Все кинулись в эзотерику, символизм, нумеристику, пытаются находить взаимосвязи событий и на их основе делать всякого рода выводы и прогнозы .... Попробуем быть в тренде и мы.

Памятник Ф.Э. Дзержинскому в Кисловодске расположен в туристической зоне: здесь недалеко до Каскадной лестницы в Национальный парк, соседние улицы - пешеходный проспект Ленина, также ведущий в Парк, ул. Герцена - самая дорогая улица в городе... Вокруг памятника всегда толпы туристов, а одноименная улица в районе памятника жестко запаркована автобусами и прочим экскурсионным транспортом.

Сам постоянно прохожу и проезжаю мимо, но только недавно я догадался до секрета столь повышенного, может, и неосознанного, внимания к персоне Феликса Эдмундовича: в его годах жизни представлены коды регионов - Ставропольского края (26) и Москвы (77) - согласитесь, это не случайно!

#пятница

Ребята из РТ упорядочили контент PHD2, так намного удобнее выбрать по интересам

Операционка Windows даёт возможность зарегистрировать как службу исполняемый файл или скрипт для закрепления в системе и обеспечить стабильность восстановления в случае его завершения. Но не только добрые IT-специалисты пользуются этим удобством.

Злоумышленники в своих атаках применяют для решения этой задачи легитимные утилиты, например NSSM, SRVANY из набора Microsoft Windows Resource Kit, или SRVANY-NG. Эти утилиты регистрируются в системе в качестве сервиса и берут на себя роль управления запуском, привилегиями, зависимостями и восстановлением исполняемого файла. А ещё эти утилиты позволяют скрыть целевой исполняемый файл или выполняемую команду в событии создания службы в журналах Windows — чтобы обойти детектирование со стороны SOC.

Как же их детектировать? Нужно мониторить не только события создания сервисов, но и ключи реестра, связанные с параметрами сервисов. Подробности — в статье Дмитрия Лифанова.

27 июня в гостях у Бизонов буду погружаться в контейнеры и Кубер. Кто будет, увидимся!

Что бы кто ни говорил об анализе рисков, при всех его минусах, альтернативы нет. А вообще, вся наша жизнь - это управление рисками. Интересно, что об этом расскажут коллеги, запланировал посмотреть. В записи - уж точно!

#vCISO

Психология так устроена, что мы лучше относимся к тому, что понимаем глубже. Поэтому, чтобы технологии внушали доверие, о них надо рассказывать - это и улучшит понимание (повысит доверие), а также может быть полезно для коллег по индустрии, может, они черпнут какие-то идеи для себя, а, может, в комментариях посоветуют что-то важное... Все мы в какой-то степени кузнецы своего счастья, так давайте будем ковать общее счастье вместе!

Для того, чтобы нам обсуждать Detection engineering в MDR нам надо понимать что мы вкладываем в понятия "хант", "событие", "алерт", "инцидент" и т.п.. Мы много про это говорим, но какого-то материала, на который можно было бы сослаться, я не нашел, поэтому подготовил соответствующую статью. Есть некоторая неуверенность, что я ничего незабыл, поэму не исключая возможность ее обновлений и дополнений.

Продолжение следует...

#MDR

Вопрос о том с чего начать новому CISO всегда интересен, я и сам много об этом писал, аж с 2014-ого года.

Очевидно, начать надо с аудита, но на что обратить внимание в первую очередь - есть варианты. Нам всегда проще выбирать то, что нам подходит, из какого-либо каталога (например, когда я работал архитектором безопасности в ИТ-проектах, я очень любил 53-ий NIST, поскольку это как раз и есть каталог контролей, из которого можно уже выбирать то, что мне релевантно). Поэтому полезно иметь множество различных взглядов на наиболее приоритетные направления, а уже стоя на плечах гигантов, нам будет проще составить программу самооценки.

Вот, ребята из Бизон продвигали свои услуги по аудиту. На мой взгляд из них (презентация во вложении, есть запись) вполне можно надергать идей для составления собственной программы self-assessment-а пришедшему в поле CISO.

Единственное, что я бы добавил - это получение некоторой уверенности в том, что в сети нет альтернативной жизни (а то знаете ли, если я занимаюсь профилактикой и веду ЗОЖ, это не значит, что я абсолютно здоров и нет необходимости в периодической диспансеризации). В этом поможет Compromise Assessment.

В таком случае, вроде, все сценарии покрыты:
- если нас будут ломать, то как? - расскажет пентест (или Security Assessment в общем случае)
- если нас уже сломали, то где они? - расскажет Compromise Assessment
- насколько у нас хорошо с профилактикой компьютерных атак? - поможет Compliance audit процессов на соответствие любимыми бестпрактисам

#vCISO

Вот какую мысль хочется обсудить в пятницу, о регуляторке и качестве сервиса. В общем случае compliance - хорошая тема, много где это представляет собой тот самый "волшебный пинок" которого не хватает, чтобы заставить инвестировать в безопасность какие-либо ресурсы.

Однако, если результат работ, чтобы не быть голословным, возьмем Security Assessment или Compromise Assessment, требуется для выполнения требований регулятора, заказчик будет заинтересован, очевидно, в выполнении требований регулятора! Получаем, что тогда как в нормальной жизни любой Assessment - это только начало, с точки зрения заказчика, выполняющего требования регулятора - это должно быть окончание: анализ проведен, вот отчет, требования выполнены.

Но только надо, чтобы отчет не содержал серьезных недочетов. Заказчик может потребовать (кто заказывает музыку, тот и танцует!) от поставщика убрать из отчета все, что может его как-то компрометировать перед регулятором (какие-либо уязвимости, найденные на проекте SA, вызванные плохой работой подразделения ИБ, или какие-либо инциденты, найденные на проекте CA, опять же пропущенные, ввиду инфантильности операционной ИБ). Но нормальный поставщик на подобную модификацию отчета никогда не согласится... и тут наш заказчик будет вынужден работать с "плохими" поставщиками, которые либо напишут в отчете все, что попросит заказчик, либо ничего не найдут в ходе своих работ, что с точки зрения результата - одно и то же.

В итоге мы получаем традиционную оборотную сторону: требования регуляторов создают почву для возникновения "плохих" поставщиков. Следует заметить, что с такими поставщиками очень сложно конкурировать, поскольку квалификация исполнителей там не важна, а, следовательно, невысока и себестоимость. Да и спрос на "сговорчивых" поставщиков, тоже есть, так как хочется, провести assessment и закрыть тему, и не думать о том, что любой assessment - это только начало

#vCISO #пятница

Борьба с ложными срабатываниями - залог повышения эффективности функционирования SOC. Работа эта бесконечна и никакие новые методы ее ведения не будут лишними. Метод, лежащий на поверхности - анализ комбинаций, которым мы открываем серию статей о Detection Engineering в рамках MDR. Первая публикация о статье была в канале нашего подразделения Security Services, подписывайтесь на канал и будете в курсе не только о том, что у происходит у нас в Defensive, но также что там у ребят из Offensive, у них там не менее интересно. Также привожу прямую ссылку на статью.

В целом, такой анализ комбинаций интересно посмотреть и в разрезе конкретных эндпоинтов, можно и ML-ку потренировать на таком анализе....

В общем, продолжение следует....

#MDR

Отличный пример того, как оседлать инфоповод: статья ни о чем, приведенные запросы Managed Threat Hunting - поиск уязвимых версий sshd (не самая подходящая задача для MDR 😂. )

Выводы: либо Полупальто не смогло воспользоваться готовым сплитом, либо аномалий для детекта по их телеметрии нет.

Раз уж пишу заметку, дам ссылку на оригинальную статью:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
Ссылку на сплоит не буду выкладывать, он успел разбежаться по GitHub, ищи да обрящешь...

От себя добавлю, что 1) попытки поймать race condition в обработке сигнала в телеметрии будет выглядеть как, очевидно, множественные (ооочень много!) отправки сигналов от sshd к sshd, однако это не точный признак и сильно фолсит в определенных сценариях, 2) в логах sshd при попытках удалённой эксплуатации (именно этот сценарий в доступном на GitHub сплоите) будут таймауты - что-то типа «Timeout before authentication».

А вообще, завести даже готовый сплоит - непростая задача, к тому же, он только под х32, коих уже нигде нет, а по x64, складывается ощущение, и сами авторы не проэксплуатировали

#mdr

На мероприятии меня заинтересовали несколько докладов с которыми я запланировал познакомиться поближе. Делюсь.

Когда твои идеи повторяют - это замечательно! Особенно, когда это делают спустя несклько лет

Как минимум, это означает, что когда-то принятые решения были верны и сохраняют свою актуальность, эффективность и результативность на горизонте многих лет. Кроме того, очень приятно ощущать себя лидером рынка, задающим направления исследований, и что уже новые идеи и разработки идеологически основываются на том, к чему когда-то был причастен.

Автоаналиитка придумали в 2018, и, ЕМНИП, уже в 2020 году он был уже на проде. О нем много написано, коллеги по индустрии снабдили его новыми замечательными идеями (некоторые мы проверяли на старте, но они тогда не дали результата, а после доклада появилась мотивация их проверить заново), но заметка сегодня не о том.

Эффективность работы Автоаналитика определяется качеством организации процессов работы команды SOC. Все очень просто: Автоаналитик обучается на решениях, принимаемых командой SOC. Если разные аналитики триажат схожие алерты по-разному, то Автоаналитик неправильно обучится и будет ошибаться, а в каких-то сценариях от него, напротив, будет только вред. Есть масса спорных сценариев, где аналитику SOC все понятно и, вроде как, можно было бы и забить, сэкономить время, однако, надо обязательно оформить все в соответствии с процедурами, в том числе и потому, что Автоаналитик может "обучиться плохому", ибо он не "мыслит" в категориях "и так все понятно" и "можно забить".

Все любят гордиться достижениями своих операционных процессов, однако, это непросто проверить, как оно на самом деле. Вот вам косвенный инструмент - эффективность работы ML-моделей, обучающихся на данных из операционных процессов работы аналитиков: чем четче и корректней работает команда SOC, тем выше результативность этих ML-моделей.

Как наши дети - отражение нас, так и наши ML-помощники отражают насколько мы хорошо работаем на самом деле.

#MDR

Мы живем в эпоху утечек. Сам подписал на несколько каналов, где публикуются утечки, в некоторых из них находил себя по номеру телефона...

Но проблема не только в том, что внешние злоумышленники ломают сети и воруют данные! Который раз самостоятельно замечаю, что всегда, когда я беру ипотеку или покупаю страховку, об этом волшебным образом узнают разные мутные люди, которые начинают мне названивать как с целью предложить "лучшие условия", так и просто мошенники представляющиеся "сотрудниками мобильного оператора", "майорами ФСБ или МВД", "сотрудниками банка" и прочими-прочими. Из чего делается неутешительный вывод, что сотрудники воруют данных не меньше, чем внешние злоумышленники. Но об этом порассуждаем как-нибудь потом, а пока вернемся к внешним атакующим.

Есть такие специализированные системы, DLP. Работая в заказчике, я изучал этот вопрос, занимался выбором подходящего решения, о чем написано несколько статей в старом блоге: раз, два, три. Однако, некий скепсис в эффективности DLP, как технологического решения организационной проблемы, у меня до сих пор сохранился. Вот и сейчас мне интересно: в тех компаниях, у кого фиксировались утечки, использовались DLP? Насколько эффективно они сработали? А если утечка произошла, проводился ли какой-либо анализ, что помешало DLP выполнить единственную свою задачу и предотвратить утечку?

Если есть подобные исследования\разборы Lessons learned или хотя бы маркетинговые листовки о том, как какое-либо решение DLP предотвращает утечки на примере какой-то фактической утечки, пожалуйста, дайте ссылки в комментариях. Буду очень благодарен.

#vCISO

Какое-то время назад мой знакомый Миша у себя в канале опубликовал список книг по невербальной коммуникации. Я не очень верю в эффективность всяких коучей личностного роста (тем более, эзотериков), однако, книжки по психологии, коммуникациям и, связанными с этим, манипулятивным техникам, и даже, было дело, гипнозу, я частенько почитываю, а также уверен в важности невербального общения, о чем рассуждал здесь (ну, конечно, без перегибов 😂). Поэтому списочек книг из Мишиной диссертации для себя прикопал. Делюсь и с вами.

#саморазвитие #книги

Только вчера мы коснулись темы утечек, DLP и мошенников, а сегодня ЦБ расширил список признаков мошеннических операций. Любопытно, что в двух словах новые признаки можно пересказать так: если раньше одна из сторон была поймана на мошенничестве, то это признак того, что она и сейчас мошенничает. Полностью согласен с ЦБ: не надо наступать дважды на те же грабли, а если кто-то уже наступил, надо предостеречь остальных!

Ну а если серьезно, то в моём понимании ФинСерт-у как раз и стоит сфокусироваться именно на мошенничестве и прочих схемах, завязанных именно на банковскую специфику, а блокировать MD5-ки новых образцов ВПО можно сохранить за специализированными вендорами. Фокусировка усилий - залог успеха, и фокусироваться надо туда, где иные участники ничего не делают. Например, антивирусные вендоры едва ли погружаются в схемы мошенничества, но в борьбе с техниками и инструментами атакующих они точно эффективнее, чем движок на основе ВПО-фида ФинСерт). Отраслевым SOC с вендорами и внутренними командами надо строить гибридную модель, тогда у каждого получится занимать тем, где он наиболее осведомлен и результативен.

#vCISO

Если у вас есть интересные исследования, то рекомендую воспользоваться возможностью посетить SAS2024.

Отличные организация, место проведения и общение гарантируются!