Как помочь растормошить команду SOCа и заставить ее бороться против настоящего, а не вымышленного злоумышленника? С чем чаще всего связана некоторая халатность в отношении процесса постинцидента и как это влияет на процесс расследования в целом?

От чего в наибольшей степени будет зависеть этап подготовки к расследованию и само расследование? Сегодня мы рассмотрим взаимосвязь пентеста для компании и процессов Lessons Learned.

Некоторые аутсорс-SOC подмечают, что для команды Blue Team необходим какой-то стимул или обучение для того, чтобы аналитики были готовы к неожиданным и редким инцидентам. Потому как текучка – это знакомо, актуально практически для всех и по возможности автоматизировано и заскриптовано в плейбуках.

Проблемы обычно возникают тогда, когда или не проработана часть инфраструктуры (она и атаки на нее остаются незнакомыми) или когда команда, даже поднатаскавшись на типовых кейсах определенного направления, пасует перед настоящей задачей. Причина последнего нередко в том, что результаты учений не были грамотно использованы дальше.

В чем вообще цель работы над ошибками – в том, чтобы изменить что-то вокруг или поменять свой подход к работе?

Подробнее: https://www.securityvision.ru/blog/polza-ot-pentest-dlya-postintsidenta/