Gestione di un team di esperti IDS; come organizzeresti la tua squadra?

6

Supponiamo che tu stia gestendo un team di esperti di Intrusion Detection:

... quali sono le aree funzionali dello spazio di conoscenza IDS in cui raggrupperai la tua squadra?

... come struttureresti la tua squadra?

... come misureresti il successo?

    
posta random65537 23.11.2010 - 22:11
fonte

2 risposte

1

Dipende da cosa vuoi fare con quella squadra. Sourcefire ha alcune persone che lavorano sul motore di base, alcuni sui plug-in e un team di ricerca sulla vulnerabilità che scrive regole, alcune delle quali non avevano precedenti esperienze con il rilevamento delle intrusioni; basta sfruttare la scrittura e l'inversione.

La configurazione con la quale mi è più familiare, al contrario, utilizza un semplice sistema a livelli come molti fornitori di servizi. Gli analisti junior monitorano in tempo reale e controllano i log; e gli analisti senior si occupano di casi ambigui e scrivono regole che sono utili a livello locale.

    
risposta data 26.11.2010 - 20:36
fonte
1

È piuttosto difficile da dire senza sapere molto di più sulla tua configurazione. Probabilmente comincerei dividendo il team IDS nelle aree funzionali coperte,

  • ID di rete, incluso il monitoraggio del firewall
  • ID basato su host - integrazione con Change Management
  • controllo tecnico
  • integrità dei dati - monitoraggio dei dati delle applicazioni per anomalie

Molto dipende dall'ambito del tuo mandato - quindi l'audit tecnico potrebbe includere revisioni del codice e standard di sviluppo oltre a revisioni di architettura e test di penetrazione.

Misurare il successo è più difficile - idealmente non ci sono problemi da trovare. OTOH che ogni mese ha detto ai tuoi contatori di fagioli che non hai trovato nulla di sbagliato non è favorevole al mantenimento del budget. Ma da un punto di vista strategico è necessario pensare a quantificare l'impatto delle vulnerabilità al fine di svolgere un'analisi rischi / benefici adeguata. A seguito di ciò, è possibile iniziare a formare team ad hoc per esaminare specifiche aree di rischio in base al tipo di progetto.

IME e, a seconda del livello della tua organizzazione, questo funziona bene con un piccolo nucleo di esperti di sicurezza e membri cooptati provenienti da altre aree (ad es. DBA, sviluppatori, ingegneri di rete, utenti) piuttosto che cercare di mantenere un alto livello di competenza all'interno del core team.

HTH

    
risposta data 30.11.2010 - 14:36
fonte

Leggi altre domande sui tag