Не так давно я читал Threat Detection Report 2023 от Red Canary, так вот они подготовили новый - Threat Detection Report 2024. Мне нравятся отчеты Канареек, так как помимо возможности сверить свою аналитику (SOW у нас схож) можно почерпнуть кое-какие полезные методологические моменты. В их отчетах много внимания уделяется объему и методологии, что очень важно для возможности интерпретации результата.

Биржа – значительно более совершенный способ сохранения и создания накоплений, в сравнении с «классическими» счетами, депозитами, валютой или просто наличными деньгами. Рано или поздно все мы приходим на биржу. Есть масса литературы, материалов, курсов (вот этот, например, считаю обязательным для каждого), поэтому творить банальность перечислением здесь не хочется.

А хочется остановиться вновь на классике – Теодор Драйзер. Финансист. На мой взгляд, в этом романе очень точно показаны особенности характера успешного инвестора. Это сочетание находчивости и смекалки, стратегического мышления, воспитанности и этики с одновременной циничностью и переменчивостью личных предпочтений, неверностью, если хотите, но, вместе со всем этим, главный герой по-прежнему остается во всех отношениях положительным, при всей его противоречивости. Все эти качества пригодятся тем, кому придется участвовать в биржевых торгах, особенно, спекулянтам. При всем этом книжка достаточно интересна и, будучи написанной в начале прошлого века, она по-прежнему актуальна, а значит – классика.

PS: Какое-то время назад я набрел на обрывки биографии Джона Рокфеллера (добавил себе TODO поизучать тов. Джона поподробнее) и его детища Standard Oil (кстати, продолжение истории мировой нефтяной отрасли не менее занимательно (раньше были на Youtube все 4 серии, пропали, но ищущий - найдет!), и очень полезно для понимания современной геополитики). Читая про Рокфеллера, отмечая его черты характера, я постоянно улавливал сходства с Фрэнком Каупервудом.

#книги

Последнее время появилась великое множество экспертов по разного рода эзотерике и экзотике. Коучи по всевозможным энергиям, тарологи, чакрологи и много-много всякого разного, мною никогда не слышанного и поэтому без шансов на запоминание даже термина. Наряду с этими ребятам, результативность деятельности которых крайне сложно оценить, есть и более практичные – например, эксперты по гвоздестоянию, видимо, исходя из названия, они умеют стоять на гвоздях (почему-то вспомнился «Черный обелиск» Ремарка, где жена хозяина кабака умела вытаскивать из стены вбитый гвоздь, ... эээ..., особым образом).

И вот что я придумал! За регулярное посещение Суворовских терм в течение продолжительного времени, я не видел людей, которые бы также спокойно, как я или те, кого я обучал этому, входили и сидели в холодной воде! Поэтому, я открываю консультации по тому, как можно научиться проводить 2 минуты в ледяной воде (~5-8 градусов Цельсия) абсолютно спокойно, а в перспективе, получать от этого удовольствие! Замечу, что холодные ванны нереально полезны, а получать от этого удовольствие можно научиться!

#пятница #здоровье

На днях общался с семьей о важности занятий танцами. Действительно, красота - страшная сила! На подсознательном уровне мы сразу лучше расположены к красивым людям, которые прилично одеты, имеют хорошие манеры и поведение. Мы говорим "хорошо воспитан", но по факту грань между воспитанием и обучением размыта, поэтому всему можно научиться...

Но вернемся к танцам. Занятия танцами расширяют возможности нашего тела, а с учетом большего объема передаваемой информации именно невербально, танцы имеют значимую практическую пользу. Об этом и порассуждал в новой статье
https://dzen.ru/a/ZfWLVoGXSQf7Vj2X

Мой бывший коллега дал замечательное интервью о трендах в походах к защите, эффективности тех или иных мероприятий Синих и об анализе защищённости вообще

Для того, чтобы преуспевать в практике, сначала надо разобраться в теории!

На курорте Архыз проводилась лекция Владимира Данилова о технике катания на лыжах. Лекция едва ли поможет научиться кататься, да я и не советую учиться самостоятельно, обязательно берите опытного инструктора, но будет полезна тем, кто считает себя катающимся хорошо. Лично я для себя почерпнул немало полезного. Лекция получилась почти 2 часа и есть места, которые можно пропускать. Я смотрел фоном на х2, переключаясь на х1,5 на важном. А важным мне показались все моменты относительно техники перекантовки 😁, в целом, это, пожалуй, самое главное умение в катании на лыжах.

Хорошие ребята лекцию записали, вот ссылка на их сообщение.
Однако, к себе я эту лекцию тоже скопировал, вот ссылка ко мне.

#здоровье

Сегодня, думая одновременно о страховании кибер рисков и о шифровальщиках, пришел к выводу, что развитие страхование будет напротив стимулировать рост атак программ-вымогателей. В отсутствии страхования единственным затруднением для атакующих может выступать хоть какое-то напряжение со стороны потенциальной жертвы: все их эшелоны из prevent-detect-hunt, снижают вероятность успешного продвижения от Initial Access до Impact, соответственно, снижают желание атакующих инвестировать ресурсы в рискованное для них предприятие.

В ситуации, когда риск компрометации застрахован, получаем полный win-win:
- потенциальная жертва не занимается минимизацией своих рисков, так как выбрала стратегию передачи риска (в страховую компанию)
- страховая компания зарабатывает на стоимости страховки, она уж точно не занимается борьбой с малварщиками, более того, если страхуемый риск будет более вероятен, они еще больше страховок продадут, еще по большей цене
- атакующему вымогателю тоже выгодно, поскольку, во-первых, с ним никто не борется, а, во-вторых, поскольку риск застрахован, значит все готовы платить этот выкуп - этот сценарий изначально предусмотрен, и учтен в тарифах страховщиков.

Практически уверен, что при наличии страховки от шифровальщиков, страховая компания сама будет настаивать на скорейшей оплате выкупа, если тот покрывается страховкой. Все что нужно атакующему - попасть в страховую выплату, но с этим не будет сложностей, тем более, что я где-то читал, что наблюдается тренд на снижение требуемых выкупов (по-моему здесь). А какое тут поле для всякого рода мошенничества...., ну например, когда малварщики работают на страховую компанию...

Если немного подумать, то страхование будет провоцировать не только рост количества атак шифровальщиков (я выбрал этот пример только потому что он на поверхности), но и вообще любых атак, поскольку расслябляет потенциальную жертву.

На днях отвечал на вопросы типа "какие индустрии атаковали больше в 2023" и в очередной раз столкнулся с недостаточным пониманием разницы между "частотой атаки" и объемом. Чтобы ответить на вопрос: "кого атаковали больше" можно его трансформировать в: "у кого инциденты случались чаще". Количество инцидентов зависит от объема мониторинга, поэтому для оценки "частоты инцидента" когда-то была предложена метрика "удельное количество инцидентов" или "ожидаемое количество инцидентов с единицы объема". Об этой метрике и ее отличии от объема мониторинга или количества выявленных инцидентов моя новая заметка

Почему прогнозы по ИБ должны отличаться? Мне, почему-то, всегда казалось, что отчеты и прогнозы для Мира актуальны и для РФ. Скажу даже более, статистика инцидентов MDR +/- это подтверждает. Поэтому, конечно же, прогнозы Гартнера будут актуальны и для РФ, а поскольку это почему-то не очевидно, давайте с этим разберемся.

Для реализации атаки необходимо наличие уязвимостей, а уязвимости определяются номенклатурой используемых железа и софта. Поскольку во всем мире аппаратное и программное обеспечение +/- одно и то же, мы и наблюдаем во всем мире эксплуатацию +/- одних и тех же сценариев атак. Но ситуация еще прозаичнее. Мы используем +/- схожие методы обнаружения, да и технические средства в большинстве своем у нас одни и те же. Используемые нами стандарты ГОСТ/ISO, Приказы ФСТЭК/NIST SP-800 - одни и те же. Но и атакующие используют одни и те же техники и тактики, MITRE их даже стандартизовала, а новые техники выходят, ну, в общем-то, нечасто. Понятно, что техники - это высокоуровнево, однако, очень часто и инструменты атакующих одни и те же: который год в инцидентах постоянно мелькают Impacket, Mimikatz, Cobalt Strike. Да, серьезные ребята ищут (а может, заказывают) зеродеи и разрабатывают собственный инструментарий, однако, во-первых, таких атак - доли процента от общего объема инцидентов, а, во-вторых, все равно, чтобы закрепиться, повыситься, горизонтально перемещаться и делать прочие непристойности, им придется использовать какие-то из известных техник, а обнаружение хотя бы одного шага уже может привести к раскручиванию всего инцидента.

Напишите, что думаете, в комментариях. Насколько ошибочна моя точка зрения о применимости глобальных знаний об угрозах в РФ, с учетом того, что каких-то особенностей по части ИТ в РФ нет.

У компании SintenelOne есть услуга Threat hunting и по ее мотивам они тоже издают годовой отчет. Стимулирует любопытство фраза на второй странице: "This report contains sensitive information with the TLP:AMBER classification. This includes specific IOCs, TTPs, case studies and campaign analysis drawn from SentinelOne. This information should be kept confidential and protected from potential threat actor access. As such, this version is provided only to SentinelOne Vigilance and WatchTower customers. Please click here to explore WatchTower services", при нажатии на "Please click" скачивается этот самый отчет.

Из отчета не совсем ясна методология (география, чем обнаруживали и расследовали, классификация инцидентов и т.п.), поэтому допускаем, что такая же, как и у Канареек. Для тех, кто в контексте, не обещаю какой-то новизны, но почитать полезно, для сравнения своих наблюдений с тем, что видели в 2023 коллеги.

Выражаю благодарность подписчику, рассказавшему мне о существовании этого отчета.

Увидел приглашение на вебинар с моим непосредственным участием. Будет время и вопросы, обязательно, приходите, в презентации будет больше статистик, характерных именно для РФ!

Вышла статья с моими комментариями. И снова я попытался интерпретировать данные коллег и не смог. Например, фраза: "В то же время доля критичных инцидентов от общего числа атак снизилась по сравнению с 2022 годом: с 40–45% до 20–25% (более 12 тыс. атак)...". Что считается "критичным инцидентом", что их так много: чуть ли не каждый второй в 22-м и каждый четвертый в 23-м? Наверно, я точно знаю сколько у меня инцидентов и какой % из них составляют критичные, почему тогда этот процент неточный - не 20% или 25%, а диапазон - 20-25%? Если этот разброс связан с каким-то распределением, например, по заказчикам или индустриям, но тогда коридор, наоборот, небольшой, так как у кого-то может быть 0% критичных инцидентов, а у кого-то 30%, особенно, если объем в группе небольшой.

Это очередной пример того, что для понимания аналитики очень важно понимать методику ее получения, только в этом случае данные будут интерпретируемы и сравнимы. Когда же мы данные одного поставщика интерпретируем с позиции методологии другого поставщика, объективные выводы сделать не получается.

02.04.2024 в отличной компании замечательных экспертов, профессионалов своего дела, на AM Live будем обсуждать коммерческие SOC. Добавьте в календарь и присылайте вопросы!