15 мая в 11:00, мой друг и коллега, Head of SOC Consulting, Рома Назаров в эфире AM Live об оснащении SOC. Приходите на эфир, окунитесь в мировую практику консалтинга по построению центров операционной ИБ.
https://live.anti-malware.ru/am-live/tehnologii-i-produkty-osnashheniya-soc-2/
https://live.anti-malware.ru/am-live/tehnologii-i-produkty-osnashheniya-soc-2/
AM Live
Технологии и продукты оснащения SOC - AM Live
🔥6👍3
Христос воскресе!
Произведения искусства и, как самое доступное, - литературу, я ценю по тому, какое впечатление они на меня производят. Я не искусствовед и специально этим никогда не интересовался, однако, есть произведения, которые заставляют задуматься, примерить поведение того или иного героя на себя, сделать выводы о себе лично и стать немного лучше, которые оставляют эмоциональный отпечаток, о которых сожалеешь, что они закончились...
Перечитав в очередной раз "1984" я снова удивился примитивности этой книжки, и невозможность объяснения ее популярности. Также, на мой взгляд, незначимое "О дивный новый мир" Хаксли, показалось мне намного более продуманным, и более прозорливым в части того, что человеком проще управлять через его слабости, через его тягу к удовольствиям, что мы, собственно, и наблюдаем. Вскользь об этом упоминается и здесь, вместе с попыткой объяснения популярности "1984".
Но есть и антиутопии, которые меня задели - это "Час быка" Ивана Ефремова, и, видимо, написанная, под впечатлением от Ефремова, "Трудно быть богом" Стругацких, в отличие от раскрученной "1984" эти книги надолго оставили след в моей душе и памяти, они не выглядят как школьное сочинение неотичника, написанное на скорую руку.
Ну а на картинке я привожу ответ эксперта по литературе, полученный в книжном клубе. Примечательно как тонко здесь оправдан плагиат "Мы" Евгения Замятина, которая по литератуарной ценности сравнима с "1984", но написана намного раньше, а поэтому более значима для мировой литературы.
#книги
Произведения искусства и, как самое доступное, - литературу, я ценю по тому, какое впечатление они на меня производят. Я не искусствовед и специально этим никогда не интересовался, однако, есть произведения, которые заставляют задуматься, примерить поведение того или иного героя на себя, сделать выводы о себе лично и стать немного лучше, которые оставляют эмоциональный отпечаток, о которых сожалеешь, что они закончились...
Перечитав в очередной раз "1984" я снова удивился примитивности этой книжки, и невозможность объяснения ее популярности. Также, на мой взгляд, незначимое "О дивный новый мир" Хаксли, показалось мне намного более продуманным, и более прозорливым в части того, что человеком проще управлять через его слабости, через его тягу к удовольствиям, что мы, собственно, и наблюдаем. Вскользь об этом упоминается и здесь, вместе с попыткой объяснения популярности "1984".
Но есть и антиутопии, которые меня задели - это "Час быка" Ивана Ефремова, и, видимо, написанная, под впечатлением от Ефремова, "Трудно быть богом" Стругацких, в отличие от раскрученной "1984" эти книги надолго оставили след в моей душе и памяти, они не выглядят как школьное сочинение неотичника, написанное на скорую руку.
Ну а на картинке я привожу ответ эксперта по литературе, полученный в книжном клубе. Примечательно как тонко здесь оправдан плагиат "Мы" Евгения Замятина, которая по литератуарной ценности сравнима с "1984", но написана намного раньше, а поэтому более значима для мировой литературы.
#книги
👍10🔥2😁1💩1🙏1🤡1
Дзен | Статьи
Гипотезы из KEV++
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Для зрелого Threat hunting-а (TH) требуется системный подход к выработке гипотез.
Вопрос откуда черпать вдохновение для создания логики обнаружения всегда открыт. Постоянное желание превратить это искусство в ремесло, причем, измеряемое, с контролем широты и глубины, заставляет искать новые источники и идеи. При этом, не стоит забывать, что вредно не только отсутствие хантов на фактическую атаку, но также и изобилие никогда не срабатывающих правил, поэтому вопрос "когда еще не поздно?" всегда актуален, поэтому привязываться хочется к чему-то что используется на практике. С учетом таких вводных, Трендовые уязвимости, KEV и т.п. базы эксплуатируемых в дикой природе уязвимостей выглядят привлекательно, как минимум по части уязвимостей кода и некоторых уязвимостей конфигурации (см. ГОСТ Р 56546-2015) - об этом и порассжудал в новой статье.
#vCISO
#vCISO
👍7🔥2❤🔥1
Отличный подкаст/интервью/передача про закулисье Detection engineering-а от Теймура и Олега!
Тем, кто озадачился построением процессов разработки детектирующей логики рекомендую послушать замечательных профессионалов своего дела, личным знакомством с которыми я очень рад. Также полезно послушать любителям измерять покрытие MITRE, ...хотя, об этом ни раз говорилось.
Я не услышал новых источников идей для правил: это плохо, так как немного не оправдались ожидания перед началом просмотра, это и хорошо, значит, коллеги строят свои правила на схожей с нашей основе, ну, разве что, в дополнение к VT у нашего Threat Research есть ещё и KSN.
Тем, кто озадачился построением процессов разработки детектирующей логики рекомендую послушать замечательных профессионалов своего дела, личным знакомством с которыми я очень рад. Также полезно послушать любителям измерять покрытие MITRE, ...хотя, об этом ни раз говорилось.
Я не услышал новых источников идей для правил: это плохо, так как немного не оправдались ожидания перед началом просмотра, это и хорошо, значит, коллеги строят свои правила на схожей с нашей основе, ну, разве что, в дополнение к VT у нашего Threat Research есть ещё и KSN.
YouTube
Разработка детектирующей логики в современном SOC
Как аналитику SOC обнаружить злоумышленника в инфраструктуре и не допустить нанесения ущерба? Для этого существуют правила корреляции, YARA-правила и другие методы обнаружения угроз, объединенные понятием "детектирующая логика". Как осуществляется ее разработка?…
👍8🔥2🆒2❤1
Не найдется в России человека, чью семью не коснулась Великая отечественная война. Для всех из нас вопрос о том кто победил не стоит, как очевидно и то, где добро и где зло.
Но история циклична, и прошлое часто находит отражение в настоящем. Нам всем надо знать историю, чтобы корректно интерпретировать настоящее. История – это фундамент понимания действительности.
Классика – это то, что всегда актуально. Тем более, если это Пушкин – свет нашей литературы, как точно его изобразил Кипренский, светящегося изнутри. Следует отметить, что помимо прекрасной поэзии, произведения Александра Сергеевича исторически достоверны - автор имел возможность работать с архивами.
Знание, понимание истории и литературный гений поэта сохранили актуальность строк его стихотворения «Клеветникам России», адресованного Национальному собранию Франции и французским журналистам аж в 1831 г. Я сам не раз поражался насколько современно это стихотворение и теперь, как повторилась судьба Европы 1812-ого в 1941-ом... и сейчас, уже в 2024 все та же Франция, все также бурлит... а строки Пушкина и сейчас звучат современно!
О чем шумите вы, народные витии?
Зачем анафемой грозите вы России?
Что возмутило вас? волнения Литвы?
Оставьте: это спор славян между собою,
Домашний, старый спор, уж взвешенный судьбою,
Вопрос, которого не разрешите вы.
Уже давно между собою
Враждуют эти племена;
Не раз клонилась под грозою
То их, то наша сторона.
Кто устоит в неравном споре:
Кичливый лях, иль верный росс?
Славянские ль ручьи сольются в русском море?
Оно ль иссякнет? вот вопрос.
Оставьте нас: вы не читали
Сии кровавые скрижали;
Вам непонятна, вам чужда
Сия семейная вражда;
Для вас безмолвны Кремль и Прага;
Бессмысленно прельщает вас
Борьбы отчаянной отвага —
И ненавидите вы нас…
За что ж? ответствуйте: за то ли,
Что на развалинах пылающей Москвы
Мы не признали наглой воли
Того, под кем дрожали вы?
За то ль, что в бездну повалили
Мы тяготеющий над царствами кумир
И нашей кровью искупили
Европы вольность, честь и мир?..
Вы грозны на словах — попробуйте на деле!
Иль старый богатырь, покойный на постеле,
Не в силах завинтить свой измаильский штык?
Иль русского царя уже бессильно слово?
Иль нам с Европой спорить ново?
Иль русский от побед отвык?
Иль мало нас? Или от Перми до Тавриды,
От финских хладных скал до пламенной Колхиды,
От потрясенного Кремля
До стен недвижного Китая,
Стальной щетиною сверкая,
Не встанет русская земля?..
Так высылайте ж к нам, витии,
Своих озлобленных сынов:
Есть место им в полях России,
Среди нечуждых им гробов.
#история #искусство
Но история циклична, и прошлое часто находит отражение в настоящем. Нам всем надо знать историю, чтобы корректно интерпретировать настоящее. История – это фундамент понимания действительности.
Классика – это то, что всегда актуально. Тем более, если это Пушкин – свет нашей литературы, как точно его изобразил Кипренский, светящегося изнутри. Следует отметить, что помимо прекрасной поэзии, произведения Александра Сергеевича исторически достоверны - автор имел возможность работать с архивами.
Знание, понимание истории и литературный гений поэта сохранили актуальность строк его стихотворения «Клеветникам России», адресованного Национальному собранию Франции и французским журналистам аж в 1831 г. Я сам не раз поражался насколько современно это стихотворение и теперь, как повторилась судьба Европы 1812-ого в 1941-ом... и сейчас, уже в 2024 все та же Франция, все также бурлит... а строки Пушкина и сейчас звучат современно!
О чем шумите вы, народные витии?
Зачем анафемой грозите вы России?
Что возмутило вас? волнения Литвы?
Оставьте: это спор славян между собою,
Домашний, старый спор, уж взвешенный судьбою,
Вопрос, которого не разрешите вы.
Уже давно между собою
Враждуют эти племена;
Не раз клонилась под грозою
То их, то наша сторона.
Кто устоит в неравном споре:
Кичливый лях, иль верный росс?
Славянские ль ручьи сольются в русском море?
Оно ль иссякнет? вот вопрос.
Оставьте нас: вы не читали
Сии кровавые скрижали;
Вам непонятна, вам чужда
Сия семейная вражда;
Для вас безмолвны Кремль и Прага;
Бессмысленно прельщает вас
Борьбы отчаянной отвага —
И ненавидите вы нас…
За что ж? ответствуйте: за то ли,
Что на развалинах пылающей Москвы
Мы не признали наглой воли
Того, под кем дрожали вы?
За то ль, что в бездну повалили
Мы тяготеющий над царствами кумир
И нашей кровью искупили
Европы вольность, честь и мир?..
Вы грозны на словах — попробуйте на деле!
Иль старый богатырь, покойный на постеле,
Не в силах завинтить свой измаильский штык?
Иль русского царя уже бессильно слово?
Иль нам с Европой спорить ново?
Иль русский от побед отвык?
Иль мало нас? Или от Перми до Тавриды,
От финских хладных скал до пламенной Колхиды,
От потрясенного Кремля
До стен недвижного Китая,
Стальной щетиною сверкая,
Не встанет русская земля?..
Так высылайте ж к нам, витии,
Своих озлобленных сынов:
Есть место им в полях России,
Среди нечуждых им гробов.
#история #искусство
❤21👍10❤🔥6🔥3🤗3👎1🤔1🫡1🤷1
О группировке Cuba, которую мы наблюдали на реальных проектах MDR, рассказывали мои коллеги и друзья Глеб и Саша на прошлом PHD (ссылка на доклад). Используемый там сценарий BYOVD достаточно популярен, причем используют его все подряд, независимо от страны происхождения и мотивации.
"Фиолетовый сдвиг" в своей новой заметке описывает как это могло бы выглядеть.
А вообще, если, вдруг, заметили в своей инфраструктуре драйвера продуктов, которые вы, вроде как, не используете, - это повод перепроверить.
Приобрести уверенность в том, что же все-таки используется в нашей инфраструктуре, а что нет, поможет инвентаризация: никогда не надо забывать несложную истину: нельзя защитить то, о чем не знаешь, а в попытках организации Threat hunting-а на базе аномалий, инвентаризация поможет понять что такое "не аномалия".
#MDR
"Фиолетовый сдвиг" в своей новой заметке описывает как это могло бы выглядеть.
А вообще, если, вдруг, заметили в своей инфраструктуре драйвера продуктов, которые вы, вроде как, не используете, - это повод перепроверить.
Приобрести уверенность в том, что же все-таки используется в нашей инфраструктуре, а что нет, поможет инвентаризация: никогда не надо забывать несложную истину: нельзя защитить то, о чем не знаешь, а в попытках организации Threat hunting-а на базе аномалий, инвентаризация поможет понять что такое "не аномалия".
#MDR
Telegram
purple shift
Архитектура Windows позволяет неплохо противодействовать установке и использованию неизвестных, неподписанных, а стало быть, потенциально опасных драйверов. Но наличие уязвимостей даже в легитимных драйверах перечеркивает все изобретенные митигации и дарует…
👍4🔥1
2022-11-SOC-F-Tech-soldatov-v2.1.pdf
7.9 MB
Ngrok очень популярен, последние года три наблюдаем его достаточно часто.
На SOC Forum в 2022 году у меня было два доклада: более-менее бизнесовый и более-менее технический. Бизнес-презентацию я выкладывал, а вот техническую - нет (так как видел видео с докладом где-то на Ютьюбе, но сейчас не смог найти). Исправляюсь, выкладываю техническую презентацию. И в ней также можно встретить и ngrok!
PS: а почему я вспомнил про ngrok, напишу чуть позже....
#MDR
На SOC Forum в 2022 году у меня было два доклада: более-менее бизнесовый и более-менее технический. Бизнес-презентацию я выкладывал, а вот техническую - нет (так как видел видео с докладом где-то на Ютьюбе, но сейчас не смог найти). Исправляюсь, выкладываю техническую презентацию. И в ней также можно встретить и ngrok!
PS: а почему я вспомнил про ngrok, напишу чуть позже....
#MDR
👍5🔥1
TL;DR: trycloudflare.com - аналог Ngrok, скрывающий C&C за инфраструктурой Cloudflare.
В одном из инцидентов обратили внимание на странный домен, используемый для эксфильтрации.
Вид URL был следующий: https://<что-то>.trycloudflare.com/<другое что-то>. Важно отметить, что <что-то> выглядело вполне прилично: четыре английских слова через дефис, т.е. какие-то сценарии с подсчетом энтропии здесь бы дали сбой.
Немного погуглив, выяснили, что это работа очень удобного, бесплатного инструмента туннелирования Cloudflare Tunnel. Инструмент позволяет атакующему публиковать свой HTTP/websocket через случайно сгенерированный поддомен инфраструктуры Cloudflare. Входящий на него трафик будет передаваться атакующему, который сможет его далее проксировать, не обязательно на localhost. Никакой регистрации не требуется, атакующий качает инструмент и запускает. Немного подробнее можно почитать в официальной справке.
В конкретном наблюдаемом инциденте атакующий прятал свой C2 за инфраструктурой Cloudflare и доверенным URL. История github инструмента уходит в 2020, т.е. вполне возможно описанная схема C&C используется уже как три года.
#MDR
В одном из инцидентов обратили внимание на странный домен, используемый для эксфильтрации.
Вид URL был следующий: https://<что-то>.trycloudflare.com/<другое что-то>. Важно отметить, что <что-то> выглядело вполне прилично: четыре английских слова через дефис, т.е. какие-то сценарии с подсчетом энтропии здесь бы дали сбой.
Немного погуглив, выяснили, что это работа очень удобного, бесплатного инструмента туннелирования Cloudflare Tunnel. Инструмент позволяет атакующему публиковать свой HTTP/websocket через случайно сгенерированный поддомен инфраструктуры Cloudflare. Входящий на него трафик будет передаваться атакующему, который сможет его далее проксировать, не обязательно на localhost. Никакой регистрации не требуется, атакующий качает инструмент и запускает. Немного подробнее можно почитать в официальной справке.
В конкретном наблюдаемом инциденте атакующий прятал свой C2 за инфраструктурой Cloudflare и доверенным URL. История github инструмента уходит в 2020, т.е. вполне возможно описанная схема C&C используется уже как три года.
#MDR
Cloudflare Docs
Quick Tunnels · Cloudflare Zero Trust docs
Developers can use the TryCloudflare tool to experiment with Cloudflare Tunnel without adding a site to Cloudflare's DNS. TryCloudflare will launch a process that generates a random subdomain on trycloudflare.com. Requests to that subdomain will be proxied…
🔥4👍2
Очередная шутка от Алексея Викторовича, с учетом реакций на нее, все-таки требует пояснений, поэтому, несмотря на то, что сегодня не пятница, и даже не среда, придется пообсуждать очевидные вещи.
Любой атакующий руководствуется мотивацией, т.е. он будет атаковать ту систему, в которой обрабатываются интересующие его данные. За долгие годы наши подходы к обеспечению ИБ достигли зрелости, и мы научились на практике применять принцип "Defence in Depth", как следствие, скомпрометировать серверные системы, запрятанные глубоко в сегментированные корпоративные сети, непросто. Более того, пока атакующий будет горизонтально перемещаться от подломанных систем на периметре, через ДМЗ, во внутренние сети, велики шансы его успешного обнаружения и предотвращения развития атаки до получения ущерба.
Значительно проще атаковать удаленную конечную точку, так как она вполне может располагаться в публичных сетях, не быть защищенной никакими ДМЗ - вся периметровая защита мобильного рабочего места (АРМ) сводится к возможностям используемого EPP (Endpoint Protection Platform). Статистика MDR красноречиво подтверждает эту очевидную логику - нередки инциденты, в которых "пациентом 0" является мобильный АРМ удаленного пользователя. В общем, думаю, никто не будет отрицать, что удаленный доступ увеличивает поверхность атаки, как минимум, за счет невозможности обеспечения эквивалентности уровня безопасности мобильной конечной точки и стационарного АРМ внутри копроративной сети.
Тем не менее, мы имеем повсеместное распространение удаленного доступа, тем более подогретого последней пандемией, поскольку материальные и нематериальные выгоды для Бизнеса с лихвой покрывают связанные риски безопасности. При этом, необходимость обеспечения защиты мобильного АРМ ни у кого не вызывает сомнения. С учетом того, что в арсенале у нас, собственно, только одно решение - EPP, очевидна и необходимость EPP на мобильном АРМ.
Но прогресс, выражающийся в удобстве использования, не стоит на месте. Функционально, сейчас современный смартфон практически полностью эквивалентен мобильному ПК. Все средства коммуникации и обработки информации доступны на смартфоне. Исключение составляют редкие системы, не имеющие удобного мобильного приложения, однако, эта ситуация постоянно исправляется, и, по части UX, смартфоны продолжают приближаться к мобильным ПК. А раз так, то все риски, релевантные мобильному АРМ, относятся и к смартфону, атакующие будут столь же мотивированы скомпрометировать смартфон топменеджера, как и его дексктоп и ноутбук. Тем более, с учетом вбросов, подобных указанному выше, зачем-то создается мнение, что смартфоны не надо защищать, их, яко бы, не атакуют, причем, как подтверждение истинности, приведен личный опыт...могу лишь предположить, что атакующим была не интересна информация, обрабатывамая на данном конкретном смартфоне, или, при отсутствии средств обнаружения, атака осталась незамеченной, или просто повезло...
Успешный бизнес не может позволить себе работать с 9 до 18 с полной остановкой на выходные и праздники, поэтому от руководства требуется высокая доступность, а доступность подразумевает мобильность, поэтому смартфонам суждено быть включенным в корпоративные бизнес-процессы, а, следовательно, CISO придется обеспечивать их защиту. Антивирус - это только один из компонентов современного EPP, который включает также и хостовую IPS, а также, средства инвентаризации и управления (MDM).
#vCISO
Любой атакующий руководствуется мотивацией, т.е. он будет атаковать ту систему, в которой обрабатываются интересующие его данные. За долгие годы наши подходы к обеспечению ИБ достигли зрелости, и мы научились на практике применять принцип "Defence in Depth", как следствие, скомпрометировать серверные системы, запрятанные глубоко в сегментированные корпоративные сети, непросто. Более того, пока атакующий будет горизонтально перемещаться от подломанных систем на периметре, через ДМЗ, во внутренние сети, велики шансы его успешного обнаружения и предотвращения развития атаки до получения ущерба.
Значительно проще атаковать удаленную конечную точку, так как она вполне может располагаться в публичных сетях, не быть защищенной никакими ДМЗ - вся периметровая защита мобильного рабочего места (АРМ) сводится к возможностям используемого EPP (Endpoint Protection Platform). Статистика MDR красноречиво подтверждает эту очевидную логику - нередки инциденты, в которых "пациентом 0" является мобильный АРМ удаленного пользователя. В общем, думаю, никто не будет отрицать, что удаленный доступ увеличивает поверхность атаки, как минимум, за счет невозможности обеспечения эквивалентности уровня безопасности мобильной конечной точки и стационарного АРМ внутри копроративной сети.
Тем не менее, мы имеем повсеместное распространение удаленного доступа, тем более подогретого последней пандемией, поскольку материальные и нематериальные выгоды для Бизнеса с лихвой покрывают связанные риски безопасности. При этом, необходимость обеспечения защиты мобильного АРМ ни у кого не вызывает сомнения. С учетом того, что в арсенале у нас, собственно, только одно решение - EPP, очевидна и необходимость EPP на мобильном АРМ.
Но прогресс, выражающийся в удобстве использования, не стоит на месте. Функционально, сейчас современный смартфон практически полностью эквивалентен мобильному ПК. Все средства коммуникации и обработки информации доступны на смартфоне. Исключение составляют редкие системы, не имеющие удобного мобильного приложения, однако, эта ситуация постоянно исправляется, и, по части UX, смартфоны продолжают приближаться к мобильным ПК. А раз так, то все риски, релевантные мобильному АРМ, относятся и к смартфону, атакующие будут столь же мотивированы скомпрометировать смартфон топменеджера, как и его дексктоп и ноутбук. Тем более, с учетом вбросов, подобных указанному выше, зачем-то создается мнение, что смартфоны не надо защищать, их, яко бы, не атакуют, причем, как подтверждение истинности, приведен личный опыт...
Успешный бизнес не может позволить себе работать с 9 до 18 с полной остановкой на выходные и праздники, поэтому от руководства требуется высокая доступность, а доступность подразумевает мобильность, поэтому смартфонам суждено быть включенным в корпоративные бизнес-процессы, а, следовательно, CISO придется обеспечивать их защиту. Антивирус - это только один из компонентов современного EPP, который включает также и хостовую IPS, а также, средства инвентаризации и управления (MDM).
#vCISO
Telegram
Пост Лукацкого
Производители средств защиты мобильных устройств 📱 предсказуемо твердят об опасности мобильных вредоносов 🦠
Я, если честно, ни разу не сталкивался с этой угрозой за почти три десятилетия использования мобильных устройств. Один раз у меня смартфон украли…
Я, если честно, ни разу не сталкивался с этой угрозой за почти три десятилетия использования мобильных устройств. Один раз у меня смартфон украли…
👍10❤6🤡4🔥1🤔1🤓1
Мои дорогие подписчики!
Сегодня у нас с вами праздник: нас более 1000!
Этот канал я считаю своим маленьким вкладом в Общество, поэтому хочу, чтобы производимый мною контент был максимально интересен и полезен.
Я с огромным уважением отношусь к своему работодателю, поэтому не всегда располагаю достаточным количеством свободного времени, чтобы писать часто и много, даже на релевантные темы, вроде #MDR.
Когда я отправился в первый класс в 1986 году, было принято обязательно заниматься чем-то еще, "болтаться во дворе" не приветствовалось, и я пошел в Городскую школу искусств. С тех пор #музыка всегда со мной: я до сих пор с удовольствием играю и пою для себя и друзей, которые мне прощают как я косячу. Закончив с музыкалкой по классу балалайка (удивительно, но в прошлом году я узнал, что до сих пор на ней могу играть), я занялся плаванием, но так как надо было готовиться к поступлению в ВУЗ, я так и застрял где-то межу I-ым и II-ым редакции 1994 года, однако, с тех пор тема #здоровье тоже меня не покидает: я пытаюсь много ходить или даже бегать, а когда есть возможность - плавать в бассейне, эту часть моей жизни можно отслеживать в Strava.
Учась в физмат классе, а потом на факультете ИУ в Бауманке, всегда хотелось развиваться не только технически, поэтому до сих пор к сфере моих интересов относится привитая отцом #история , ну, по крайней мере, в виде художественной литературы и мемуаров, где не сильно дают волю фантазии.
Я люблю учиться, это позволяет мне ощущать рост над собой, и это приятно, поэтому #саморазвитие мне не чуждо. Однако, прочитав многих т.н. "коучей" и даже профессиональных психологов, я поймал себя на мысли, что хорошая #литература способна дать намного больше: не только шаблоны поведения или способность прогнозирования ситуаций, но и вкус, например, научить понимать #искусство . Литература - не единственный источник качественной информации, я уважаю хорошее #кино, хоть и смотрю фильмы крайне редко, но еще больше я люблю #театр, так как там все по-настоящему здесь и сейчас, там чувствуется энергетика игры.
За долгие годы, с 2001 года, мне удалось поработать в разных ролях: программистом на Perl и C/C++, администратором систем безопасности, аналитиком SOC, архитектором решений ИТ и ИБ, менеджером проектов, руководителем подразделений ИБ, как на стороне заказчика, так и на стороне поставщика. За это время многие решения и их последствия я испытал "на собственной" шкуре, поэтому вполне осмысленно позволяю себе писать про #управление во всех его проявлениях - от управления командой, до каких-либо корпоративных бизнес-процессов, а также иногда делюсь идеями о которых, на мой взгляд, крайне полезно иметь представление современному CISO или #vCISO.
#пятница - день хорошего настроения, поэтому не грех и пошутить, вспомнить какие-то, вызывающие улыбку, случаи из практики.
Я понимаю, что ничто не вечно, но хочется и в старости продолжить жить не сильно хуже, чем сейчас, когда мы молоды и полны энергии, поэтому надо уметь сохранить - об этом я иногда позволяю себе писать с тегом #финансы
Итак, сейчас, когда мы с вами обсудили перечень возможных для обсуждения тем, пожалуйста, поделитесь своим мнением: заметки на какие темы вам было бы интересно видеть. Ниже я запущу опрос, но также пишите свои идеи\предложения в комментариях.
Спасибо за то, что мы с вами вместе!
Сегодня у нас с вами праздник: нас более 1000!
Этот канал я считаю своим маленьким вкладом в Общество, поэтому хочу, чтобы производимый мною контент был максимально интересен и полезен.
Я с огромным уважением отношусь к своему работодателю, поэтому не всегда располагаю достаточным количеством свободного времени, чтобы писать часто и много, даже на релевантные темы, вроде #MDR.
Когда я отправился в первый класс в 1986 году, было принято обязательно заниматься чем-то еще, "болтаться во дворе" не приветствовалось, и я пошел в Городскую школу искусств. С тех пор #музыка всегда со мной: я до сих пор с удовольствием играю и пою для себя и друзей, которые мне прощают как я косячу. Закончив с музыкалкой по классу балалайка (удивительно, но в прошлом году я узнал, что до сих пор на ней могу играть), я занялся плаванием, но так как надо было готовиться к поступлению в ВУЗ, я так и застрял где-то межу I-ым и II-ым редакции 1994 года, однако, с тех пор тема #здоровье тоже меня не покидает: я пытаюсь много ходить или даже бегать, а когда есть возможность - плавать в бассейне, эту часть моей жизни можно отслеживать в Strava.
Учась в физмат классе, а потом на факультете ИУ в Бауманке, всегда хотелось развиваться не только технически, поэтому до сих пор к сфере моих интересов относится привитая отцом #история , ну, по крайней мере, в виде художественной литературы и мемуаров, где не сильно дают волю фантазии.
Я люблю учиться, это позволяет мне ощущать рост над собой, и это приятно, поэтому #саморазвитие мне не чуждо. Однако, прочитав многих т.н. "коучей" и даже профессиональных психологов, я поймал себя на мысли, что хорошая #литература способна дать намного больше: не только шаблоны поведения или способность прогнозирования ситуаций, но и вкус, например, научить понимать #искусство . Литература - не единственный источник качественной информации, я уважаю хорошее #кино, хоть и смотрю фильмы крайне редко, но еще больше я люблю #театр, так как там все по-настоящему здесь и сейчас, там чувствуется энергетика игры.
За долгие годы, с 2001 года, мне удалось поработать в разных ролях: программистом на Perl и C/C++, администратором систем безопасности, аналитиком SOC, архитектором решений ИТ и ИБ, менеджером проектов, руководителем подразделений ИБ, как на стороне заказчика, так и на стороне поставщика. За это время многие решения и их последствия я испытал "на собственной" шкуре, поэтому вполне осмысленно позволяю себе писать про #управление во всех его проявлениях - от управления командой, до каких-либо корпоративных бизнес-процессов, а также иногда делюсь идеями о которых, на мой взгляд, крайне полезно иметь представление современному CISO или #vCISO.
#пятница - день хорошего настроения, поэтому не грех и пошутить, вспомнить какие-то, вызывающие улыбку, случаи из практики.
Я понимаю, что ничто не вечно, но хочется и в старости продолжить жить не сильно хуже, чем сейчас, когда мы молоды и полны энергии, поэтому надо уметь сохранить - об этом я иногда позволяю себе писать с тегом #финансы
Итак, сейчас, когда мы с вами обсудили перечень возможных для обсуждения тем, пожалуйста, поделитесь своим мнением: заметки на какие темы вам было бы интересно видеть. Ниже я запущу опрос, но также пишите свои идеи\предложения в комментариях.
Спасибо за то, что мы с вами вместе!
👏15❤7🔥7👍5🎉1🤓1
Какие темы Вам более интересны?
Anonymous Poll
54%
#vCISO - заметки, полезные для руководителя ИБ
47%
#управелние - размышления об управлении, руководстве и менеджменте вообще
23%
#книги - заметки о книгах и литературе вообще
16%
#здоровье - заметки о спорте и ЗОЖ вообще
7%
8%
11%
27%
#саморазвитие - обо всем, что может пригодиться в жизни
64%
#MDR - все что касается технических аспектов SOC, обнаружения атак, интересных инцидентов
37%
#пятница - выходит в пятницу, чаще касается парадоксов из практики ИБ и вызывает улыбку
👍2
Когда я буду на PHD2?
24 мая 17:30 - 18:30 на секции у Володи Дмитриева в замечательной компании будем фантазировать на тему будущего SOC. Это мероприятие уже есть в программе, даю ссылку. Учитывая состав коллег, по панельке - Тимур, Антон, Теймур, уверен, дискуссия будет интересная. Так или иначе занимаясь развитием SOC, я бы точно пошел послушать и, что еще важнее, лично пообщаться со спикерами.
25 мая 12:55 - 13:15 буду рассказывать для молодежи о работе аналитика SOC. Если вы сами или ваши близкие и знакомые решают с чего начать карьерный путь в ИТ\ИБ и как он мог бы выглядеть, то приходите, обсудим. Слайдами после мероприятия обязательно поделюсь.
Я точно буду оба дня, 24 и 25 мая, поэтому можно пересечься\пообщаться\познакомиться.
24 мая 17:30 - 18:30 на секции у Володи Дмитриева в замечательной компании будем фантазировать на тему будущего SOC. Это мероприятие уже есть в программе, даю ссылку. Учитывая состав коллег, по панельке - Тимур, Антон, Теймур, уверен, дискуссия будет интересная. Так или иначе занимаясь развитием SOC, я бы точно пошел послушать и, что еще важнее, лично пообщаться со спикерами.
25 мая 12:55 - 13:15 буду рассказывать для молодежи о работе аналитика SOC. Если вы сами или ваши близкие и знакомые решают с чего начать карьерный путь в ИТ\ИБ и как он мог бы выглядеть, то приходите, обсудим. Слайдами после мероприятия обязательно поделюсь.
Я точно буду оба дня, 24 и 25 мая, поэтому можно пересечься\пообщаться\познакомиться.
phdays.com
Positive Hack Days
An international cyberfestival for those who want to dive into the world of cybersecurity and have a great time
❤15👍8🥰2🤓2🔥1
28 мая, в 17:00 MSK, мой коллеги и друг, Роман Назаров, Руководитель нашего направления SOC Consulting будет проводить вебинар на Brighttalk. На мероприятии обсудим опыт реальных проектов гибридных SOC-ов для конечных заказчиков, SOC-ов, как услуг MSSP, и много чего интересного, а самое главное, можно будет задать вопросы и получить ответы!
#MDR
#MDR
BrightTALK
SOC Consulting: insights and live-on cases
Join this webinar to gain practical insights into the challenges faced by your industry peers involved in security operations and related activities.
During the session, we'll explore common issues and effective strategies pertaining to cybersecurity incident…
During the session, we'll explore common issues and effective strategies pertaining to cybersecurity incident…
👍14🔥1
Forwarded from purple shift
В апреле мы показывали вам годовые аналитические отчёты наших команд MDR и IR. Там были красивые картинки с котиками, а также много интересной статистики по инцидентам прошедшего года. Одновременно наши коллеги Сергей Солдатов и Константин Сапронов провели вебинар «Сезон киберохоты», где комментировали эту статистику и отвечали на вопросы.
Но вопросов было много, ответить на все за время вебинара не успели. Зато ответили после! Весь Q&A можно найти по ссылке. Спасибо за хорошие вопросы, вытянувшие из наших экспертов такие знания:
– Да, зиродеи – это плохо. Но большая часть атак проводится с использованием хорошо известных уязвимостей с публичными эксплоитами (1-day).
– На реальных инцидентах lsass дампят 1001 способом, включая довольно «свежие» (например, LSA Whisperer)
– Да, нужно читать угрозные отчеты (TI) и писать на их основании правила обнаружения. Но все отчёты не прочитать, все угрозы не покрыть, все правила не написать: приоритизация очень важна и считается отдельной дисциплиной – угрозный аналитик (CTI analyst). Не забывайте использовать тесты в любом BAS для проверки пула своих детектирующих правил.
И лучший вопрос с лучшим ответом:
Q: По вашим наблюдениям, существует ли феномен "фишингового вторника": преобладание начала фишинговых атак во вторник?
A: По нашим наблюдениям, существует феномен обращений за расследованием инцидентов в пятницу вечером! Даже если инцидент случился в понедельник, вечер пятницы – это самое частое время обращений за услугой.
В полном файле Q&A отмечены три лучших вопроса, которые выбрали наши эксперты, проводившие вебинар. Авторы этих вопросов могут получить подарки от экспертов, если напишут по адресу [email protected].
Но вопросов было много, ответить на все за время вебинара не успели. Зато ответили после! Весь Q&A можно найти по ссылке. Спасибо за хорошие вопросы, вытянувшие из наших экспертов такие знания:
– Да, зиродеи – это плохо. Но большая часть атак проводится с использованием хорошо известных уязвимостей с публичными эксплоитами (1-day).
– На реальных инцидентах lsass дампят 1001 способом, включая довольно «свежие» (например, LSA Whisperer)
– Да, нужно читать угрозные отчеты (TI) и писать на их основании правила обнаружения. Но все отчёты не прочитать, все угрозы не покрыть, все правила не написать: приоритизация очень важна и считается отдельной дисциплиной – угрозный аналитик (CTI analyst). Не забывайте использовать тесты в любом BAS для проверки пула своих детектирующих правил.
И лучший вопрос с лучшим ответом:
Q: По вашим наблюдениям, существует ли феномен "фишингового вторника": преобладание начала фишинговых атак во вторник?
A: По нашим наблюдениям, существует феномен обращений за расследованием инцидентов в пятницу вечером! Даже если инцидент случился в понедельник, вечер пятницы – это самое частое время обращений за услугой.
В полном файле Q&A отмечены три лучших вопроса, которые выбрали наши эксперты, проводившие вебинар. Авторы этих вопросов могут получить подарки от экспертов, если напишут по адресу [email protected].
🔥5
Как ранее отмечал, 28 мая, во вторник, в 17:00 состоится наш вебинар Brighttalk по мотивам работ на проектах SOC Consulting.
Из личного опыта знаю, что подавляющее большинство смотрит Brighttalk в записи, аналогично, и ваш покорный слуга, и нас не останавливает утрата возможности задать вопросы и тут же получить ответы.... Но в наших силах это исправить! Для читателей нашего канала я предлагаю уникальную возможность: задайте вопрос в комментариях к этому сообщению, и мы обязательно ответим!
Правила такие:
- вопросы надо задавать в комментариях к этой заметке (все читатели будут видеть все вопросы)
- вопросы должны быть релевантны контенту вебинара
- вопросы можно задавать на английском и русском языках (ответ будет дан на языке вопроса, вебинар будет на английском языке)
- все вопросы будут собраны в единый документ, документом поделюсь
- автор лучшего вопроса получит памятный приз!
До встречи на вебинаре!
Из личного опыта знаю, что подавляющее большинство смотрит Brighttalk в записи, аналогично, и ваш покорный слуга, и нас не останавливает утрата возможности задать вопросы и тут же получить ответы.... Но в наших силах это исправить! Для читателей нашего канала я предлагаю уникальную возможность: задайте вопрос в комментариях к этому сообщению, и мы обязательно ответим!
Правила такие:
- вопросы надо задавать в комментариях к этой заметке (все читатели будут видеть все вопросы)
- вопросы должны быть релевантны контенту вебинара
- вопросы можно задавать на английском и русском языках (ответ будет дан на языке вопроса, вебинар будет на английском языке)
- все вопросы будут собраны в единый документ, документом поделюсь
До встречи на вебинаре!
👍7🔥1
Автоматизация - наше все!
При текущих объемах работ и требованиям к качеству, автоматизация - наиболее перспективный вариант масштабирования. Снижение нагрузки на аналитика SOC с помощью Автоаналитика мы используем достаточно давно. Сейчас популярность набирают большие языковые модели, однако, из-за высокой стоимости их ошибки, а также, довольно внушительный бэклог из простых автоматизаций с куда более ощутимым выхлопом , их применение в качестве какого-либо подспорья для аналитика SOC, по-прежнему находится за рамками широкого продуктивного использования. В этой связи есть большой интерес как там у коллег по цеху, дошло ли применение LLM до боевого или находится на уровне маркетинга-хайпа-эксперементов, или локального применения на полуискусственном объеме. Вот доклады, которые я запланировал посмотреть по теме:
- Применение LLM в информационной безопасности: путь к AI-ассистенту
- Уменьшение нагрузки на аналитика SOC
- Как прикормить LLM в SOC
О последнем докладе я наиболее осведомлен, даже видел слайды (после доклада, поделюсь), и прекрасно знаком с Игорем. В свое время вместе увлеклись машобучем, изучали его еще на R, где-то на заре этих увлечений я написал это. Вообще, степень увлеченности автора вопросом - хороший индикатор качества выдаваемого контента, всегда приятно слушать увлеченных людей. В общем, пока у меня есть ожидания и надежды, что удастся превратить LLM из хайповой игрушки в эффективную автоматизацию работы операционного подразделения.
#MDR
При текущих объемах работ и требованиям к качеству, автоматизация - наиболее перспективный вариант масштабирования. Снижение нагрузки на аналитика SOC с помощью Автоаналитика мы используем достаточно давно. Сейчас популярность набирают большие языковые модели, однако, из-за высокой стоимости их ошибки, а также, довольно внушительный бэклог из простых автоматизаций с куда более ощутимым выхлопом , их применение в качестве какого-либо подспорья для аналитика SOC, по-прежнему находится за рамками широкого продуктивного использования. В этой связи есть большой интерес как там у коллег по цеху, дошло ли применение LLM до боевого или находится на уровне маркетинга-хайпа-эксперементов, или локального применения на полуискусственном объеме. Вот доклады, которые я запланировал посмотреть по теме:
- Применение LLM в информационной безопасности: путь к AI-ассистенту
- Уменьшение нагрузки на аналитика SOC
- Как прикормить LLM в SOC
О последнем докладе я наиболее осведомлен, даже видел слайды (после доклада, поделюсь), и прекрасно знаком с Игорем. В свое время вместе увлеклись машобучем, изучали его еще на R, где-то на заре этих увлечений я написал это. Вообще, степень увлеченности автора вопросом - хороший индикатор качества выдаваемого контента, всегда приятно слушать увлеченных людей. В общем, пока у меня есть ожидания и надежды, что удастся превратить LLM из хайповой игрушки в эффективную автоматизацию работы операционного подразделения.
#MDR
🔥6👍1
Forwarded from purple shift
Представьте, что вы проводите Red Teaming, и уже получили сетевой доступ к контроллеру домена. Для развития атаки можно посмотреть в сторону доменных учётных записей со слабыми паролями. Но как их выявить, не привлекая внимания санитаров специалистов SOC?
Вы можете точечно проверить отдельные дефолтные аккаунты, такие как
Есть менее заметный метод. Давайте обратимся к древнему интерфейсу
Дальше остаётся только устроить перебор паролей (password spraying) по полученному списку аккаунтов. Наверняка хоть кто-нибудь использовал P@$$w0rd или May_2024.
Более подробный анализ безопасности MSRPC-интерфейсов – в исследовании Хайдара Кабибо.
Автор исследования также написал утилиту для демонстрации описанных возможностей:
https://github.com/klsecservices/NauthNRPC
Вы можете точечно проверить отдельные дефолтные аккаунты, такие как
test или it-admin. Однако устроить перебор всех возможных доменных пользователей не так просто. Можно попробовать преаутентификацию в Kerberos – но это слишком шумно, и вас точно засекут.Есть менее заметный метод. Давайте обратимся к древнему интерфейсу
MS-NRPC, используя уровень доступа RPC_C_AUTHN_LEVEL_NONE (то есть без авторизации). А затем вызовем функцию Opnum 34 (DsrGetDcNameEx2) – которая проводит проверку существования указанного аккаунта в домене. Скормив этой функции дефолтный список всевозможных имён, получим список существующих доменных аккаунтов. Обнаружить такую активность совсем непросто, поскольку она не оставляет какого-либо специального типа события в журнале безопасности Windows.Дальше остаётся только устроить перебор паролей (password spraying) по полученному списку аккаунтов. Наверняка хоть кто-нибудь использовал P@$$w0rd или May_2024.
Более подробный анализ безопасности MSRPC-интерфейсов – в исследовании Хайдара Кабибо.
Автор исследования также написал утилиту для демонстрации описанных возможностей:
https://github.com/klsecservices/NauthNRPC
🔥3👍2