Practical Threat Intelligence and Data-Driven Threat Hunting, Valentina Palacín, Packt. Эту книгу я прочитал за время долгих перелётов по нашим ближневосточным офисам, и, надо сказать, там были интересные и полезные моменты. В общем, рекомендую

#книги

Я на месте!

Сегодня во время дискуссии про применение машинного обучения в SOC на SOCTex пришла мысль, которую поскромничал озвучить... видимо, не зря, друзья говорят и так жжег. Но здесь-то меня ничто не сдерживает, здесь все свои!

Так вот, на сегодняшний день, для нормальной компании, которая считает себя лидером рынка, пусть даже исключительно отечественного (тем более мирового!), постоянно доказывать, что она использует машинное обучение, - это все равно что доктору наук гордиться, что он умеет читать! Это уже давно комодити, и удивление вызовет не то, что кто-то использует машобуч, а то, что кто-то еще его не использует :)

Ну а интересны были бы как раз сценарии применения, решаемые задачи, какие алгоритмы применяются, какие проблемы с теми или иными алгоритмами, какие эксперименты ставились, чтобы выбрать, например, параметры моделей, какие критерии качества и как это качество контролируется.... и многое другое

Вчера в кулуарах почему-то много говорили про спорт, видимо, ИБ не самая интересная тема 😂
О спорте здесь, наверно, не место, но у меня есть профиль в Strava, можно там:

Профиль пользователя Sergey Soldatov в Strava
https://www.strava.com/athletes/91778568

#здоровье

Вчера на SOCTex подходили ребята и спрашивали слайды с нашего митапа про анализ защищенности. О чем писал здесь, да, в целом, и на посиделках с ВК говорил примерно то же. Пользуясь удобствами Телеграм, публикую ту презентацию и сюда.

#vCISO

На этой сессии говорили, что искусство всегда будет "зоной ответственности" Человека, однако, лично я поймал себя на мысли, что искусство - вопрос вкуса, а мой собственный вкус (что мне понравится, а что нет) очень часто весьма успешно предсказуем: я читаю книги, смотрю фильмы которые мне предлагает рекомендательная система на основе оцененных мною просмотренных\прочитанных ранее, и она практически никогда не ошибается.
Профессиональные художники, так или иначе, стремятся монетизировать свое искусство (собственно, это заложено в слово «профессионал»), а чтобы работы покупали, они должны нравиться, а значит, их картины должны угадывать вкус аудитории… В общем, вполне возможно, что ML/DL будет успешно рисовать картины, угадывая вкус, и это будет хорошо монетизироваться. Тем более, что такое уже есть – нейросети прекрасно рисуют, и это многим нравится, осталось сделать бизнес на продаже «киберискусства».
Говорят, с кем поведешься, от того и наберешься…, но уж очень не хочется превращаться в машину. Об этом уже писал в 2015-м, когда только начал увлекаться практическим машобучем

Когда предметная область достаточно изучена, а креативности выдать новое не хватает, горе-новаторы начинают пытаться подниматься на абсурдных идеях, используя манипуляции типа шоковой терапии с целью привлечения внимания, причем, чем бредовей идея (или чем больше она "не формат"), тем более привлекательна.
 
Когда-то такой метод использовали вендоры новых эндпоинтов, отстраиваясь от «классических» антивирусов, они же кричали, что "антивирусы мертвы"....
... как это не удивительно, кричат до сих пор!

И, знаете что? Они - не врут! Объясню почему.
Проблема в том, что они не знают\не понимают что из себя представляет современный "антивирус", лучше будем говорить "эндпоинт" (средство защиты конечной точки), и это незнание выдают утверждения, типа "файловый антивирус", что для того, чтобы предотвращать угрозу надо иметь "сэмпл" в коллекции и т.п. Но будем рассуждать логически: если современные эндпоинты действительно такие убогие, какими их рисуют эксперты, то они на самом деле не нужны, и здесь эксперты не врут. Но проблема в том, что таких убоих эндпоинтов, соответствующих критериям экспертов, уже и нет на рынке. Причем, сам факт их отсутствия на рынке прекрасно доказывает то, что они и не нужны, поскольку, если бы они были нужны в таком функционале, то они непременно появились бы на рынке (они радикально проще, чем современные эндпоинты, и если бы на них был спрос, предложение не заставило бы себя ждать)

#пятница

В новой статье поделился своим опытом изучения иностранных языков. Научиться эффективно и быстро учиться - это самый главный навык современного человека. Изучение иностранных языков - доступный и наиболее проработанный общественностью способ тренировки своей способности учиться. Пишите в комментариях свои трюки, которые вы применяете для запоминания. Лично я фанат постоянного обучения, мне будет очень интересно, уверен, вынесу для себя что-то новое

https://dzen.ru/a/ZWrs44O3QEVBR-xG

Невозможно переоценить важность практических навыков работы с данными! Очень часто именно визуализация позволяет нам увидеть искомые закономерности.

Сегодня на Coursera упражнялся с Plotly, и, скажу вам, Plotly - огонь! Помимо значительной простоты, в сравнении с классической Matplotlib, мы получаем интерактивные графики, которые потом можно приближать\отдалять и, в целом, изучать.

Также, вполне очевидна применимость Plotly не только для какой-то постфактумной аналитики и отчетности, но и для интерактивного анализа данных сетевой и хостовой телеметрии с целью, например, обнаружения скрытых атак.

А вот этот эфир уже значительно более интересный!
Вызвал уныние результат опроса, где на первом месте Управление уязвимостями, причем в этом же выпуске был отличный монолог от Димы, что надо не бороться с эксплуатацией, а делать невозможным развитие атаки. Некоторое время назад я ровно об этом же писал, именно про невозможность реализовать успешное Управление уязвимостями, и, тем не менее, мы видим, что немало коллег по-прежнему продолжает верить в возможность все запатчить, инвестируют туда уйму ресурсов и безгранично надеются на успешность своего процесса Vulnerability Management…

А невозможность результативного Vulnerability Management-а (VM) подтверждается всей нашей историей – все эти ms03-026, ms08-067, ms17-010, …. ProxyShell, ProxyLogon, … И, в связи с усложнением ИС, увеличения количества уровней абстракции, успешность нашего VM будет только снижаться. Ну если мы уже не верим в тотальный prevention и вполне ужились с концепцией Assume breach, почему мы никак не привыкнем к Assume Vulnerable, и не начнем больше инвестировать в Visibility, ограничение полномочий (и все остальное, что называется модным термином Zero Trust), делая уязвимость неэксплуатируемой, а если и эксплуатируемой, то не приводящей к ущербу?

Мой друг и коллега, Константин Сапронов, руководитель нашей глобальной команды реагирования (Global Emergency Response Team, GERT), человек с уникальным опытом в DFIRMA, автор книжек по форенсике, ... можно перечислять бесконечно заслуги Кости перед ЛК и мировой индустрией ИБ в целом ... дал интервью для AM:

https://t.iss.one/anti_malware/16344

В журнале "Информационная безопасность", в весьма представительной компании коллег по отрасли, опубликовали мои мысли относительно коммерческих SOC
https://cs.groteck.ru/IB_5_2023/20/index.html

Сегодня с Русским офисом подводили итоги года. Наша секция была хеви, но мы старались ее сделать максимально лайтовой :) Как я вам с хаиром?