25 czerwca 2019

Czego można by oczekiwać od CSIRT Sektorowego


Niedawno w trakcie jednej z dyskusji zastanawiałem się czym mogłyby zajmować się sektorowe CSIRT, gdy (jeżeli) w końcu zaczną prężnie działać. Nie chodziło o działania wprost wymagane przez KSC, ale o działania, które po prostu przyniosą wartość dla danego sektora. Pomyślałem, że może to się komuś przyda. Krótka burza mózgów przyniosła następujące pomysły:

- stały program szkoleń technicznych dla zespołów SOC
- stały program działań podnoszących świadomość kadry zarządzającej i automatyków
- pozycjonowanie CSIRT jako elementu ścieżki kariery dla poszczególnych zespołów SOC
- wahadłowe uczestnictwo poszczególnych SOC w dyżurach i pracach CSIRT
- utrzymywanie bazy wiedzy (np. najlepsze szkolenia i prezentacje na youtube)
- stałe monitorowanie publikacji wycieków danych poszczególnych podmiotów (co najmniej loginy+hasła)
- alerty o kluczowych podatnościach systemów wykorzystywanych w poszczególnych organizacjach
- awaryjne tworzenie reguł do systemów bezpieczeństwa (np. SIEM) w przypadku rozpowszechnianych krytycznych alarmów z IoC
- utrzymywanie systemu komunikacji kryzysowej (i okresowe testy komunikacji)
- utrzymywanie umów ramowych z kluczowymi ekspertami od zarządzania incydentów (i np. w przypadku niewykorzystania godzin w danym okresie zmienianie ich na zamknięte szkolenia)
- zarządzanie sektorową platformą wymiany informacji (typu misp) o IoC obserwowanych w atakach na dany sektor
- wsparcie w procesie zarządzania incydentami
- utrzymywanie prostych honeypot i beaconów (a może nawet i tych bardziej zaawansowanych?)
- ewentualnie analizy malware
- utrzymywanie standardowego toolbox (np. buildy ze skonfigurowanymi pożytecznymi systemami opensource, instrukcje...)
- stałe skanowanie przedsiębiorstw pod kątem podatności widocznych z sieci Internet
- okresowe skanowanie widoczności z Internetu (czego można się dowiedzieć o podmiocie...)
- ćwiczenia CTF nakierowane na wyzwania specyficzne dla sektora
- przygotowywanie sektorowych wytycznych dot. cyberbezpieczeństwa (tak jak to ma miejsce np. w gazownictwie czy energetyce)
Powyższa lista w żadnym stopniu nie stanowi wyczerpującego źródła potencjalnych zadań, które mógłby wykonywać CSIRT. Jednocześnie mogą pojawić się głosy, że niektóre z propozycji nie powinny mieć miejsca.
Potraktujcie ją więc proszę jako głos w (jeszcze nie istniejącej) dyskusji co "dobrego" mogłyby wykonać takie zespoły. I a nuż kogoś z Was do czegoś to zainspiruje.
Dodam jeszcze, że kolejność jest zupełnie przypadkowa.

Brak komentarzy:

Publikowanie komentarza

Dzień dobry. Komentarze na tym forum są moderowane