Administrar un equipo de expertos de IDS; ¿Cómo organizarías tu equipo?

6

Suponga que está administrando un equipo de expertos en detección de intrusiones:

... ¿cuáles son las áreas funcionales del espacio de conocimiento de IDS en las que agruparía a su equipo?

... ¿cómo estructurarías tu equipo?

... ¿cómo medirías el éxito?

    
pregunta random65537 23.11.2010 - 22:11
fuente

2 respuestas

1

Depende de lo que quieras hacer con ese equipo. Sourcefire tiene algunas personas que trabajan en el motor central, algunas en los complementos y un equipo de investigación de vulnerabilidades que escribe reglas, algunas de las cuales no tenían experiencia previa con la detección de intrusos; Sólo explotar la escritura y revertir.

La configuración con la que estoy más familiarizado, en contraste, usa un sistema de niveles simple como muchos proveedores de servicios. Los analistas junior monitorean en tiempo real y revisan los registros; y los analistas principales se ocupan de los casos ambiguos y escriben reglas que son útiles a nivel local.

    
respondido por el user502 26.11.2010 - 20:36
fuente
1

Es bastante difícil de decir sin saber mucho más sobre tu configuración. Probablemente comenzaría dividiendo el equipo de IDS en las áreas funcionales cubiertas,

  • IDS de red, incluido el monitoreo de firewall
  • IDS basados en host: integración con Change Management
  • auditoría técnica
  • integridad de los datos: controle los datos de la aplicación para detectar anomalías

Mucho depende del alcance de su mandato, por lo que la auditoría técnica puede incluir revisiones de códigos y estándares de desarrollo, así como revisiones de arquitectura y pruebas de penetración.

Medir el éxito es más complicado, idealmente, no hay problemas que encontrar. OTOH que le informa a sus contadores de frijoles cada mes que no encontró nada malo no es propicio para mantener su presupuesto. Pero desde un punto de vista estratégico, debe pensar en cuantificar el impacto de las vulnerabilidades para realizar un análisis adecuado de riesgo / beneficio. A partir de esto, puede comenzar a formar equipos ad-hoc para analizar áreas específicas de riesgo en función del tipo de proyecto.

IME, y dependiendo de los escenarios de su organización, esto funciona bien con un pequeño grupo central de expertos en seguridad y miembros cooptantes de otras áreas (por ejemplo, DBA, desarrolladores, ingenieros de redes, usuarios) en lugar de tratar de mantener un alto nivel de experiencia dentro del equipo central.

HTH

    
respondido por el symcbean 30.11.2010 - 14:36
fuente

Lea otras preguntas en las etiquetas