками, без волшебной «XDR-коробки» от вендора. А потом подумаем, в каком случае она все-таки может нам пригодиться.

Если посмотреть на классические определения SOC, то вы увидите, что это либо исключительно команда аналитиков, либо совокупность людей, процессов и только в последнюю очередь — технологий.

Поэтому первым делом нужно выстраивать процессы в общечеловеческом понимании: определить, что в целом происходит в инфраструктуре, кто за что отвечает и кто поможет решить какие проблемы в случае чего. И тут особо не помогут никакая автоматизация и никакие инструменты: придется что-то придумывать самостоятельно. Ну или списать готовое, это тоже хороший вариант — не зря же методологи пишут тонны всевозможных документов про лучшие практики.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано

Я не знаю, что такое XDR. Честно не знаю. Решил почитать статью и... Редакторы, делайте вычитывание, пожалуйста.

 

Quote

«ущерб от потери статус-кво воспринимается как больший, чем потенциальная выгода»

Цитата из Википедии и она не полная. Эта цитата создаёт ощущение у читателя, что суть с самом статусе. Но нет, полная цитата из Вики не оставляет двоякости восприятия:

Quote

ущерб от потери статус-кво воспринимается как больший, чем потенциальная выгода при его смене на альтернативный вариант

Только второе предложение и уже лажа. Впрочем, в вики описание тоже такое себе. Я часто решаю сохранять как есть в разных вопросах, потому что выработанные стратегии эффективны, а изменение не бесплатное. Потенциальная выгода может быть, а может не быть. Если же стратегия не эффективная, то без проблем можно менять. Разумеется, частный пример не считается, но просто такого объяснения в вики не было (или я не увидел), что ставит статью под сомнение. И, как итог, эту статью, которая использует цитирование из Вики. А, и кстати, тоже интересное замечание. Приведённая цитата в Вики была взята из источника, которого более не существует. Других ссылок нет. То есть вот эта статья про XDR (я ещё не знаю, что это) начинается с НЕПРАВИЛЬНОЙ цитаты того, что даже уже проверить нельзя. Источник удалён. Единственный источник.

 

 

 

Quote

человек больше ценит вещи, которыми уже владеет, а не те, которыми может овладеть

Снова из википедии цитата. Полез проверять, там так и написано. А я сижу и не понимаю, а как может иначе то быть? У меня ЕСТЬ вещь и я её ЦЕНЮ. У меня НЕТ вещи и как тогда я могу её ценить? Но внизу этот статьи есть всего одно вот такое предложение:

Quote

Они провели более надежный эксперимент с теми же товарами, используемыми Канеманом, Кнетчем и Талером[5] (шоколадные батончики и кружки) и этот эффект не подтвердился.

Кажется, это то, с чего вообще стоило начинать. Есть мнение, что человек выше цени то, чем владеет, чем то, чем не владеет. Своя рубашка ближе к телу, лучше синица в руке и всё такое. Тоже мне, феномен. Так ещё потом оказывается, что тут не всё так просто, а значит этот "феномен" (такой феномен, что все знают, что поговорки про это столетия уже) выбросить можно.

 

1 hour ago, KL FC Bot said:

И еще 13 разных искажений, которые заставляют нас предпочитать то, во что уже вложены время и усилия

Все остальные такие же не пришей кобыле хвост?

 

Quote

Сейчас новым кандидатом, проходящим тест на полезность, стал XDR. И в данном случае под XDR я буду подразумевать платформу, в состав которой входит как минимум EDR, NTA, TI, SIEM и SOAR/IRP. То есть защита сети и конечных точек, система мониторинга и автоматизации реагирования (плейбуки разной степени вложенности и вот это все).

Да что это такое?! Чем это отличается от уже существующих систем, которые под капотом грепают логи и рисует графики для бездельников на экране?

 

Quote

Но очень велик шанс, что нам никто не разрешит просто так взять и заблокировать что-то где-то — это потребует согласования.

Не имеет отношения к делу. Это вопрос организации работы. Тут вообще никакое решение, кроме антивируса не требуется:

  1. Антивирус обнаруживает проблему
  2. Сообщает на сервер администрирования об инциденте
  3. Сервер переводит его в карантинную подсеть. Туда можно добраться для пролечивания и проверок удалённых, но нельзя добраться до других узлов. Просто изолированная подсеть

Не вижу здесь никаких проблем. Проблема может быть, если бы это был компьютер, который нельзя изолировать от сети. Но опять же, это организационный вопрос. Сели, репу почесали, как делать в том или ином случае и создали правила. Весь мир так живёт, тонны оффлайн событий так работают: вот тебе правила на снегопад, вот на наводнение, вот на прорыв канализации, вот на отключение электроэнергии и так далее. И только бедные айтишнички не знают, что проработать поведение можно заранее? Нужно купить какое-то решение, которое обяжет тебя проработать события?

 

Quote

И что с этим всем будет, если я захочу уехать после всей этой настройки отдохнуть, а в процессе согласования что-то изменится? А если захочу переехать в теплые страны и больше никогда не работать? Есть ощущение, что ничего хорошего не выйдет.

Звучит так, будто у тебя очень низкий фактор автобуса. И это плохо говорит о менеджменте. Какие решения не покупай, с какими бы сказочными правилами они не были, низкий фактор автобуса будет означать, что решениями нельзя будет пользоваться по назначению. Деньги на ветер.

 

Quote

Просто потому, что ценный человеческий ресурс лучше не тратить там, где рутинную работу заменяет правило корреляции или плейбук.

  1. Ценность ресурса, созданная низким фактором автобуса — это ложная ценность
  2. Что такое плейбук?
  3. Так что такое XDR? Грепалка логов, рисующая графики в браузере?

image.png.5d0b9ef7c2a989d3eaf6a7fa4acd0df8.png

Честно, я себя тупым чувствую.

Ссылка на комментарий
Поделиться на другие сайты
kmscom Мудрец

kmscom

Опубликовано
Опубликовано
56 минут назад, Umnik сказал:

Я не знаю, что такое XDR. Честно не знаю.

https://encyclopedia.kaspersky.ru/glossary/xdr-extended-detection-and-response/
и это не тоже самое 
https://ru.wikipedia.org/wiki/External_Data_Representation
хотя я не понял, про какую именно статью речь, цитату из которой вы привели

58 минут назад, Umnik сказал:

Цитата из Википедии и она не полная

я цитату не нашел. Поиск производился среди статей на русском языке
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Железо для SIEM-системы | Блог Касперского
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
    • Yappiny
      С недавних пор появилось "Вашим браузером управляет организация"
      От Yappiny
      С недавних пор появилась надпись "Вашим браузером управляет организация". Перепробовал кучу вариантов решения проблемы и удалял политику через реестр и сканировал разными антивирусами, к слову антивирусы не определяют эту политику как вирус. Даже переустановил Windows, но это не помогло. После перезагрузки компьютера политика снова появляется в реестре, даже если Гугл Хром не установлен, не запускается она только в диагностическом режиме. Пока что проблем от этого не обнаружил, но это очень напрягает
      CollectionLog-2025.01.19-01.51.zip
    • KL FC Bot
      Тенденции кибербезопасности в 2025 году | Блог Касперского
      От KL FC Bot
      Уходящий 2024 год принес несколько рекордно крупных и серьезных инцидентов с утечками данных — от билетов на концерты Тейлор Свифт до всей информации о лечении 100 млн американцев. Весь год бурно развивались технологии ИИ и эволюционировала киберпреступность. Как учесть все это, чтобы обеспечить свою личную информационную безопасность? Дайте себе эти семь обещаний — и выполняйте их весь 2025 год.
      1. Освоить безопасное применение ИИ-ассистентов
      За год применение ИИ постепенно превратилось из модного развлечения в повседневное действие, особенно после того, как ИИ-помощника внедрили в обычные функции смартфонов. Учитывая, что ИИ теперь всегда под рукой, включая самые интимные моменты жизни, стоит внимательно изучить правила безопасного применения чат-ботов и прочих помощников, чтобы не навредить себе и окружающим. Если привести их очень кратко, то это примерно такой список.
      Перепроверять советы ИИ. Особенно если запрашиваете рецепты, медицинскую информацию, инвестиционные советы и любые другие данные с высокой ценой ошибки. Чат-боты иногда «галлюцинируют», поэтому никогда не следуйте их советам слепо. Отключать ИИ-функции, если не понимаете четко, зачем они нужны. Мода на ИИ побуждает крупные компании интегрировать ИИ даже там, где это не требуется. Наиболее яркий пример — внедрение неоднозначной функции Recall в Windows 11, где она постоянно делает скриншоты всего экрана для ИИ-анализа. Отключите ИИ, если не пользуетесь им активно. Не отправлять в ИИ личную информацию. Фото документов, паспортные данные, финансовые и медицинские документы почти никогда не нужны для эффективной работы ИИ. Учитывая, что эти данные могут храниться длительное время, использоваться для дообучения ИИ и в результате утекать на сторону, лучше их просто не отправлять. Не перекладывать на ИИ общение с близкими. Такая автоматизация приносит мало пользы и просто вас отдаляет друг от друга.  
      View the full article
    • KL FC Bot
      Как взламывают уязвимые роботы-пылесосы Ecovacs | Блог Касперского
      От KL FC Bot
      Представьте: встаете вы ночью попить водички, идете по неосвещенному коридору, и тут из темноты на вас кто-то начинает громко орать. Ситуация, согласитесь, крайне неприятная. И в нее вполне можно попасть по вине уязвимого робота-пылесоса — взломщики могут заставить самобеглую железку по их команде накричать на хозяина. Но это еще не все: хакеры могут управлять роботом удаленно и включать с него живые трансляции.
      И это совсем не теоретическая опасность: не так давно случаи, когда сетевые хулиганы использовали уязвимые роботы-пылесосы для того, чтобы портить жизнь людям, были зафиксированы, что называется, в дикой природе. Рассказываем обо всем по порядку.
      Как устроен робот-пылесос
      Начнем с того, что современный робот-пылесос — это полноценный компьютер на колесиках, работающий под управлением Linux. У него есть мощный многоядерный процессор ARM, солидный объем оперативной памяти, вместительный флеш-накопитель, Wi-Fi и Bluetooth.
      Любой современный робот-пылесос — это полноценный компьютер на колесиках. Источник
       
      View the full article
    • KL FC Bot
      Лучшие конфиденциальные сервисы в подарок | Блог Касперского
      От KL FC Bot
      До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно.
      Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным.
      За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении.
      С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы.
      Но перед покупкой обдумайте два неоднозначных момента.
      Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде?
      Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого.
      Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком.
      Офисные приложения
      Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей.
       
      View the full article
×
×
  • Создать...