Вопрос: На что похож инцидент в сфере безопасности до того, как он стал таким инцидентом?
Ответ: На сетевой трафик

Суть в том, что поскольку специалисты в области информационной защиты в основном изучают события, связанные с безопасностью, а технологии безопасности фокусируются на атаках и их последствиях, они не замечают предпосылки в сетевом трафике, которые ведут к инциденту. С другой стороны сетевые специалисты занимаются мониторингом с уклоном на доступность сети и ее производительность, поэтому пока сеть работает "нормально" преступники могут проникать в сеть и использовать ее так долго, сколько им необходимо. До тех пор, пока они не случайно не включат "переключатель" какого-либо события,  связанного, например, с производительностью.

Нам надо закрыть дыру, образованную кадровой структурой, которая считает эти сферы ответственности изолированными друг от друга, закрыть потому, что противники атакуют нас ежедневно. Вот пример, если вы сами еще не поняли этого. На черном рынке сейчас продаются большие количества украденных учетных данных и преступники могут просто купить доступ в большинство крупнейших сетей. Используя LinkedIn.com, они идентифицируют людей, кто имеет доступ туда, куда нужно им. При этом наиболее подходящие для этого люди работают в департаменте кадров, юридическом отделе или являются руководителями.
Имея учетные данные вашего генерального директора, они начинают атаку, но при этом никаких событий, связанных с нарушением безопасности не происходит, и для всех инструментов защиты никакой атаки вовсе нет. Люди, которые могут видеть сетевые аномалии, работают в отделе управления сетью, но их инструменты также говорят, что никакой атаки не происходит, поскольку они следят за другим. И как вы можете понять, что этот аномальный трафик является преамбулой инцидента, связанного с нарушением безопасности?
Используя, например, систему Lancope StealthWatch, вы можете легко отслеживать индикаторы нарушения безопасности в шаблонном (базовом) трафике до, во время и после инцидента нарушения безопасности. Когда учетные данные вашего руководителя используются для чего-то, что делает поведение сети аномальным, StealthWatch это зарегистрирует, в то время как для других аналитических инструментов на базе NetFlow или IPFIX это пройдет незаметно. Ваши маршрутизаторы, коммутаторы и беспроводные точки доступа могут информировать вас, когда появляется подозрительный трафик, но обычно у вас нет ничего, что может осуществить такой анализ, поскольку специалисты отдела сетевой безопасности сидят в ожидании событий, связанных с информационной защитой, а сотрудники сетевого департамента не считают заботу о сетевой безопасности своей работой.
Специалисты по безопасности используют StealthWatch для контроля индикаторов опасности в сети. Форма трафика, которая кажется подозрительной, немедленно попадет в их поле зрения. Это также дает возможность понимания того, что происходит и происходило, и StealthWatch предоставляет возможность ретроспективного взгляда на сетевую активность, относящуюся к интересующему нас IP-адресу, пользователю или другим атрибутам трафика.
Современные сетевые угрозы будут всегда находить дорогу в вашу сеть. В действительности велика вероятность, что проникновение уже произошло и вы просто об этом еще не знаете. И самое время задуматься об этом, игнорирование проблемы уже не помогает.