ADCS ESC9_15 Offzone2025.pdf
2 MB
Обнаружение техник ESC9–15 ADCS
Мои коллеги и друзья, Андрей и Дима, из нашей команды SOC Research поделились хантами, используемыми в MDR, для обнаружения атак на Удостоверяющий центр, интегрированный в MS AD.
Слайды во вложении
Все материалы на Git
Видеозапись доклада
Заметка в канале Purple shift
#MDR
Мои коллеги и друзья, Андрей и Дима, из нашей команды SOC Research поделились хантами, используемыми в MDR, для обнаружения атак на Удостоверяющий центр, интегрированный в MS AD.
Слайды во вложении
Все материалы на Git
Видеозапись доклада
Заметка в канале Purple shift
#MDR
👍4👎1
Gartner Reprint MDR 2025.pdf
650.6 KB
Gartner об MDR: AI - это замечательно, но люди - основа!
Гартнер опубликовал свое руководство по рынку MDR (репринт во вложении, ссылка на него). Ранее мы уже обсуждали мнение Forrester, пришло время посмотреть что же пишет Gartner.
Обязательный состав сервисных компонент:
- Удаленно предоставляемый технологический стек (но есть случаи использования уже развернутых решений) для обнаружения и реагирования на угрозы в реальном времени.
- Круглосуточная работа аналитиков, взаимодействие с заказчиком.
- Возможность немедленного удаленного реагирования и сдерживания угроз (например, изоляция хостов), а не просто оповещения.
- Мониторинг поверхности атаки (совсем недавно касались, и, в целом, все что приобретает свойство "Continuous" может, и, полагаю, должно предоставляться в рамках MDR)
- Проактивный Threat hunting.
- Поддержка облачных инфраструктур, как минимум, популярных Amazon, Google, я нас актуально - Yandex (тем боле, что ребят полно сервисов для автоматизации)
Популярные дополнения:
- Мониторинг Identity.
- Поддержка IoT и технологических сетей (OT).
- Услуги цифровой криминалистики и реагирования на инциденты (DFIR).
- Анализ защищенности, как минимум, на уровне BAS😂, но можно и шире.
Тенденции на рынке:
- Смещение фокуса на проактивность: покупатели хотят не только реагировать на угрозы, но и проактивно выявлять и устранять уязвимости (Threat Exposure Management).
- Рост популярности: расходы на MDR растут быстрее, чем на другие управляемые сервисы безопасности.
- Расширение покрытия: ключевыми областями становятся облачные сервисы (IaaS, SaaS), Identity и мониторинг приложений.
- Влияние ИИ: ИИ и автоматизация повышают эффективность MDR, но не заменяют человеческий анализ, "Автономный SOC" - это миф.
- заказчики хотят большей адаптации, чтобы MDR был не просто инструментом (~ системой обнаружения), а приносил обосновываемую ценность в контексте копании (кстати, простой способ принести ценность - подхватить на мониторинг on-prem развернутые решения) .
- обязательные широкие возможности по интеграции в корпоративные процессы обеспечения ИБ, тем более, что MDR не заменяет внутренние процессы безопасности компании, и заказчикам надо:
-- Иметь собственные отработанные процессы реагирования на инциденты,
-- Интегрировать MDR с внутренними системами управления обращениями и инцидентами,
-- Наладить взаимодействие между внутренними командами и провайдером MDR,
(замечу, что это повторяет мой старый тезис, что любой SOC - гибридный)
- MDR подходит для всех:
-- у кого нет SOC - MDR хороший старт, а также может быть временным решением, пока строится свой SOC,
-- у кого есть - усиление внутренней команды (оптимальный сценарий).
#MDR #vCISO
Гартнер опубликовал свое руководство по рынку MDR (репринт во вложении, ссылка на него). Ранее мы уже обсуждали мнение Forrester, пришло время посмотреть что же пишет Gartner.
Обязательный состав сервисных компонент:
- Удаленно предоставляемый технологический стек (но есть случаи использования уже развернутых решений) для обнаружения и реагирования на угрозы в реальном времени.
- Круглосуточная работа аналитиков, взаимодействие с заказчиком.
- Возможность немедленного удаленного реагирования и сдерживания угроз (например, изоляция хостов), а не просто оповещения.
- Мониторинг поверхности атаки (совсем недавно касались, и, в целом, все что приобретает свойство "Continuous" может, и, полагаю, должно предоставляться в рамках MDR)
- Проактивный Threat hunting.
- Поддержка облачных инфраструктур, как минимум, популярных Amazon, Google, я нас актуально - Yandex (тем боле, что ребят полно сервисов для автоматизации)
Популярные дополнения:
- Мониторинг Identity.
- Поддержка IoT и технологических сетей (OT).
- Услуги цифровой криминалистики и реагирования на инциденты (DFIR).
- Анализ защищенности, как минимум, на уровне BAS😂, но можно и шире.
Тенденции на рынке:
- Смещение фокуса на проактивность: покупатели хотят не только реагировать на угрозы, но и проактивно выявлять и устранять уязвимости (Threat Exposure Management).
- Рост популярности: расходы на MDR растут быстрее, чем на другие управляемые сервисы безопасности.
- Расширение покрытия: ключевыми областями становятся облачные сервисы (IaaS, SaaS), Identity и мониторинг приложений.
- Влияние ИИ: ИИ и автоматизация повышают эффективность MDR, но не заменяют человеческий анализ, "Автономный SOC" - это миф.
- заказчики хотят большей адаптации, чтобы MDR был не просто инструментом (~ системой обнаружения), а приносил обосновываемую ценность в контексте копании
- обязательные широкие возможности по интеграции в корпоративные процессы обеспечения ИБ, тем более, что MDR не заменяет внутренние процессы безопасности компании, и заказчикам надо:
-- Иметь собственные отработанные процессы реагирования на инциденты,
-- Интегрировать MDR с внутренними системами управления обращениями и инцидентами,
-- Наладить взаимодействие между внутренними командами и провайдером MDR,
(замечу, что это повторяет мой старый тезис, что любой SOC - гибридный)
- MDR подходит для всех:
-- у кого нет SOC - MDR хороший старт, а также может быть временным решением, пока строится свой SOC,
-- у кого есть - усиление внутренней команды (оптимальный сценарий).
#MDR #vCISO
👍8
Карельская природа
Продолжу рассказывать о нашем летнем путеществии по рр. Тунтсайоки и Тумча.
Часть 1. Общее описание и п. Яма
Часть 2. п. Котел
Часть 3. п. Карниз
После п. Карниз наша дружная компания встала на ЛБ в 300-400 метрах от порога, на высоком берегу с характерным Карельским пейзажем и живописным видом на п. Карниз. До конца всего маршрута оставалось около 8 км, поэтому появилась возможность встать лагерем относительно рано - около 16 уже разгрузились, прыгая с валуна на валун затащили вещи на высокий берег, встали лагерем, и даже пообедали. А оставшееся время до темноты - наслаждались прекрасными видами природы. Несмотря на то, что днем было пасмурно и не отставал наш постоянный спутник - "неопределенный дождь" (который то есть, то нет - то превращается в растворенную в воздухе водяную суспензию, то материализуется в дождь, может пойти ливнем, а потом снова превратиться в туман\водяную пыль), во второй половине дня распогодилось, появилось солнце, стало тепло, поднялось атмосферное давление, а вместе с ним и настроение.
Оборотная сторона ясной погоды - очень холодно, когда садится солнце, к тому же все промокли - неопределенный дождь и бурлящие пороги сделали свое дело. Погода оставалась ясной всю ночь и на следующее утро весело светило солнце, чему я был несказанно рад, так как за ночь изрядно померз.
Делюсь фотографиями с этой замечательной стоянки. Едва ли удастся передать всю красоту, но все же лучше, чем даже не пытаться.
#здоровье
Продолжу рассказывать о нашем летнем путеществии по рр. Тунтсайоки и Тумча.
Часть 1. Общее описание и п. Яма
Часть 2. п. Котел
Часть 3. п. Карниз
После п. Карниз наша дружная компания встала на ЛБ в 300-400 метрах от порога, на высоком берегу с характерным Карельским пейзажем и живописным видом на п. Карниз. До конца всего маршрута оставалось около 8 км, поэтому появилась возможность встать лагерем относительно рано - около 16 уже разгрузились, прыгая с валуна на валун затащили вещи на высокий берег, встали лагерем, и даже пообедали. А оставшееся время до темноты - наслаждались прекрасными видами природы. Несмотря на то, что днем было пасмурно и не отставал наш постоянный спутник - "неопределенный дождь" (который то есть, то нет - то превращается в растворенную в воздухе водяную суспензию, то материализуется в дождь, может пойти ливнем, а потом снова превратиться в туман\водяную пыль), во второй половине дня распогодилось, появилось солнце, стало тепло, поднялось атмосферное давление, а вместе с ним и настроение.
Оборотная сторона ясной погоды - очень холодно, когда садится солнце, к тому же все промокли - неопределенный дождь и бурлящие пороги сделали свое дело. Погода оставалась ясной всю ночь и на следующее утро весело светило солнце, чему я был несказанно рад, так как за ночь изрядно померз.
Делюсь фотографиями с этой замечательной стоянки. Едва ли удастся передать всю красоту, но все же лучше, чем даже не пытаться.
#здоровье
Telegram
Солдатов в Телеграм
Тунтсайоки - Тумча. Август 2025
Через несколько часов мой старый знакомый, поезд Москва - Мурманск, увезет меня в поход. Не уверен, что там у меня будет стабильная связь, но, в любом случае, готовить заметки я буду уже после возвращения. А сейчас делюсь…
Через несколько часов мой старый знакомый, поезд Москва - Мурманск, увезет меня в поход. Не уверен, что там у меня будет стабильная связь, но, в любом случае, готовить заметки я буду уже после возвращения. А сейчас делюсь…
👍8
hackertraining.org
На одном из онлайн-курсов на LinkedIn Learning тренер поделился своим репозиторием, где он прикапывает полезные, по его мнению, материалы.
Мне репозиторий показался тоже полезным, да и наши интересы с тренером пересекаются, поэтому прикопаю его здесь:
hackertraining.org
The-Art-of-Hacking/h4cker
Курс был, в общем-то, про машобуч, поэтому поделюсь еще одним полезным репозиторием:
jivoi/awesome-ml-for-cybersecurity
#саморазвитие
На одном из онлайн-курсов на LinkedIn Learning тренер поделился своим репозиторием, где он прикапывает полезные, по его мнению, материалы.
Мне репозиторий показался тоже полезным, да и наши интересы с тренером пересекаются, поэтому прикопаю его здесь:
hackertraining.org
The-Art-of-Hacking/h4cker
Курс был, в общем-то, про машобуч, поэтому поделюсь еще одним полезным репозиторием:
jivoi/awesome-ml-for-cybersecurity
#саморазвитие
hackertraining.org
Home - Cybersecurity and AI Resources by Omar Santos
This website is maintained by [Omar Santos](https://www.linkedin.com/in/santosomar/) and includes numerous resources related to ethical hacking, bug bounties, digital forensics and incident response (DFIR), artificial intelligence security, vulnerability…
👍6
2026-Tech-Trends-and-Priorities-Global-Infographic-1025.pdf
520.9 KB
Инсайдеры
Нередко в прогнозах атак на будущий год фигурируют угрозы, связанные с внутренними злоумышленниками. Лично я скептически отношусь к защите от внутреннего нарушителя (особенно, к защите от админа), и, как следствие, не очень уважаю решения DLP, хотя когда-то их предметно исследовал с целью внедрения у прошлого работодателя. Но вот и ISACA в своих прогнозах на 2026 (вложение) обозначает "insider threats" следующей после "Ransomware" и "AI-driven social engineering", что заставило задуматься.
А подумал я вот о чем. Я не раз поднимал вопрос о том, что при грамотной реализации программную закладку невозможно отличить от уязвимости в результате "ошибок" при разработке. Уязвимосить в продукте или решении - это "нормально", а программная закладка - это "очень плохо", однако, фактическая разница только в намерении исполнителя, а это намерение невозможно проверить, да и если даже намерение будет однозначно установлено, есть еще масса вариантов для компании-разработчика отказаться от ответственности: проблема в данном конкретном нечитоплотном\невнимательном\ленивом работнике, козла отпущения можно найти всегда.
Ситуация с умыслом, превращающим уязвимость в недокументированную возможность, очень похожа на ситуацию с инсайдером, где наличие злого умысла превращает обычную социальную инженерию в атаку инсайдера. С учетом того, что социальная инженерия вообще и целевой фишинг в частности уже который год не теряют первенства, а с появлением LLM, подготовка подобных атак заметно упростилась (кстати, "AI-driven social engineering", занимает почетное второе место после шифровальщиков\вымогателей), использовать их для маскировки работы инсайдера вполне логично. Более того, есть масса схем, когда сам инсайдер может успешно спровоцировать компрометацию сети, при этом сам оставшись, как бы, ни при чем.
Таким образом, ключевая проблема защиты от инсайдерских угроз заключается не в технической сложности, а в фундаментальной невозможности отличить злой умысел от человеческой ошибки. Как уязвимость в коде, вызванная халатностью, неотличима от преднамеренной закладки, так и успешная фишинговая атака на сотрудника может быть как результатом простой невнимательности, так и тщательно спланированной провокацией со стороны самого инсайдера. Это стирает грань между внешней и внутренней угрозой, превращая социальную инженерию в идеальное прикрытие для злоумышленника внутри компании. И это мы еще не касались тем с промыванием мозгов, манипуляциями, созданием "пятой колонны" и т.п. В общем, любая угроза всегда "внешняя", а "внутренней" не бывает, ибо какой смысл работать на компанию, к которой не лоялен?
#vCISO
Нередко в прогнозах атак на будущий год фигурируют угрозы, связанные с внутренними злоумышленниками. Лично я скептически отношусь к защите от внутреннего нарушителя (особенно, к защите от админа), и, как следствие, не очень уважаю решения DLP, хотя когда-то их предметно исследовал с целью внедрения у прошлого работодателя. Но вот и ISACA в своих прогнозах на 2026 (вложение) обозначает "insider threats" следующей после "Ransomware" и "AI-driven social engineering", что заставило задуматься.
А подумал я вот о чем. Я не раз поднимал вопрос о том, что при грамотной реализации программную закладку невозможно отличить от уязвимости в результате "ошибок" при разработке. Уязвимосить в продукте или решении - это "нормально", а программная закладка - это "очень плохо", однако, фактическая разница только в намерении исполнителя, а это намерение невозможно проверить, да и если даже намерение будет однозначно установлено, есть еще масса вариантов для компании-разработчика отказаться от ответственности: проблема в данном конкретном нечитоплотном\невнимательном\ленивом работнике, козла отпущения можно найти всегда.
Ситуация с умыслом, превращающим уязвимость в недокументированную возможность, очень похожа на ситуацию с инсайдером, где наличие злого умысла превращает обычную социальную инженерию в атаку инсайдера. С учетом того, что социальная инженерия вообще и целевой фишинг в частности уже который год не теряют первенства, а с появлением LLM, подготовка подобных атак заметно упростилась (кстати, "AI-driven social engineering", занимает почетное второе место после шифровальщиков\вымогателей), использовать их для маскировки работы инсайдера вполне логично. Более того, есть масса схем, когда сам инсайдер может успешно спровоцировать компрометацию сети, при этом сам оставшись, как бы, ни при чем.
Таким образом, ключевая проблема защиты от инсайдерских угроз заключается не в технической сложности, а в фундаментальной невозможности отличить злой умысел от человеческой ошибки. Как уязвимость в коде, вызванная халатностью, неотличима от преднамеренной закладки, так и успешная фишинговая атака на сотрудника может быть как результатом простой невнимательности, так и тщательно спланированной провокацией со стороны самого инсайдера. Это стирает грань между внешней и внутренней угрозой, превращая социальную инженерию в идеальное прикрытие для злоумышленника внутри компании. И это мы еще не касались тем с промыванием мозгов, манипуляциями, созданием "пятой колонны" и т.п. В общем, любая угроза всегда "внешняя", а "внутренней" не бывает, ибо какой смысл работать на компанию, к которой не лоялен?
#vCISO
👍4
Gartner: Automated Exposure Management и Zero Trust должны быть частью предложения MDR
Гартнер выпустил документ "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (вложение), согласно которому автоматический контроль поверхности атаки и подходы нулевого доверия должны стать частью MDR в ближайшее время.
Что касается контроля поверхности атаки, то об этом не раз писали и Forrester и Gartner , и вопросов здесь не возникает, то про ZT и контроль Identity стоит поговорить поподробнее.
Чтобы не испытывать ограничения формата заметки в Telegram, подготовил статью.
Статья будет полезна тем, кто определяет продуктовую стратегию MDR и экосистем ИБ вообще, ибо, как не раз писал (например) MDR - это венец любой экосистемы, как практическое подтверждение ее эффективности и результативности в реальных условиях эксплуатации.
#vCISO #MDR #dev
Гартнер выпустил документ "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (вложение), согласно которому автоматический контроль поверхности атаки и подходы нулевого доверия должны стать частью MDR в ближайшее время.
Что касается контроля поверхности атаки, то об этом не раз писали и Forrester и Gartner , и вопросов здесь не возникает, то про ZT и контроль Identity стоит поговорить поподробнее.
Чтобы не испытывать ограничения формата заметки в Telegram, подготовил статью.
Статья будет полезна тем, кто определяет продуктовую стратегию MDR и экосистем ИБ вообще, ибо, как не раз писал (например) MDR - это венец любой экосистемы, как практическое подтверждение ее эффективности и результативности в реальных условиях эксплуатации.
#vCISO #MDR #dev
Дзен | Статьи
Zero Trust в MDR
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В заметке в перечне важных фич приводится "Мониторинг Identity", что, как я понял, вызывает уже вопросики, но я наброшу еще больше,...
🔥3
Emerging_Tech_Futur_G00830314.pdf
313 KB
Gartner
Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust
Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust