-
Похожий контент
-
От Зубова Жанна
Что нужно (и можно ли) сделать, чтобы установить на iMac 2011 версию выше Hign Sierra 10.13.6?
-
От KL FC Bot
«Безопасность» и «переработки» — почти синонимы. По результатам недавнего опроса, каждый пятый CISO работает 65 часов в неделю, а не 38 или 40, как написано в контракте. В среднем переработки составляют 16 часов в неделю. То же касается рядовых сотрудников ИБ-команды — примерно половина жалуется на выгорание из-за постоянного стресса и переработок. При этом кадровый дефицит и ограничения бюджета сильно затрудняют самое очевидное решение проблемы — нанять больше людей. Но есть и другие пути! Мы изучили, какие задачи занимают большую часть времени у ИБ-команд и что можно сделать для снижения этих затрат.
Оповещения безопасности
Уверенный победитель в номинации «за потраченное время» — оповещения, генерируемые ИБ- и IT-системами компании. Поскольку число систем часто исчисляется десятками, то требующих обработки событий — тысячи. В среднем ИБ-специалисту приходится проверять 23 оповещения в час, и это включает совершенно нерабочее время. 38% опрошенных признались, что им приходилось реагировать на оповещения ночью.
Что делать
Используйте больше решений одного производителя. Централизованная консоль управления и интегрированная система оповещений снижают количество этих сигналов и ускоряют их обработку. Внедряйте автоматизацию. Например, решение XDR позволяет автоматизировать типовые сценарии анализа и реагирования, а также снижает число оповещений, соединяя разнородные события в один инцидент. Привлеките MSSP, сервис MDR или коммерческий SoC. Это самый эффективный способ гибко масштабировать работу с оповещениями. Штатные сотрудники смогут сосредоточиться на построении общей системы безопасности и расследовании сложных ситуаций.
Посмотреть статью полностью
-
От KL FC Bot
Сендбокс — один из самых эффективных инструментов для анализа подозрительных объектов и выявления вредоносного поведения. В том или ином виде он реализован во множестве защитных решений. Но точность выявления угроз напрямую зависит от того, как именно он эмулирует среду, в которой запускается подозрительный объект.
Что такое сендбокс и как он работает
Сендбокс, он же «песочница», по сути, инструмент для создания изолированной среды, в которой изучается поведение подозрительных процессов. Обычно анализ происходит в виртуальной машине или контейнере, что позволяет исследовать потенциально вредоносный объект, не подвергая риску заражения или повреждения реальную рабочую систему и не рискуя утечкой важных корпоративных данных.
Например, сендбокс, составляющий часть платформы Kaspersky Anti Targeted Attack, работает следующим образом. Если один из компонентов нашего защитного решения выявляет опасный или подозрительный объект (файл или, скажем, URL), он передается на сканирование сендбоксу, вместе с характеристиками рабочей системы (версией ОС, списком установленных программ, параметрами окружения и так далее). Сендбокс запускает объект или переходит по адресу, записывая все артефакты:
логи исполнения, включая вызовы системных API, работу с файлами, сетевые активности, URL и процессы, к которым объект обращался; снимки состояния системы и памяти (дампы); созданные (распакованные или загруженные) объекты; сетевой трафик. После окончания выполнения сценария собранные артефакты анализируются и сканируются на наличие следов зловредной активности. Если таковые обнаруживаются, объект признается вредоносным, а выявленные техники, тактики и процедуры размечаются в соответствии с матрицей MITRE ATT&CK. Все полученные данные также сохраняются для дальнейшего анализа.
Посмотреть полную статью
-
Рекомендуемые сообщения