📚 Азиатские APT-группировки: тактики, техники и процедуры.

• 5 уникальных историй, которые легли в основу 370 страниц отчета:

- Инциденты с участием азиатских APT-группировок;
- Описание TTPs, обнаруженных нами у азиатских APT-группировок;
- Анализ действий атакующих на основе «Unified Kill Chain»;
- Описание митигаций рисков, основанное на перечисленных TTPs;
- Статистика по жертвам азиатских группировок в мире, включающая разделение по странам и индустриям;
- Sigma-правила.

➡️ Источник.

#Отчет #ИБ #SOC #DFIR

👨‍💻 Анализ логов хоста в контексте контейнерных угроз: как определить точку начала атаки.

• Контейнеры обеспечивают изолированность среды выполнения для приложений, однако уровень этой изоляции часто переоценивают. Хотя контейнеры включают все необходимые зависимости и обеспечивают единообразие среды, они все равно обращаются к ядру системы хоста, что создает определенные риски для безопасности.

• Среды с ограниченной видимостью затрудняют работу специалистов по киберугрозам и реагированию на инциденты, поскольку в них сложно однозначно отличить процессы, запущенные внутри контейнера, от тех, что выполняются непосредственно на хосте. Из-за этой неопределенности трудно установить, откуда на самом деле началась атака — в скомпрометированном контейнере или непосредственно на хосте.

• В этой статье мы разбираемся, как восстановить цепочку выполнения процессов внутри работающего контейнера на основе логов хоста. Описанные методы помогут специалистам по киберугрозам и реагированию на инциденты определять первопричину компрометации исключительно на основе логов, собранных на уровне хоста.

➡Риски для контейнеризованных сред;
➡Как создаются контейнеры и как они работают;
➡Как BusyBox и Alpine выполняют команды;
➡Примеры из реальных расследований.

➡️ https://securelist.ru/host-based-logs-container-based-threats/112780/

#ИБ #soc