15 мая в 11:00, мой друг и коллега, Head of SOC Consulting, Рома Назаров в эфире AM Live об оснащении SOC. Приходите на эфир, окунитесь в мировую практику консалтинга по построению центров операционной ИБ.
https://live.anti-malware.ru/am-live/tehnologii-i-produkty-osnashheniya-soc-2/
https://live.anti-malware.ru/am-live/tehnologii-i-produkty-osnashheniya-soc-2/
AM Live
Технологии и продукты оснащения SOC - AM Live
🔥6👍3
Христос воскресе!
Произведения искусства и, как самое доступное, - литературу, я ценю по тому, какое впечатление они на меня производят. Я не искусствовед и специально этим никогда не интересовался, однако, есть произведения, которые заставляют задуматься, примерить поведение того или иного героя на себя, сделать выводы о себе лично и стать немного лучше, которые оставляют эмоциональный отпечаток, о которых сожалеешь, что они закончились...
Перечитав в очередной раз "1984" я снова удивился примитивности этой книжки, и невозможность объяснения ее популярности. Также, на мой взгляд, незначимое "О дивный новый мир" Хаксли, показалось мне намного более продуманным, и более прозорливым в части того, что человеком проще управлять через его слабости, через его тягу к удовольствиям, что мы, собственно, и наблюдаем. Вскользь об этом упоминается и здесь, вместе с попыткой объяснения популярности "1984".
Но есть и антиутопии, которые меня задели - это "Час быка" Ивана Ефремова, и, видимо, написанная, под впечатлением от Ефремова, "Трудно быть богом" Стругацких, в отличие от раскрученной "1984" эти книги надолго оставили след в моей душе и памяти, они не выглядят как школьное сочинение неотичника, написанное на скорую руку.
Ну а на картинке я привожу ответ эксперта по литературе, полученный в книжном клубе. Примечательно как тонко здесь оправдан плагиат "Мы" Евгения Замятина, которая по литератуарной ценности сравнима с "1984", но написана намного раньше, а поэтому более значима для мировой литературы.
#книги
Произведения искусства и, как самое доступное, - литературу, я ценю по тому, какое впечатление они на меня производят. Я не искусствовед и специально этим никогда не интересовался, однако, есть произведения, которые заставляют задуматься, примерить поведение того или иного героя на себя, сделать выводы о себе лично и стать немного лучше, которые оставляют эмоциональный отпечаток, о которых сожалеешь, что они закончились...
Перечитав в очередной раз "1984" я снова удивился примитивности этой книжки, и невозможность объяснения ее популярности. Также, на мой взгляд, незначимое "О дивный новый мир" Хаксли, показалось мне намного более продуманным, и более прозорливым в части того, что человеком проще управлять через его слабости, через его тягу к удовольствиям, что мы, собственно, и наблюдаем. Вскользь об этом упоминается и здесь, вместе с попыткой объяснения популярности "1984".
Но есть и антиутопии, которые меня задели - это "Час быка" Ивана Ефремова, и, видимо, написанная, под впечатлением от Ефремова, "Трудно быть богом" Стругацких, в отличие от раскрученной "1984" эти книги надолго оставили след в моей душе и памяти, они не выглядят как школьное сочинение неотичника, написанное на скорую руку.
Ну а на картинке я привожу ответ эксперта по литературе, полученный в книжном клубе. Примечательно как тонко здесь оправдан плагиат "Мы" Евгения Замятина, которая по литератуарной ценности сравнима с "1984", но написана намного раньше, а поэтому более значима для мировой литературы.
#книги
👍10🔥2😁1💩1🙏1🤡1
Дзен | Статьи
Гипотезы из KEV++
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Для зрелого Threat hunting-а (TH) требуется системный подход к выработке гипотез.
Вопрос откуда черпать вдохновение для создания логики обнаружения всегда открыт. Постоянное желание превратить это искусство в ремесло, причем, измеряемое, с контролем широты и глубины, заставляет искать новые источники и идеи. При этом, не стоит забывать, что вредно не только отсутствие хантов на фактическую атаку, но также и изобилие никогда не срабатывающих правил, поэтому вопрос "когда еще не поздно?" всегда актуален, поэтому привязываться хочется к чему-то что используется на практике. С учетом таких вводных, Трендовые уязвимости, KEV и т.п. базы эксплуатируемых в дикой природе уязвимостей выглядят привлекательно, как минимум по части уязвимостей кода и некоторых уязвимостей конфигурации (см. ГОСТ Р 56546-2015) - об этом и порассжудал в новой статье.
#vCISO
#vCISO
👍7🔥2❤🔥1
Отличный подкаст/интервью/передача про закулисье Detection engineering-а от Теймура и Олега!
Тем, кто озадачился построением процессов разработки детектирующей логики рекомендую послушать замечательных профессионалов своего дела, личным знакомством с которыми я очень рад. Также полезно послушать любителям измерять покрытие MITRE, ...хотя, об этом ни раз говорилось.
Я не услышал новых источников идей для правил: это плохо, так как немного не оправдались ожидания перед началом просмотра, это и хорошо, значит, коллеги строят свои правила на схожей с нашей основе, ну, разве что, в дополнение к VT у нашего Threat Research есть ещё и KSN.
Тем, кто озадачился построением процессов разработки детектирующей логики рекомендую послушать замечательных профессионалов своего дела, личным знакомством с которыми я очень рад. Также полезно послушать любителям измерять покрытие MITRE, ...хотя, об этом ни раз говорилось.
Я не услышал новых источников идей для правил: это плохо, так как немного не оправдались ожидания перед началом просмотра, это и хорошо, значит, коллеги строят свои правила на схожей с нашей основе, ну, разве что, в дополнение к VT у нашего Threat Research есть ещё и KSN.
YouTube
Разработка детектирующей логики в современном SOC
Как аналитику SOC обнаружить злоумышленника в инфраструктуре и не допустить нанесения ущерба? Для этого существуют правила корреляции, YARA-правила и другие методы обнаружения угроз, объединенные понятием "детектирующая логика". Как осуществляется ее разработка?…
👍8🔥2🆒2❤1
Не найдется в России человека, чью семью не коснулась Великая отечественная война. Для всех из нас вопрос о том кто победил не стоит, как очевидно и то, где добро и где зло.
Но история циклична, и прошлое часто находит отражение в настоящем. Нам всем надо знать историю, чтобы корректно интерпретировать настоящее. История – это фундамент понимания действительности.
Классика – это то, что всегда актуально. Тем более, если это Пушкин – свет нашей литературы, как точно его изобразил Кипренский, светящегося изнутри. Следует отметить, что помимо прекрасной поэзии, произведения Александра Сергеевича исторически достоверны - автор имел возможность работать с архивами.
Знание, понимание истории и литературный гений поэта сохранили актуальность строк его стихотворения «Клеветникам России», адресованного Национальному собранию Франции и французским журналистам аж в 1831 г. Я сам не раз поражался насколько современно это стихотворение и теперь, как повторилась судьба Европы 1812-ого в 1941-ом... и сейчас, уже в 2024 все та же Франция, все также бурлит... а строки Пушкина и сейчас звучат современно!
О чем шумите вы, народные витии?
Зачем анафемой грозите вы России?
Что возмутило вас? волнения Литвы?
Оставьте: это спор славян между собою,
Домашний, старый спор, уж взвешенный судьбою,
Вопрос, которого не разрешите вы.
Уже давно между собою
Враждуют эти племена;
Не раз клонилась под грозою
То их, то наша сторона.
Кто устоит в неравном споре:
Кичливый лях, иль верный росс?
Славянские ль ручьи сольются в русском море?
Оно ль иссякнет? вот вопрос.
Оставьте нас: вы не читали
Сии кровавые скрижали;
Вам непонятна, вам чужда
Сия семейная вражда;
Для вас безмолвны Кремль и Прага;
Бессмысленно прельщает вас
Борьбы отчаянной отвага —
И ненавидите вы нас…
За что ж? ответствуйте: за то ли,
Что на развалинах пылающей Москвы
Мы не признали наглой воли
Того, под кем дрожали вы?
За то ль, что в бездну повалили
Мы тяготеющий над царствами кумир
И нашей кровью искупили
Европы вольность, честь и мир?..
Вы грозны на словах — попробуйте на деле!
Иль старый богатырь, покойный на постеле,
Не в силах завинтить свой измаильский штык?
Иль русского царя уже бессильно слово?
Иль нам с Европой спорить ново?
Иль русский от побед отвык?
Иль мало нас? Или от Перми до Тавриды,
От финских хладных скал до пламенной Колхиды,
От потрясенного Кремля
До стен недвижного Китая,
Стальной щетиною сверкая,
Не встанет русская земля?..
Так высылайте ж к нам, витии,
Своих озлобленных сынов:
Есть место им в полях России,
Среди нечуждых им гробов.
#история #искусство
Но история циклична, и прошлое часто находит отражение в настоящем. Нам всем надо знать историю, чтобы корректно интерпретировать настоящее. История – это фундамент понимания действительности.
Классика – это то, что всегда актуально. Тем более, если это Пушкин – свет нашей литературы, как точно его изобразил Кипренский, светящегося изнутри. Следует отметить, что помимо прекрасной поэзии, произведения Александра Сергеевича исторически достоверны - автор имел возможность работать с архивами.
Знание, понимание истории и литературный гений поэта сохранили актуальность строк его стихотворения «Клеветникам России», адресованного Национальному собранию Франции и французским журналистам аж в 1831 г. Я сам не раз поражался насколько современно это стихотворение и теперь, как повторилась судьба Европы 1812-ого в 1941-ом... и сейчас, уже в 2024 все та же Франция, все также бурлит... а строки Пушкина и сейчас звучат современно!
О чем шумите вы, народные витии?
Зачем анафемой грозите вы России?
Что возмутило вас? волнения Литвы?
Оставьте: это спор славян между собою,
Домашний, старый спор, уж взвешенный судьбою,
Вопрос, которого не разрешите вы.
Уже давно между собою
Враждуют эти племена;
Не раз клонилась под грозою
То их, то наша сторона.
Кто устоит в неравном споре:
Кичливый лях, иль верный росс?
Славянские ль ручьи сольются в русском море?
Оно ль иссякнет? вот вопрос.
Оставьте нас: вы не читали
Сии кровавые скрижали;
Вам непонятна, вам чужда
Сия семейная вражда;
Для вас безмолвны Кремль и Прага;
Бессмысленно прельщает вас
Борьбы отчаянной отвага —
И ненавидите вы нас…
За что ж? ответствуйте: за то ли,
Что на развалинах пылающей Москвы
Мы не признали наглой воли
Того, под кем дрожали вы?
За то ль, что в бездну повалили
Мы тяготеющий над царствами кумир
И нашей кровью искупили
Европы вольность, честь и мир?..
Вы грозны на словах — попробуйте на деле!
Иль старый богатырь, покойный на постеле,
Не в силах завинтить свой измаильский штык?
Иль русского царя уже бессильно слово?
Иль нам с Европой спорить ново?
Иль русский от побед отвык?
Иль мало нас? Или от Перми до Тавриды,
От финских хладных скал до пламенной Колхиды,
От потрясенного Кремля
До стен недвижного Китая,
Стальной щетиною сверкая,
Не встанет русская земля?..
Так высылайте ж к нам, витии,
Своих озлобленных сынов:
Есть место им в полях России,
Среди нечуждых им гробов.
#история #искусство
❤21👍10❤🔥6🔥3🤗3👎1🤔1🫡1🤷1
О группировке Cuba, которую мы наблюдали на реальных проектах MDR, рассказывали мои коллеги и друзья Глеб и Саша на прошлом PHD (ссылка на доклад). Используемый там сценарий BYOVD достаточно популярен, причем используют его все подряд, независимо от страны происхождения и мотивации.
"Фиолетовый сдвиг" в своей новой заметке описывает как это могло бы выглядеть.
А вообще, если, вдруг, заметили в своей инфраструктуре драйвера продуктов, которые вы, вроде как, не используете, - это повод перепроверить.
Приобрести уверенность в том, что же все-таки используется в нашей инфраструктуре, а что нет, поможет инвентаризация: никогда не надо забывать несложную истину: нельзя защитить то, о чем не знаешь, а в попытках организации Threat hunting-а на базе аномалий, инвентаризация поможет понять что такое "не аномалия".
#MDR
"Фиолетовый сдвиг" в своей новой заметке описывает как это могло бы выглядеть.
А вообще, если, вдруг, заметили в своей инфраструктуре драйвера продуктов, которые вы, вроде как, не используете, - это повод перепроверить.
Приобрести уверенность в том, что же все-таки используется в нашей инфраструктуре, а что нет, поможет инвентаризация: никогда не надо забывать несложную истину: нельзя защитить то, о чем не знаешь, а в попытках организации Threat hunting-а на базе аномалий, инвентаризация поможет понять что такое "не аномалия".
#MDR
Telegram
purple shift
Архитектура Windows позволяет неплохо противодействовать установке и использованию неизвестных, неподписанных, а стало быть, потенциально опасных драйверов. Но наличие уязвимостей даже в легитимных драйверах перечеркивает все изобретенные митигации и дарует…
👍4🔥1
2022-11-SOC-F-Tech-soldatov-v2.1.pdf
7.9 MB
Ngrok очень популярен, последние года три наблюдаем его достаточно часто.
На SOC Forum в 2022 году у меня было два доклада: более-менее бизнесовый и более-менее технический. Бизнес-презентацию я выкладывал, а вот техническую - нет (так как видел видео с докладом где-то на Ютьюбе, но сейчас не смог найти). Исправляюсь, выкладываю техническую презентацию. И в ней также можно встретить и ngrok!
PS: а почему я вспомнил про ngrok, напишу чуть позже....
#MDR
На SOC Forum в 2022 году у меня было два доклада: более-менее бизнесовый и более-менее технический. Бизнес-презентацию я выкладывал, а вот техническую - нет (так как видел видео с докладом где-то на Ютьюбе, но сейчас не смог найти). Исправляюсь, выкладываю техническую презентацию. И в ней также можно встретить и ngrok!
PS: а почему я вспомнил про ngrok, напишу чуть позже....
#MDR
👍5🔥1
TL;DR: trycloudflare.com - аналог Ngrok, скрывающий C&C за инфраструктурой Cloudflare.
В одном из инцидентов обратили внимание на странный домен, используемый для эксфильтрации.
Вид URL был следующий: https://<что-то>.trycloudflare.com/<другое что-то>. Важно отметить, что <что-то> выглядело вполне прилично: четыре английских слова через дефис, т.е. какие-то сценарии с подсчетом энтропии здесь бы дали сбой.
Немного погуглив, выяснили, что это работа очень удобного, бесплатного инструмента туннелирования Cloudflare Tunnel. Инструмент позволяет атакующему публиковать свой HTTP/websocket через случайно сгенерированный поддомен инфраструктуры Cloudflare. Входящий на него трафик будет передаваться атакующему, который сможет его далее проксировать, не обязательно на localhost. Никакой регистрации не требуется, атакующий качает инструмент и запускает. Немного подробнее можно почитать в официальной справке.
В конкретном наблюдаемом инциденте атакующий прятал свой C2 за инфраструктурой Cloudflare и доверенным URL. История github инструмента уходит в 2020, т.е. вполне возможно описанная схема C&C используется уже как три года.
#MDR
В одном из инцидентов обратили внимание на странный домен, используемый для эксфильтрации.
Вид URL был следующий: https://<что-то>.trycloudflare.com/<другое что-то>. Важно отметить, что <что-то> выглядело вполне прилично: четыре английских слова через дефис, т.е. какие-то сценарии с подсчетом энтропии здесь бы дали сбой.
Немного погуглив, выяснили, что это работа очень удобного, бесплатного инструмента туннелирования Cloudflare Tunnel. Инструмент позволяет атакующему публиковать свой HTTP/websocket через случайно сгенерированный поддомен инфраструктуры Cloudflare. Входящий на него трафик будет передаваться атакующему, который сможет его далее проксировать, не обязательно на localhost. Никакой регистрации не требуется, атакующий качает инструмент и запускает. Немного подробнее можно почитать в официальной справке.
В конкретном наблюдаемом инциденте атакующий прятал свой C2 за инфраструктурой Cloudflare и доверенным URL. История github инструмента уходит в 2020, т.е. вполне возможно описанная схема C&C используется уже как три года.
#MDR
Cloudflare Docs
Quick Tunnels · Cloudflare Zero Trust docs
Developers can use the TryCloudflare tool to experiment with Cloudflare Tunnel without adding a site to Cloudflare's DNS. TryCloudflare will launch a process that generates a random subdomain on trycloudflare.com. Requests to that subdomain will be proxied…
🔥4👍2
Очередная шутка от Алексея Викторовича, с учетом реакций на нее, все-таки требует пояснений, поэтому, несмотря на то, что сегодня не пятница, и даже не среда, придется пообсуждать очевидные вещи.
Любой атакующий руководствуется мотивацией, т.е. он будет атаковать ту систему, в которой обрабатываются интересующие его данные. За долгие годы наши подходы к обеспечению ИБ достигли зрелости, и мы научились на практике применять принцип "Defence in Depth", как следствие, скомпрометировать серверные системы, запрятанные глубоко в сегментированные корпоративные сети, непросто. Более того, пока атакующий будет горизонтально перемещаться от подломанных систем на периметре, через ДМЗ, во внутренние сети, велики шансы его успешного обнаружения и предотвращения развития атаки до получения ущерба.
Значительно проще атаковать удаленную конечную точку, так как она вполне может располагаться в публичных сетях, не быть защищенной никакими ДМЗ - вся периметровая защита мобильного рабочего места (АРМ) сводится к возможностям используемого EPP (Endpoint Protection Platform). Статистика MDR красноречиво подтверждает эту очевидную логику - нередки инциденты, в которых "пациентом 0" является мобильный АРМ удаленного пользователя. В общем, думаю, никто не будет отрицать, что удаленный доступ увеличивает поверхность атаки, как минимум, за счет невозможности обеспечения эквивалентности уровня безопасности мобильной конечной точки и стационарного АРМ внутри копроративной сети.
Тем не менее, мы имеем повсеместное распространение удаленного доступа, тем более подогретого последней пандемией, поскольку материальные и нематериальные выгоды для Бизнеса с лихвой покрывают связанные риски безопасности. При этом, необходимость обеспечения защиты мобильного АРМ ни у кого не вызывает сомнения. С учетом того, что в арсенале у нас, собственно, только одно решение - EPP, очевидна и необходимость EPP на мобильном АРМ.
Но прогресс, выражающийся в удобстве использования, не стоит на месте. Функционально, сейчас современный смартфон практически полностью эквивалентен мобильному ПК. Все средства коммуникации и обработки информации доступны на смартфоне. Исключение составляют редкие системы, не имеющие удобного мобильного приложения, однако, эта ситуация постоянно исправляется, и, по части UX, смартфоны продолжают приближаться к мобильным ПК. А раз так, то все риски, релевантные мобильному АРМ, относятся и к смартфону, атакующие будут столь же мотивированы скомпрометировать смартфон топменеджера, как и его дексктоп и ноутбук. Тем более, с учетом вбросов, подобных указанному выше, зачем-то создается мнение, что смартфоны не надо защищать, их, яко бы, не атакуют, причем, как подтверждение истинности, приведен личный опыт...могу лишь предположить, что атакующим была не интересна информация, обрабатывамая на данном конкретном смартфоне, или, при отсутствии средств обнаружения, атака осталась незамеченной, или просто повезло...
Успешный бизнес не может позволить себе работать с 9 до 18 с полной остановкой на выходные и праздники, поэтому от руководства требуется высокая доступность, а доступность подразумевает мобильность, поэтому смартфонам суждено быть включенным в корпоративные бизнес-процессы, а, следовательно, CISO придется обеспечивать их защиту. Антивирус - это только один из компонентов современного EPP, который включает также и хостовую IPS, а также, средства инвентаризации и управления (MDM).
#vCISO
Любой атакующий руководствуется мотивацией, т.е. он будет атаковать ту систему, в которой обрабатываются интересующие его данные. За долгие годы наши подходы к обеспечению ИБ достигли зрелости, и мы научились на практике применять принцип "Defence in Depth", как следствие, скомпрометировать серверные системы, запрятанные глубоко в сегментированные корпоративные сети, непросто. Более того, пока атакующий будет горизонтально перемещаться от подломанных систем на периметре, через ДМЗ, во внутренние сети, велики шансы его успешного обнаружения и предотвращения развития атаки до получения ущерба.
Значительно проще атаковать удаленную конечную точку, так как она вполне может располагаться в публичных сетях, не быть защищенной никакими ДМЗ - вся периметровая защита мобильного рабочего места (АРМ) сводится к возможностям используемого EPP (Endpoint Protection Platform). Статистика MDR красноречиво подтверждает эту очевидную логику - нередки инциденты, в которых "пациентом 0" является мобильный АРМ удаленного пользователя. В общем, думаю, никто не будет отрицать, что удаленный доступ увеличивает поверхность атаки, как минимум, за счет невозможности обеспечения эквивалентности уровня безопасности мобильной конечной точки и стационарного АРМ внутри копроративной сети.
Тем не менее, мы имеем повсеместное распространение удаленного доступа, тем более подогретого последней пандемией, поскольку материальные и нематериальные выгоды для Бизнеса с лихвой покрывают связанные риски безопасности. При этом, необходимость обеспечения защиты мобильного АРМ ни у кого не вызывает сомнения. С учетом того, что в арсенале у нас, собственно, только одно решение - EPP, очевидна и необходимость EPP на мобильном АРМ.
Но прогресс, выражающийся в удобстве использования, не стоит на месте. Функционально, сейчас современный смартфон практически полностью эквивалентен мобильному ПК. Все средства коммуникации и обработки информации доступны на смартфоне. Исключение составляют редкие системы, не имеющие удобного мобильного приложения, однако, эта ситуация постоянно исправляется, и, по части UX, смартфоны продолжают приближаться к мобильным ПК. А раз так, то все риски, релевантные мобильному АРМ, относятся и к смартфону, атакующие будут столь же мотивированы скомпрометировать смартфон топменеджера, как и его дексктоп и ноутбук. Тем более, с учетом вбросов, подобных указанному выше, зачем-то создается мнение, что смартфоны не надо защищать, их, яко бы, не атакуют, причем, как подтверждение истинности, приведен личный опыт...
Успешный бизнес не может позволить себе работать с 9 до 18 с полной остановкой на выходные и праздники, поэтому от руководства требуется высокая доступность, а доступность подразумевает мобильность, поэтому смартфонам суждено быть включенным в корпоративные бизнес-процессы, а, следовательно, CISO придется обеспечивать их защиту. Антивирус - это только один из компонентов современного EPP, который включает также и хостовую IPS, а также, средства инвентаризации и управления (MDM).
#vCISO
Telegram
Пост Лукацкого
Производители средств защиты мобильных устройств 📱 предсказуемо твердят об опасности мобильных вредоносов 🦠
Я, если честно, ни разу не сталкивался с этой угрозой за почти три десятилетия использования мобильных устройств. Один раз у меня смартфон украли…
Я, если честно, ни разу не сталкивался с этой угрозой за почти три десятилетия использования мобильных устройств. Один раз у меня смартфон украли…
👍10❤6🤡4🔥1🤔1🤓1