А вот этот эфир уже значительно более интересный!
Вызвал уныние результат опроса, где на первом месте Управление уязвимостями, причем в этом же выпуске был отличный монолог от Димы, что надо не бороться с эксплуатацией, а делать невозможным развитие атаки. Некоторое время назад я ровно об этом же писал, именно про невозможность реализовать успешное Управление уязвимостями, и, тем не менее, мы видим, что немало коллег по-прежнему продолжает верить в возможность все запатчить, инвестируют туда уйму ресурсов и безгранично надеются на успешность своего процесса Vulnerability Management…
А невозможность результативного Vulnerability Management-а (VM) подтверждается всей нашей историей – все эти ms03-026, ms08-067, ms17-010, …. ProxyShell, ProxyLogon, … И, в связи с усложнением ИС, увеличения количества уровней абстракции, успешность нашего VM будет только снижаться. Ну если мы уже не верим в тотальный prevention и вполне ужились с концепцией Assume breach, почему мы никак не привыкнем к Assume Vulnerable, и не начнем больше инвестировать в Visibility, ограничение полномочий (и все остальное, что называется модным термином Zero Trust), делая уязвимость неэксплуатируемой, а если и эксплуатируемой, то не приводящей к ущербу?
Вызвал уныние результат опроса, где на первом месте Управление уязвимостями, причем в этом же выпуске был отличный монолог от Димы, что надо не бороться с эксплуатацией, а делать невозможным развитие атаки. Некоторое время назад я ровно об этом же писал, именно про невозможность реализовать успешное Управление уязвимостями, и, тем не менее, мы видим, что немало коллег по-прежнему продолжает верить в возможность все запатчить, инвестируют туда уйму ресурсов и безгранично надеются на успешность своего процесса Vulnerability Management…
А невозможность результативного Vulnerability Management-а (VM) подтверждается всей нашей историей – все эти ms03-026, ms08-067, ms17-010, …. ProxyShell, ProxyLogon, … И, в связи с усложнением ИС, увеличения количества уровней абстракции, успешность нашего VM будет только снижаться. Ну если мы уже не верим в тотальный prevention и вполне ужились с концепцией Assume breach, почему мы никак не привыкнем к Assume Vulnerable, и не начнем больше инвестировать в Visibility, ограничение полномочий (и все остальное, что называется модным термином Zero Trust), делая уязвимость неэксплуатируемой, а если и эксплуатируемой, то не приводящей к ущербу?
👍5
Мой друг и коллега, Константин Сапронов, руководитель нашей глобальной команды реагирования (Global Emergency Response Team, GERT), человек с уникальным опытом в DFIRMA, автор книжек по форенсике, ... можно перечислять бесконечно заслуги Кости перед ЛК и мировой индустрией ИБ в целом ... дал интервью для AM:
https://t.iss.one/anti_malware/16344
https://t.iss.one/anti_malware/16344
Telegram
Anti-Malware
Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов «Лаборатории Касперского»:
💭 об актуальных тенденциях в области работы с киберинцидентами
💭 как правильно реагировать на инциденты и что с ними делать дальше
💭 о смещении…
💭 об актуальных тенденциях в области работы с киберинцидентами
💭 как правильно реагировать на инциденты и что с ними делать дальше
💭 о смещении…
🔥14
В журнале "Информационная безопасность", в весьма представительной компании коллег по отрасли, опубликовали мои мысли относительно коммерческих SOC
https://cs.groteck.ru/IB_5_2023/20/index.html
https://cs.groteck.ru/IB_5_2023/20/index.html
cs.groteck.ru
Журнал "Information Security/ Информационная безопасность" #5, 2023
🔥8👏4👍1
Меня не перестает удивлять достаточные бодрые метрики SLA некоторых игроков рынка. В целом, любой волен говорить что угодно, но проблема в том, что они создают стереотипы, которые потом сложно разоблачать. Даже Алексей, рекордсмен по формированию стереотипов в отечественной индустрии ИБ (в хорошем смысле этого слова), не раз писал об удивительности времени реакции в 15-20 минут (ну, если, конечно, это не автоматическая отбивка, что ваш issue взят в работу 😂, ибо с учетом конверсии не превышающей 20%, только каждое пятое такое оповещение будет иметь для заказчика хоть какой-то смысл). В новой заметке я тоже порассуждал о времени реакции, пытаясь обосновать, что 1 час - это вполне нормально.
https://dzen.ru/a/ZXBaMkxB1w2aNCCf
https://dzen.ru/a/ZXBaMkxB1w2aNCCf
👍8🔥2💯1
А вот ребята сделали дайджест моих ответов из вот этой статьи. По-моему, красиво!
🥰1
Forwarded from Порвали два трояна
🔬 Коммерческий SOC: когда он поможет, а чего не может?
Построение SOC в организации «с нуля» требует существенных инвестиций и специфических навыков, поэтому многие компании изучают возможность аутсорсинга этой функции специализированному внешнему подрядчику. Но даже в таком формате от внутренней команды потребуются заметные усилия для интеграции внешнего SOC с процессами компании. Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, рассказал об этом в статье для журнала Information Security, а самые интересные моменты — в наших карточках.
#советы @П2Т
Построение SOC в организации «с нуля» требует существенных инвестиций и специфических навыков, поэтому многие компании изучают возможность аутсорсинга этой функции специализированному внешнему подрядчику. Но даже в таком формате от внутренней команды потребуются заметные усилия для интеграции внешнего SOC с процессами компании. Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, рассказал об этом в статье для журнала Information Security, а самые интересные моменты — в наших карточках.
#советы @П2Т
🔥4👏1
Огромное время тратят аналитики SOC на борьбу с фолсой! Причем, насколько результативнее эта борьба, тем эффективнее работа SOC в целом.
Часто SOC рассматривается как внутренний подрядчик, например, корпоративная ИБ нанимает SOC для мониторинга своих инструментов - NGFW, EDR, NTA и т.п. Так как инструментами владеет корп. ИБ, то и управление изменениями - на их стороне.
Проблема выглядит так: SOC видит фолсу и хочет ее пофильтровать, скажем на NGFW (действительно, зачем ее тащить в SIEM и тратить его лицензию), формирует обращение в копр. ИБ (они же вносят\согласуют изменения политик NGFW) и ... получают отказ!
Я прибегаю в корп. ИБ, начинаю объяснять, что, мол, чем меньше будет фолсы, тем лучше мы будем работать, это в наших общих интересах.... а вот эти события - ложные срабатывания! И получаю следующий ответ: "Сергей, неужели вы считаете себя умнее, чем производитель NGFW, который придумал эти правила?!"
В общем, мои дорогие, адаптировать детектирующую логику надо! Это как если вы купили машину, и решили подстроить под себя сиденье, положение зеркал заднего вида, высоту руля и т.п. - и здесь нам с вами, конечно же, лучше знать, чем производителю, как нам удобно!
#пятница
Часто SOC рассматривается как внутренний подрядчик, например, корпоративная ИБ нанимает SOC для мониторинга своих инструментов - NGFW, EDR, NTA и т.п. Так как инструментами владеет корп. ИБ, то и управление изменениями - на их стороне.
Проблема выглядит так: SOC видит фолсу и хочет ее пофильтровать, скажем на NGFW (действительно, зачем ее тащить в SIEM и тратить его лицензию), формирует обращение в копр. ИБ (они же вносят\согласуют изменения политик NGFW) и ... получают отказ!
Я прибегаю в корп. ИБ, начинаю объяснять, что, мол, чем меньше будет фолсы, тем лучше мы будем работать, это в наших общих интересах.... а вот эти события - ложные срабатывания! И получаю следующий ответ: "Сергей, неужели вы считаете себя умнее, чем производитель NGFW, который придумал эти правила?!"
В общем, мои дорогие, адаптировать детектирующую логику надо! Это как если вы купили машину, и решили подстроить под себя сиденье, положение зеркал заднего вида, высоту руля и т.п. - и здесь нам с вами, конечно же, лучше знать, чем производителю, как нам удобно!
#пятница
👍12😁3💯2
Мне, как получившему инженерное образование, тема мировой физики близка не меньше, чем профессиональная область - ИТ.
Сейчас читаю замечательную книжку - Берд, Шервин. Оппенгеймер, и ловлю себя на мысли о параллелях между Опенгейиером и Джобсом, чья биография прекрасно изложена не менее известным биографом Уолтером Айзексоном в одноимённой книге, которую также настоятельно рекомендую каждому ИТшнику.
Как и Джобс, Оппенгеймер - дитя эпохи, обоим посчастливилось быть участниками технологических революций своего времени и по биографиям обоих можно изучать становление мировых ИТ и "новой физики". В своей биографии Оппенгеймер пересекается с Паули, Дираком, Борном, Резерфордом, Гейзенбергом и многими другими, чьи имена мы помним со страниц неклассической физики и физической химии.
В свое время аналогичное впечатление произвола биография Ландау, написанная, ЕМНИП, его супругой или ее сестрой - также рекомендую к прочтению интересующимся физикой.
#книги
Сейчас читаю замечательную книжку - Берд, Шервин. Оппенгеймер, и ловлю себя на мысли о параллелях между Опенгейиером и Джобсом, чья биография прекрасно изложена не менее известным биографом Уолтером Айзексоном в одноимённой книге, которую также настоятельно рекомендую каждому ИТшнику.
Как и Джобс, Оппенгеймер - дитя эпохи, обоим посчастливилось быть участниками технологических революций своего времени и по биографиям обоих можно изучать становление мировых ИТ и "новой физики". В своей биографии Оппенгеймер пересекается с Паули, Дираком, Борном, Резерфордом, Гейзенбергом и многими другими, чьи имена мы помним со страниц неклассической физики и физической химии.
В свое время аналогичное впечатление произвола биография Ландау, написанная, ЕМНИП, его супругой или ее сестрой - также рекомендую к прочтению интересующимся физикой.
#книги
🔥11👍5❤1👏1
Энтропия - величина неубывающая, и наш мир стремится к состоянию покоя, поэтому у каждой силы найдется противосила, для материи найдется антиматерия, а у электрона есть позитрон... Законы физики работают и в менеджменте, и в психологии, поэтому во всем есть положительные и отрицательные моменты.
В новой заметке рассуждал о выгорании мотивированных лидеров. Надеюсь, каждый, и лидер, и аутсайдер, и их менеджер, найдет для себя в ней что-то полезное
https://dzen.ru/a/ZXR7wi87ZBZRt0hm
#управление
В новой заметке рассуждал о выгорании мотивированных лидеров. Надеюсь, каждый, и лидер, и аутсайдер, и их менеджер, найдет для себя в ней что-то полезное
https://dzen.ru/a/ZXR7wi87ZBZRt0hm
#управление
Дзен | Статьи
Обратная сторона сверхмотивации
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: …А ты был неправ, ты все спалил за час,… Машина времени. Костер … и жизнь разбивает все надежды и мечты Ария.
🔥7👍6
14 декабря 2023, мой коллега и друг, Игорь Таланкин, выдающийся инженер, сертифицированный этичный хакер, технический эксперт по SIEM, дает вебинар по разработке плейбуков. Игорь не является звездой Youtube и на конференциях его встретишь нечасто, но, будучи основным контрибьютором контента по умолчанию KUMA, и экспертом в нашем подразделении SOC Consulting, на счету которого уже десятки успешных проектов по построению различных SOC, от корпоративных до государственных CSIRT, по всему миру, как на стеке ЛК, так и на мировых брендах, Игорю точно есть что рассказать по теме.
Регистрируйтесь: https://go.kaspersky.com/ru-playbooks-webinar
Регистрируйтесь: https://go.kaspersky.com/ru-playbooks-webinar
🔥16👍7
В детстве, да, наверно, и сейчас я любил историю, как школьный предмет, так и чтение исторических романов. История позволяет лучше понимать и искусство, так как, например, живопись следует обязательно рассматривать в контексте не только замысла автора, но и времени написания.
Но самое главное, что зачастую знание истории позволяет нам лучше понимать происходящее сейчас и более точно предсказывать будущее, так как современность очень часто находит свое отражение в прошлом, а корневые причины нашей с вами действительности абсолютно точно можно найти изучая исторические события.
Сегодня хочу вам порекомендовать цикл историчских романов Дмитрия Михайловича Балашова "Государи Московские". Цикл содержит подробнейшее ее описание русского снедневековья, начиная от смерти Александра Невского (1263) и правления его младшего сына Даниила, аж до Василия Дмитриевича (до 1425), старшего сына Дмитрия Донского. Этот фундаментальный труд автор писал с 1975 по 2000!
Именно в это время происходило становление российской государственности, закладывался фундамент взаимоотношений со странами Запада, и многие текущие проблемы и особенности российской внешней политики имеют корни там, и на многие текущие вопросы там можно найти ответ.
А история у меня с этим связана достаточно веселая. В среднем школьном возрасте я провел много счастливых часов с "Проклятыми королями" Мориса Дрюона. В отличие от Дюма, он не "модифицировал" исторические факты ради художественной ценности, и многие интересные моменты, вычитанные в его книжках, при проверке оказывались правдой. Так вот, покончив со всеми 7-ю книжками серии, во мне проснулась неловкость, что нехорошо мне, русскому человеку, зачитываться французской историей, и достаточно посредственно знать свою собственную. Тут-то ко мне и попала серия книг Балашова, благо, мой папа его сильно любил, и все 8 книг у нас нашлись! С точки зрения литературной ценности Балашова я ставлю выше (может, если бы я читал Дрюона в оригинале...), но невозможно переоценить значимость "Государей московских" для знания и понимания нашей культуры, обычаев, менталитета, государственности, особенностей внешней и внутренней политики. Учить историю по качественной художественной литературе - замечательное времяпровождение!
#книги
Но самое главное, что зачастую знание истории позволяет нам лучше понимать происходящее сейчас и более точно предсказывать будущее, так как современность очень часто находит свое отражение в прошлом, а корневые причины нашей с вами действительности абсолютно точно можно найти изучая исторические события.
Сегодня хочу вам порекомендовать цикл историчских романов Дмитрия Михайловича Балашова "Государи Московские". Цикл содержит подробнейшее ее описание русского снедневековья, начиная от смерти Александра Невского (1263) и правления его младшего сына Даниила, аж до Василия Дмитриевича (до 1425), старшего сына Дмитрия Донского. Этот фундаментальный труд автор писал с 1975 по 2000!
Именно в это время происходило становление российской государственности, закладывался фундамент взаимоотношений со странами Запада, и многие текущие проблемы и особенности российской внешней политики имеют корни там, и на многие текущие вопросы там можно найти ответ.
А история у меня с этим связана достаточно веселая. В среднем школьном возрасте я провел много счастливых часов с "Проклятыми королями" Мориса Дрюона. В отличие от Дюма, он не "модифицировал" исторические факты ради художественной ценности, и многие интересные моменты, вычитанные в его книжках, при проверке оказывались правдой. Так вот, покончив со всеми 7-ю книжками серии, во мне проснулась неловкость, что нехорошо мне, русскому человеку, зачитываться французской историей, и достаточно посредственно знать свою собственную. Тут-то ко мне и попала серия книг Балашова, благо, мой папа его сильно любил, и все 8 книг у нас нашлись! С точки зрения литературной ценности Балашова я ставлю выше (может, если бы я читал Дрюона в оригинале...), но невозможно переоценить значимость "Государей московских" для знания и понимания нашей культуры, обычаев, менталитета, государственности, особенностей внешней и внутренней политики. Учить историю по качественной художественной литературе - замечательное времяпровождение!
#книги
Wikipedia
Государи Московские
цикл исторических романов Дмитрия Балашова
👍9
Уже сегодня мой коллега Константин Сапронов в замечательной компании
https://t.iss.one/anti_malware/16404
https://t.iss.one/anti_malware/16404
👍6