Incident management (part 2)

Как создавать
CSIRT?

InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 84/431

Аббревиатуры CSIRT
Аббревиатура Расшифровка
CSIRT Computer Security Incident Response Team
CIRC Computer Incident Response Capability или Center
CSIRC Computer Security Incident Response Capability
CIRT Computer Incident Response Team
Incident Response Center or Incident Response
IRC
Capability
IRT Incident Response Team
IHT Incident Handling Team
SERT Security Emergency Response Team
SIRT Security Incident Response Team

 CERT – зарегистрированная торговая марка
CERT/CC

План создания CSIRT
 Идентифицируйте стейкхолдеров и участников
 Получите поддержку руководства
 Разработайте план проекта
 Соберите информацию
 Идентифицируйте клиентов и задачи, решаемые
CSIRT
 Определите миссию CSIRT
 Получите бюджеты для CSIRT
 Выберите сервисы, оказываемые CSIRT
 Определите модель, место в иерархии и власть CSIRT
 Определите требуемые ресурсы

План создания CSIRT (окончание)
 Определите взаимодействия, интерфейсы и точки
контакта
 Определите роли и ответственность
 Документируйте процессы
 Разработайте политики и процедуры
 Создайте план внедрения
 Анонсируйте CSIRT, когда будете готовы
 Определите методы оценки эффективности CSIRT
 Определите резервный план для каждого элемента
CSIRT
 Будьте гибки

Ключевые элементы работы CSIRT
 Сервисы
 Политики
 Качество


Идентифицируйте
участников и
стейкхолдеров


Кто отвечает за управление
инцидентами?

 Служба CSIRT
 Служба безопасности
Кто «поговорит по душам» с внешним нарушителем?
 Служба персонала
Кто будет взаимодействовать с сотрудниками, виновными в
совершении противоправных действий?
 Юридическая служба
Кто проконсультирует в отношении законодательства,
связанного с компьютерными преступлениями или с
нарушением договорных обязательств?
 PR-служба
Кто сообщит журналистам новость об утечке информации о
клиентах? Кто уменьшит негативный ущерб от публикаций?

Кто отвечает за управление
инцидентами? (окончание)

 Служба ИТ
Кто обновит систему и устранит уязвимости?
 Служба ИБ
Кто разъяснит причину инцидента и сможет изменить
политики безопасности?
 Рядовые пользователи
Кто сообщит в CSIRT об инциденте?

Управление инцидентами происходит в масштабах
всего предприятия и с участием различных категорий
и ролей сотрудников

Получите
поддержку
руководства


Получение поддержки
 Найдите executive sponsor
 Представьте бизней-кейс с преимуществами
создания CSIRT
 Получите поддержку руководства в части
расходования времени и бюджета
Словесная поддержка мало чего стоит
 Донесите идею CSIRT и ее преимуществ до бизнес-
руководителей
 Пусть руководство от своего имени анонсирует
проект по созданию CSIRT и попросит сотрудников
компании помочь на этапе планирования и внедрения


Бизнес-план CSIRT
 В чем проблема?
ИТ/ИБ становится частью бизнеса компании или ИБ-риски
становятся бизнес-рисками
ИТ-инциденты управляются через Service Desk, а ИБ-
инциденты управляются неэффективно и на нерегулярной
основе
Требуется более структурированных подход и иные знания,
чем в управлении ИТ-инцидентами
 Чего вы хотите достичь для клиентов?
Снижение бизнес-рисков
Повышение эффективности управления ИБ
Рост культуры ИБ на предприятии и, как следствие, снижение
в долгосрочной перспективе затрат на обеспечение ИБ


Бизнес-план CSIRT (окончание)
 Что произойдет, если ничего не делать?
Ущерб, регулятивные риски, удар по репутации
 Что произойдет, если вы что-то сделаете?
Предотвращение потерь, снижение рисков
 Какова стоимость?
Бюджет на CSIRT (обсуждается далее)
 Какова прибыль?
В истинном значении этого слова прибыли может и не быть
(если не применять специальные методики)
Рост прозрачности управления, снижение затрат на
управление инцидентами и ИБ
 Когда вы планируете стартовать и когда завершить?

Стоимость
инцидента
В помощь бизнес-кейсу


Проект ICAMP ICAMP II
 1998 и 2000 года – проект по анализу стоимости
инцидента
Компрометация системы - $1800
Вредоносный код - $980
Отказ в обслуживании - $22350
Атака хакеров - $2100
Загрузка нелицензионного ПО и контента - $340
 На базе проекта ICAMP Дэвид Диттрих предложил
свой подход к оценке стоимости инцидента
Время и деньги, потраченные на расследование и
восстановление системы
Замена ПО, оборудования, информации + новые системы
защиты
InfoSecurity 2008
Потеря продуктивности пользователей
© 2008 Cisco Systems, Inc. All rights reserved. 97/431

Формы потерь от инцидента

• Простои
Продуктивность • Ухудшение психологического климата

• Расследование инцидента
Реагирование • PR-активность

• Замена оборудования
Замена • Повторный ввод информации

• Судебные издержки, досудебное урегулирование
Штрафы • Приостановление деятельности

• Ноу-хау, государственная, коммерческая тайна
Конкуренты • Отток клиентов, обгон со стороны конкурента

• Гудвил
Репутация • Снижение капитализации, курса акций


Разработайте
план проекта


Управление проектом
 Команда проекта
 Лидер проекта
 Применяйте теорию
управления
проектами при
формировании
CSIRT
Требуемые время,
люди и деньги
Риски и меры по
управлению ими


Соберите
информацию


Сбор информации
 Что нужно клиентам и иным заинтересованным
сторонам?
 Какие инциденты уже были на предприятии?
Позволит понять, что может делать существующая CSIRT и
что еще понадобится
 Как предприятие боролось с инцидентами в
прошлом?
 Определите окружение, в котором будет строиться
CSIRT
Политика, бизнес, культура, юридические вопросы
 Определить владельцев данных или
интеллектуальной собственности, используемой в
работе CSIRT

Сбор информации (окончание)
 Какие правила влияют на CSIRT?
Открытые, закрытые, государственные, международные,
нормативно-правовые акты…
 История создания CSIRT в организации
Кто-нибудь уже пытался создать CSIRT ранее?
Ему это удалось? Почему?
 Какие технологии используются на предприятии?
ПО, приложения и аппаратное обеспечение
Домены и IP-адреса, принадлежащие предприятию и его
контрагентам


Идентифицируйте
клиентов, в
интересах которых
работает CSIRT и
ее задачи


Клиенты CSIRT
 Определите для себя, кого будет обслуживать
CSIRT?
 Определение круга клиентов может зависеть от ряда
критериев
Национальный
Географический
Политический
Технический
Организационный
Провайдер связи
Контрактный
 Самое простое – определить клиентов для
корпоративной CSIRT

Задачи CSIRT
 Какие типы сервисов будет оказывать CSIRT своим
клиентам?
 Как клиенты будут получать сервисы CSIRT?
 Есть ли клиенты, которых вы не готовы поддерживать
сейчас, но готовы поддерживать в будущем?
 Что вы ответите клиентам, которых вы не
обслуживаете?


Примеры задач CSIRT
 Повышение уровня Интернет-безопасности
предприятия
Неконкретно, но хоть что-то
 Помощь предприятию в предотвращении инцидентов
ИБ
 Рост осведомленности предприятия в области ИБ
 Реагирование на инциденты ИБ


Определите
миссию CSIRT


Миссия CSIRT
 Многие CSIRT выполняют свою работу, не
задумываясь о своей миссии и целях или не доводят
их до заинтересованных сторон
 Результат: бесполезные или напрасные трата усилий
и ресурсов (это опасно в условиях инцидента) в
попытке
Правильно расставить приоритеты в деятельности
Понять, следует ли реагировать в той или иной ситуации
Определить, не пора ли изменить качество и состав
реализуемых сервисов
 До определения четких и понятных задач и целей
ситуация вряд ли улучшится


Миссия CSIRT
 Миссия не должна быть неоднозначной
 Миссия должна описываться 3-4 предложениями
 Миссия должна поддерживаться руководством и
заинтересованными сторонами
ИТ, ИБ или иным, в зависимости от места в структуре
организации

 Пример: улучшить безопасность информационной
инфраструктуры предприятия и минимизировать
угрозу нанесения ущерба от вторжений и атак


Миссия JA.NET CSIRT
 Обеспечить безопасность JA.NET и ее клиентов в
настоящем и будущем за счет:
Взятия на себя инициативы в реализации политики ИБ
JA.NET
Координации реагирования
Разработки ресурсов ИБ
Поддержки высокой квалификации

 В поддержку этой миссии мы предлагаем
координацию управления инцидентами, обучение и
консультирование для клиентов JA.NET, и
сотрудничество с соответствующими
организациями за пределами JA.NET


Миссия SingCERT
 Единая доверенная точка контакта
 Содействие реагированию на угрозы безопасности
 Повысить компетенцию в ИТ-безопасности


Получите
бюджеты для
CSIRT и
определите
финансовую
модель


Бюджетирование

 Что включать в бюджет?
Создание CSIRT
Обучение сотрудников CSIRT (включая конференции)
Тренинги для сотрудников CSIRT
Оборудование и ПО для обнаружения, анализа,
отслеживание и реагирования на инциденты
Оборудование для защиты данных, систем и персонала
CSIRT
Командировки в места инцидентов
 Выбивать бюджеты на создание CSIRT непросто
ИБ считается поддерживающей функцией
Необходимо бизнес обоснование (бизнес-кейс)


Финансовые модели

 Какова бизнес-модель существования CSIRT?
 Спонсорство руководством (55%)
Опирается на время работы сервиса и количество людей
Экономия на оказании услуг вне рабочего времени
 Продажа отдельных сервисов CSIRT клиентам
Для внутренних клиентов бесплатно, а для внешних – за
деньги
 Оплата подписки
Ежегодная или ежеквартальная подписка на базовые сервисы
Дополнительные сервисы за дополнительную плату
 Платные CSIRT – 10%


Выберите
сервисы,
оказываемые
CSIRT


Сервисы CSIRT

 Слона лучше есть по частям
Наращивать силу лучше постепенно, по мере зарабатывания
доверия со стороны клиентов
 Обычно CSIRT предлагает одну или несколько услуг
по обработке инцидентов
Анализ инцидентов
Реагирование на инциденты
Поддержка реагирования на инциденты
Координацию реагирования на инциденты
Расследование инцидентов
 Часто CSIRT предлагают и другие сервисы
Самостоятельно или во взаимодействии с другими
подразделениями или компаниями

Выбор сервисов

 Разные сервисы имеют разные приоритеты
Реактивные обычно более приоритетные чем проактивные
или сервисы повышения качества ИБ

 Набор предоставляемых сервисов зависит от
Потребностей предприятия
Наличии других подразделений, связанных с ИБ
Квалификации экспертов CSIRT
Ресурсов для качественного оказания сервисов

 Как будут оказываться сервисы?
Время работы, методы взаимодействия, распространение
информации и т.п.
Как сервисы будут продвигаться на предприятии?


Повышение качества
Реактивные Проактивные
управления ИБ
• Сигналы тревоги и • Уведомления • Анализ рисков
предупреждения • Анализ технологий • Планирование
(72%) (55%) непрерывности
• Обработка • Аудит и оценка бизнеса
инцидентов (97%) защищенности • Консалтинг ИБ
• Обработка (28%) • Построение
уязвимостей (41%) • Конфигурация и программы
• Обработка поддержка осведомленности
артефактов (66%) • Разработка средств • Обучение / тренинги
защиты (34%) (59%)
• Обнаружение • Оценка /
вторжений (62%) сертификация
• Распространение продуктов
информации по ИБ

Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress.
CMU/SEI-2004-TR-015

Сигналы тревоги и предупреждения

 Включает описание и рассылку информации о
Вторжении нарушителей, уязвимости, вредоносной
программе, оповещении о лживых сообщениях в области
ИБ (что-то чего не было или специально распространяется
злоумышленниками) и т.п.
Кратких рекомендациях по решению проблемы
 Предупреждение направляется как реакция на
текущие проблемы и как руководство по защите и
восстановлению систем, подвергшихся нападению
 Предупреждение создается собственной CSIRT или
иными службами CSIRT (включая производителей
средств защиты)
Не забывайте про притчу о пастухе, который кричал:
«Волки, волки!» - приоритезируйте предупреждения

Сигналы тревоги и предупреждения


Обработка инцидентов

 Включает в себя получение информации об
инцидентах, их систематизацию, реагирование на
запросы и отчеты, а также анализ инцидентов и
событий
 Обработка инцидентов может включать в себя
Анализ инцидентов
Сбор доказательств
Отслеживание злоумышленника
Реагирование
Поддержка реагирования (например, для удаленных систем)
Координация реагирования
 Далее мы детально рассмотрим этот сервис

Реагирование на инциденты

 Реагирование на инциденты может включать в себя
Реализация действий для защиты систем, подвергающихся
атаке
Реализация рекомендаций из предупреждений
Поиск активностей злоумышленников в других частях
системы/сети
Фильтрация сетевого трафика
Перезагрузка (сборка) системы
Установление обновлений и восстановление системы
Разработка других механизмов реагирования


Обработка уязвимостей

аппаратных и программных уязвимостях, анализ их
природы, механизма использования и эффекта,
разработка стратегии обнаружения и устранения


Обработка артефактов

артефактах, попытках разведки и других
несанкционированных или вредоносных действиях,
анализ их природы, механизма действия и
использования, разработка стратегии обнаружения,
устранения и будущей защиты
 Далее мы детально рассмотрим этот сервис


Уведомления

 Включает описание и рассылку информации о
новых уязвимостях, вредоносных программах,
случаях мошенничества
 Предупреждение направляется с целью
ознакомления и предвосхищения описываемых
событий
 Уведомления создаются собственной CSIRT или
иными службами CSIRT (включая производителей
средств защиты)
 Рассылаются обычно узкому кругу
заинтересованных лиц – ИТ, ИБ и т.п.


Анализ технологий

 Мониторинг и анализ новых тенденций в ИТ и ИБ,
методов злоумышленников и регулятивных
требований для предсказания будущих угроз
 Может включать следующие области для контроля
Социальные и политические угрозы (PEST-анализ)
Развивающиеся технологии
Требования регуляторов
Отраслевые требования
 Выход: анонсы, руководство, обзоры и
рекомендации, фокусирующиеся на средне- и
долгосрочных вопросах ИБ


Аудит и оценка защищенности

 Обследование и анализ инфраструктуры ИБ
предприятия на соответствие требованиям
предприятия, регуляторов или отраслевых
стандартов
 Может быть реализованы следующим образом
Ручной анализ конфигурации инфраструктуры
Обзор лучших практик путем интервьюирования
сотрудников
Сканирование
Тесты на проникновение
 Может быть отдано на аутсорсинг


Конфигурация и поддержка

 Рекомендации и руководства по защищенной
настройке, конфигурации и поддержке приложений
и инфраструктуры
 CSIRT также может воплощать эти рекомендации в
жизнь самостоятельно
При наличии таких полномочий и ресурсов


Разработка средств защиты

 Разработка новых мер защиты, требуемых в
деятельности CSIRT, например
Патчи
Скрипты или средства защиты, расширяющие
существующие СЗИ
Новые плагины для сканеров защищенности
Механизмы автоматического распределения патчей
И т.п.


Пример: Вымпелком

 Security Log Tracker (SLOT) – система мониторинга
активности пользователей, связанной с доступом к
данным, критичным с точки зрения ИБ компании


Обнаружение вторжений

 Анализ логов IDS, разработка мер реагирования
для каждого события/атаки, включая пороговые
значения для сигнатур атак и шаблонов
аномальной активности, а также пересылка
сигналов тревоги согласно политике эскалации или
принятому SLA
 Ключевая проблема/задача – анализ огромных
объемов данных
Во многих случаях требуется опыт и особая экспертиза
Могут потребоваться средства корреляции событий с
целью выявления и снижения числа ложных тревог и
минимизации числа успешных инцидентов
 Может быть отдано на аутсорсинг (SOC)


Локальная корреляция событий
Защита от мультивекторных атак

Событие 1
 Событие 1

Событие 2
 Событие 2


Событие 3 Событие 3

Обычные IPS могут пропускать IPS, выполняющая локальный
мультивекторные атаки корреляционный анализ событий,
блокирует мультивекторные атаки

Событие может быть обычным, а может быть частью
мультивекторной атаки наряду с другими событиями. В отличии
от внешнего корреляционного анализа, локальная корреляция
позволяет IPS предотвращать атаки до достижения ими своей
цели


Meta Event Generator
Встроенные средства корреляционного анализа позволяют адаптироваться к
новым угрозам в режиме реального времени без участия пользователя

Рейтинг риска
При анализе учитываются:
A + B + C + D = ЧЕРВЬ!
• Тип события

Высокий • Временной интервал

Событие Событие
Средний A Событие
D
B

Событие
Низкий C

Время: 0 2 4 6 8 10


Meta Event Generator в действии

Если сигнатуры 5081, 5124, 5114, 3215 и 3216 произошли в течение 3-х
секунд, то срабатывает мета-событие “Nimda”

Временной интервал = 3 сек.

SIG 5081 SIG 5124 SIG 5114 SIG 3215 SIG 3216
Декодирование Юникод-атака Выполнение Сбой
Доступ к cmd.exe IIS CGI на IIS .. ..

NIMDA

Рейтинг риска: введение
Приоритет Насколько Оценка каждой угрозы с
события опасна атака?
точки зрения бизнеса до
Точность
+ Насколько
применения вариантов
сигнатуры реагирования
вероятна ошибка?

Релевантность
+
Узел подвержен
атаки атаке?

Стоимость
+
Насколько важен
ресурса атакуемый ресурс?

Сетевой
+ Какие данные еще
контекст доступны?

РЕЙТИНГ Применение
вариантов
РИСКА реагирования


Рейтинг риска: приоритет атаки

Приоритет сигнала тревоги определяется для
каждой сигнатуры

Приоритет Точность
события
+ сигнатуры
+ Релевантность + ресурса-цели
атаки
Стоимость

RR (Risk Rating)


Рейтинг риска: точность сигнатуры

Точность сигнатуры определяет уровень доверия к точности и
качеству сигнатуры

Приоритет Точность Релевантность Стоимость
события + сигнатуры + атаки + ресурса-цели

RR (Risk Rating)


Рейтинг риска: релевантность атаки

Снижение количества ложных срабатываний
путем активного/пассивного анализа цели

Приоритет Точность Релевантность Оценка
события
+ атаки
+ атаки
+ ресурса-цели

RR (Рейтинг риска)


Анализ релевантности атаки
 Дополнительные данные по цели атаки используются для уточнения
варианта реагирования
 Контекст атаки анализируется на основе:
 пассивного определения ОС
 статического задания ОС для управления исключениями
 интеграции с CSA
 Динамический рейтинг риска базируется на релевантности
 Результат. Более точное и эффективное реагирование
Фильтрация событий / реагирования
Консоль для мониторинга:
Злоумышленник Нерелевантные события фильтруются
инициирует IIS-атаку на
выбранные сервера

Сетевой
сканер
A
Сервер (Windows) Сервер (Linux)
Уязвим Не уязвим
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved.
Поднять рейтинг риска Фильтровать
141/431

Рейтинг риска: ценность для бизнеса

Большее понимание уязвимости цели через введение понятия
стоимости ресурса

события
+ атаки
атаки
Стоимость

RR (Risk Rating)


Рейтинг риска: итоговый результат
Настройка порогов рейтинга
риска позволяет
автоматизировать варианты
реагирования для каждого
события, а не сигнатуры

события
+ сигнатуры
атаки
Стоимость

RR (рейтинг риска)


Рейтинг угрозы (Threat Rating)
Оценка каждой угрозы после отражения ее Cisco IPS

Политика IPS: Измерение рисков базируется на
RR > 85  Заблокировать IP вариантах реагирования IPS
100 • Атака с высоким рейтингом риска может
90
быть отражена автоматически
85
80

70
и не требовать внимания оператора
60 • Концентрация внимания на вариантах
50
реагирования на события с высоким
остаточным риском
40

30
Пример:
20
• Событие 2: Очень высокий рейтинг риска, но
10
блокируется  не требует внимания, низкий рейтинг
0
1 2 3 4 5 угрозы
Event Number
• Событие 4: Высокий рейтинг риска, но недостаточный
Risk Rating Threat Rating
для блокирования  Высокое внимание и рейтинг
угрозы
Результат. Рост эффективности реагирования и продуктивности
операций по автоматической приоритезации рисков

Недостаток классических сигнатур

Что находит обычная IPS Вердикт: Неизвестно
Фрагментированные SQL команды
Что? внутри веб-трафика


Репутационные технологии в IPS

Что находит Cisco IPS v7 Вердикт: блокировать
Фрагменты SQL
Что? внутри веб-трафика

Первое подключение HTTP
Как?

Динамический IP адресс
Кто? Динамический DNS
История веб-атак
Из скомпрометированной
Откуда? азиатской сети
Есть история ботнетовской Только “чистые”
активности источники


Единая панель управления угрозами
Панель инцидентов
 Агрегация
 Корреляция
 Выделение важной
информации
15 427 105 событий

5 666 129 сессий

102 инцидента

40 инцидентов с
высоким уровнем
опасности

• Объединение данных Netflow, Syslog и информации о топологии сети
позволяет создать центр управления безопасностью на базе MARS
• Оперативное обнаружение угроз за счет снижения объема данных в режиме
реального времени позволяет администраторам сконцентрироваться на
решении высокоприоритетных задач

Обнаружение угроз и отражение атак
Путь распространения атаки и учет топологии сети

Жертва/зараженный хост
(красный)

Взломанный хост,
участвующий в атаке
(сиреневый)

Источник атаки
(коричневый)


Расследование инцидента
10.1.1.10 генерирует атаку, сообщите мне подробности

Несколько нажатий на кнопки,
и вы увидите:
 Точку назначения, которой
достигает 10.1.1.10
 Сеансы интересующей вас
точки назначения
 Или любую другую
информацию, которая
вас интересует


Распространение информации

 Сбор и распространение информации,
способствующей повышению защищенности
Контактная информация с CSIRT, как единой точкой
контакта
Руководства по безопасности
Архив уведомлений и предупреждений
Лучшие практики
Политики, процедуры и чеклисты
Информация о патчах
Ссылки на вендоров
Текущая статистика по управлению инцидентами
Другая связанная информация


Сервисы повышения качества ИБ

 Анализ рисков
 Планирование непрерывности бизнеса
 Консалтинг ИБ
 Построение программы осведомленности
 Обучение / тренинги
 Оценка / сертификация продуктов


Определите
модель, место в
иерархии и власть
CSIRT


Сценарии существования CSIRT

 За функции CSIRT отвечает ИТ-подразделение
 За функции CSIRT отвечает служба ИБ
Отсутствие формальной группы реагирования на
инциденты
Существующий персонал решает ограниченный спектр
задач CSIRT время от времени
 Виртуальная CSIRT
Использование существующего персонала для создания
виртуальной CISRT и наличие выделенного менеджера
группы
 Все инциденты напрямую передаются в
выделенную структуру CSIRT (34%)
Полностью выделенная группа, реализующая весь спектр
задач CSIRT

Сценарии существования CSIRT

 Комбинация 3-го и 4-го вариантов в
распределенной организации (21%)
Выделенные сотрудники в ИТ и иных подразделениях
реагируют на инциденты на местах, а в центре действует
основная CSIRT
 Инциденты направляются в Help Desk, а затем в
CSIRT (по необходимости)
CSIRT является второй линией анализа
 Координирующая CSIRT (13%)


Модели существования CSIRT

 Полностью независимая CSIRT
При наличии ресурсов на организацию CSIRT


Модели существования CSIRT (продолжение)

 Интегрированная CSIRT
При нехватке ресурсов на организацию CSIRT


Модели существования CSIRT (окончание)

 Кампусная CSIRT
При холдинговой
структуре
организации CSIRT


Место в организации
 Не важно какое место в организации занимает CSIRT –
важна эффективность ее работы
41% - под ИТ-департаментом
24% - независимо от всех
31% рапортуют непосредственно CIO
38% рапортуют не CIO
 Какое бы место в организации не занимала CSIRT
важно решить следующие вопросы:
Координация с другими подразделениями (ИТ, ИБ, ERM и т.п.)
Четкое описание обязанностей каждого подразделения
Эскалация
Ответственность


Власть CSIRT
Власть Описание
CSIRT имеют все полномочия для принятия решений
Полная и реализации любых действий от имени их клиентов
(в части касающейся деятельности CSIRT) – 34%
CSIRT обеспечивает поддержку своих клиентов и
Частичная совместно принимают решения (рекомендуют, но не
могут диктовать) – 24%
CISRT не имеет никаких полномочий и действует
Отсутствует
только как советник – 24%
CSIRT влияет на принятие решений своих клиентов
Косвенная косвенно (например, головная организация влияет на
свои дочки или оператор связи на своих клиентов)

 Власть ≠ доверие
Заработайте доверие своих клиентов и эффективность
работы CSIRT возрастет многократно

Incident management (part 2)

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Incident management (part 2)

Similar a Incident management (part 2) (20)

Más de Aleksey Lukatskiy

Más de Aleksey Lukatskiy (15)

Incident management (part 2)