32. Новая цель. Как объединить бережливое производство, шесть сигм и теорию ограничений. Джефф Кокс, Ди Джейкоб, Сьюзан Бергланд
33. Гении и аутсайдеры. Почему одним все, а другим ничего? Малкольм Гладуэлл
34. Управление бизнес-процессами. Практическое руководство по успешной реализации проектов. Джон Джестон, Йохан Нелис
35. Как гибнут великие. И почему некоторые компании никогда не сдаются. Джим Коллинз
36. Командный подход. Создание высокоэффективной организации. Джон Катценбах, Дуглас Смит
37. Поток. Психология оптимального переживания. Михай Чиксентмихайи
38. Богатство семьи. Как сохранить в семье человеческий, интеллектуальный и финансовый капиталы. Джеймс Хьюз-мл.
39. Лидер без титула. Современная притча об истинном успехе в жизни и бизнесе. Робин Шарма
40. Победить с помощью инноваций. Практическое руководство по изменению и обновлению организации. Майкл Ташмен, Чарльз О’Райли III
41. Мегапроекты. История недостроев, перерасходов и прочих рисков строительства. Бент Фливбьорг, Нильс Брузелиус, Вернер Ротенгаттер
42. Больше, чем эффективность. Как самые успешные компании сохраняют лидерство на рынке. Скотт Келлер, Колин Прайс
43. Умение слушать. Ключевой навык менеджера. Бернард Феррари
44. Жизнь на полной мощности. Управление энергией – ключ к высокой эффективности, здоровью и счастью. Джим Лоэр, Тони Шварц
45. Сила воли. Как развить и укрепить. Келли Макгонигал
46. Великие по собственному выбору. Джим Коллинз, Мортен Хансен
47. На этот раз все будет иначе. Восемь столетий финансового безрассудства. Кармен М. Рейнхарт, Кеннет С. Рогофф
48. Искусство системного мышления. Необходимые знания о системах и творческом подходе к решению проблем. Джозеф О’Коннор, Иан Макдермотт
49. Банк 3.0. Почему сегодня банк – это не то, куда вы ходите, а то, что вы делаете. Бретт Кинг
50. Ускорение перемен. Джон П. Коттер
51. Почему одни страны богатые, а другие бедные. Происхождение власти, процветания и нищеты. Дарон Аджемоглу, Джеймс А. Робинсон
52. Будущее разума. Митио Каку
53. Как работает Google. Эрик Шмидт, Джонатан Розенберг
54. Принцип пирамиды Минто. Золотые правила мышления, делового письма и устных выступлений. Барбара Минто
55. Практическая мудрость. Правильный путь к правильным поступкам. Барри Шварц, Кеннет Шарп
56. Креативная компания. Как управлять командой творческих людей. Эд Кэтмелл, Эми Уоллес
57. Прыгни выше головы! 20 привычек, от которых нужно отказаться, чтобы покорить вершину успеха. Маршалл Голдсмит
58. Просто о больших данных. Джудит Гурвиц, Алан Ньюджент, Ферн Халпер, Марсия Кауфман
59. Кратко. Ясно. Просто. Алан Сигел, Айрин Этцкорн
60. Scrum. Революционный метод управления проектами. Джефф Сазерленд
61. Взаимодействие в команде. Как организации учатся, создают инновации и конкурируют в экономике знаний. Эми Эдмондсон
62. Эффективное правительство для нового века. Реформирование государственного управления в современном мире. Раби Абучакра, Мишель Хури
63. Четвертая промышленная революция. Клаус Шваб
64. Умные граждане – умное государство. Экспертные технологии и будущее государственного управления. Бет Симон Новек
65. Открывая организации будущего. Фредерик Лалу
66. Позитивная организация. Освобождение от стереотипов, принуждения, консерватизма. Роберт Куинн
67. Выбирать сильнейших. Как лидеру принимать решения о людях. Клаудио Фернандес-Араос
68. Сердце компании. Почему организационное здоровье определяет успех в бизнесе. Патрик Ленсиони
69. Блокчейн. Схема новой экономики. Мелани Свон
70. Университет третьего поколения. Управление университетом в переходный период. Йохан Г. Виссема
71. Huawei. Лидерство, корпоративная культура, открытость. Тянь Тао, Давид де Кремер, У Чуньбо
72. Ищи в себе. Неожиданный путь к достижению успеха, счастья и мира во всем мире. Тан Чад-Мень
73. Отношение определяет результат. Дов Сайдман
74. Синдром «шахты». Как преодолеть разобщенность в жизни и обществе. Джиллиан Тетт
75. Бережливые инновации. Как делать лучше меньшим. Нави Раджу, Джайдип Прабху
76. Просто об Agile. Марк Лейтон, Стивен Остермиллер
77. Введение в критическое мышление и теорию креативности. Джо Лау

78. Семь этюдов по физике. Карло Ровелли
79. Лидер и племя. Пять уровней корпоративной культуры. Дэйв Логан, Джон Кинг, Хэли Фишер-Райт
80. Технологии Четвертой промышленной революции. Клаус Шваб
81. Мои годы в General Motors. Альфред Слоун
82. Конец традиционной власти. Армия и церковь, корпорация и государство: что изменилось в управлении ими. Мойзес Наим
83. Действуй как лидер, думай как лидер. Эрминия Ибарра
84. Эмоциональная гибкость лидера. Как soft-навыки позволяют достигать высоких результатов. Керри Флеминг
85. Принципы. Жизнь и работа. Рэй Далио
86. Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему. Джин Ким, Кевин Бер, Джордж Спаффорд
87. Банковский менеджмент, ориентированный на доход. Измерение доходности и риска в банковском бизнесе. Хеннер Ширенбек, Михаэль Листер, Штефан Кирмсе
88. Талант побеждает. О новом подходе в реализации HR-потенциала. Рэм Чаран, Доминик Бартон, Деннис Кэри
89. 21 урок для XXI века. Юваль Ной Харари
90. Как сохранить здравый ум. Филиппа Перри
91. Agile. Майк Кон
92. Платформа. Практическое применение революционной бизнес-модели. Алекс Моазед, Николас Джонсон
93. Цифровая трансформация Китая. Опыт преобразования инфраструктуры национальной экономики. Ма Хуатэн, Мэн Чжаоли, Ян Дели, Ван Хуалей
94. Цифровая трансформация бизнеса. Питер Вайл, Стефани Ворнер
95. Как жаль, что мои родители об этом не знали (и как повезло моим детям, что теперь об этом знаю я). Филиппа Перри
96. Безграничный разум. Учиться, учить и жить без ограничений. Джо Боулер
97. Сила в спокойствии. Достижение гармонии с помощью трансцендентальной медитации. Боб Рот
98. Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании. Эллисон Сэрра
99. От носорога к единорогу. Как провести компанию через трансформацию в цифровую эпоху и избежать смертельных ловушек. Виктор Орловский, Владимир Коровкин

#саморазвитие

Контроли ИБ - это инструменты CISO для управления рисками ИБ. Рисками можно управлять по-разному - можно принять и ничего не делать, можно и застраховаться, но наиболее частый сценарий - снижение ущерба, тут мы и используем контроли (security controls, наиболее полный, на мой взгляд, каталог контролей NIST SP 800-53)
Котролей можно придумать великое множество - это и какие-то специализированные средства, типа EPP-EDR, какие-то внутренние бизнес-процессы, типа контроля доступа и т.п. Все делать самому невозможно и, наверно, неразумно (аутсорсинг - критерий зрелости рынка предложений), поэтому проведя анализ CISO совместно с Бизнесом и ИТ принимают решение что делать самим, а что купить в виде услуги. Любое предложение MSSP - это такой же контоль безопасности, как межсетевой экран или сканер уязвимостей.

Для любого контроля безопасности принципиально понимать логичную последовательность: сначала возникает проблема\риск, а затем их влияние минимизируются контролями. Покупать контроли впрок - дело неблагодарное, так как при отсутствии потребности нет возможности понять критерии успеха контроля, без чего невозможно оценить эффективность и результативность контроля, не говоря уже о каких-либо производных, типа ROI. Итак, сначала потребность, затем - контроль, а не наоборот. Я согласен с тем, что надо объяснять необходимость тех или иных контролей, но это уходит в плоскость маркетинга\рекламы и образовательных программ, для меня же, работающего в R&D и отвечающего за delivery, мир устроен именно так: если CISO не видит потребность в контроле, значит у него нет проблемы, которую контроль адресует, а значит ему контроль не нужен. Ну а доказывать необходимость контроля тоже может оказаться невежеством, поскольку я не на месте CISO и не располагаю достаточной информацией: может, для него весь риск, который адресуется контролем - нематериален, может, CISO внедрил множество других превентивных (и риски, адресуемые предлагаемыми мною контролями, не реализуются или не принесут ущерба) или компенсирующих контролей, а может, посмотрев на историю с Crowdstrike, CISO решил, что ущерб от выхода из стороя СЗИ в его случае значительно превышает потенциальный ущерб взлома.

С учетом сказанного, вопросы типа зачем мне MDR если у меня есть EPP, меня ставят в тупик: если есть ощущение, что EPP закрывает все сценарии атак и чего-то большего не требуется - это, вполне себе, позиция. Но на всякий случай я обычно рекомендую провести пентест и посмотреть сколько времени потребуется аудиторам для обхода EPP...

#vCISO #пятница

Дорогие мои подписчики!

Уже буквально через несколько часов поезд Москва-Мурманск увезет меня до станции Апатиты 1, откуда начнется мой поход - сплав по реке Умба. Нас 12 человек, мы идем на 3-х каяках, двух катах-двушках и одном кате-четверке. Не ожидаю, что во время путешествия будет связь, поэтому писать не смогу, но:
- постараюсь вести небольшой дневник, которым, если там будет что-то интересное, обязательно поделюсь
- запишу тренировки Рафтинг, поэтому, кто следит за мной в Strava, маршрут сможет отследить там

Пока делюсь с вами видео, где товарищ идет практически тем же маршрутом, а в комментарии к этой заметке приложу одно из описаний маршрута от других туристов.

#здоровье

Для тех, кто не любит смотреть видео, предпочитает читать статьи, по мотивам этого доклада вышла статья на Хабре:

https://habr.com/p/833260/

#mdr #phd2

Сегодня в поезде Мурманск - Москва, изучал интересный подход к обеспечению ИБ - Automated Moving Target Defense (AMTD).

Традиционно, мы превентивно управляем угрозами путем сокращения поверхности потенциальной атаки: выключаем все лишние службы и блокируем все ненужные сетевые взаимодействия, следуя принципу минимума полномочий, управляем уязвимостями, реализуем эшелонированный подход, чтобы атакующему требовалось как можно больше шагов/времени до получения кочей от королевства... Но можно делать и кое-что ещё: можно динамически менять поверхности атаки, чтобы компрометируемая система менялась быстрее, чем атакующий может найти, спланировать и реализовать сценарий компрометации. Первое попавшееся более-менее полное описание привожу.

Идея кажется не новой, поскольку ASLR существует с начала 2000-х , однако широкого распространения, как части EPP/XDR, подход пока не получил (ну или я что-то не знаю, напишите в комментариях), хотя коллеги по индустрии на этом бодро хайпуют, рассказывая о давно уже неновых технологиях, и даже не особо релевантных, типа Adaptive Protection, что может создать у читателя немного некорректное мнение о AMTD.

Самые эффективные механизмы защиты - встроенные, навесные работают несравненно хуже и нередко расширяют поверхность атаки (хотя, любой новый функционал расширяет поверхность атаки). Я уже рассуждал о нативной поддержке эшелонированности и принципа минимума полномочий в контейнерных средах, вот и сейчас задумался о том что динамическая природа контейнеров прекрасно сочетается с AMTD.

#mdr

В 1861 году в Карлсруэ Дмитрий Иванович Менделеев презентовал свой Периодический закон, который всем известен в своем представлении в виде Таблицы Менделеева. Таблица - отличный инструмент систематизации информации, позволяющий увидеть ситуацию всю и сразу, "сверху", с "высоты птичьего полета". В итоге мы получили возможность предсказывать отсутствующие на момент ее составления химические элементы, что мы и наблюдали упражняясь, например, с радиактивными веществами, получая новые химические элементы и находя для них пустующую клеточку в Таблице Д.И. Менделеева.

Таблички также любил и Эдгар Кодд, предложивший в 1985 году правила, послужившие основой для реляционных баз данных, где главный элемент представления данных - таблица. В таблицах реляционных БД можно более-менее оптимально (без дублирования) хранить связанные данные.

Где-то в 2013 свою таблицу ATT&CK предложила MTRE, и она тоже всем понравилась, за счет все тех же возможностей по систематизации всего сразу в одном месте: ранее разрозненные знания были собраны в одно представление, этим стало удобно пользоваться.

Сейчас, когда атаки с использованием генеративных ИИ на подъеме назрела необходимость их систематизации. И вот, на мой взгляд, неплохая попытка это сделать - Generative AI Misuse: A Taxonomy of Tactics and Insights from Real-World Data.
Не могу профессионально судить (машобуч и ИИ для меня, скорее, увлечение) насколько качественно авторы проработали вопрос, но, как минимум, почитать, потыкать ссылки на реальные примеры, очень даже небесполезно. В перспективе, думаю, будет еще много подобных попыток систематизации, пока какие-нибудь MITRE или NIST не сделают самый правильный вариант.

#ml

Есть такая старая атака, когда провоцируется аутентефикация учетной записи с мощными полномочиями на скомпрометированном ресурсе, и таким образом перехватывается аутентификационный материал. Такой сценарий я использовал для машинки Querier на HTB, когда запускал xp_dirtree на свой респондер и перехватывал Net-NTLMv2 от сервисной учетной записи SQL Server. В одной из лабораторок курса Security operations and threat hunting, мы также перехватывали Net-NTLMv2, а затем хантили этот сценарий.

Похожая схема - когда злоумышленник компрометирует рабочую станцию пользователя или сервер и провоцирует подключение к ней админа, например, для какого-либо обслуживания. В начале 2000-х, когда я работал в заказчике на одном из пентестов был именно этот сценарий: подломили сервер, запустили там WCE и ждали, когда придет админ починить (а чтобы он пришел быстрее - опускали и поднимали продуктивные службы). Пришел аж админ домена...

Противостоять таким сценариям пытаются "широкими" ограничениям, типа, заводятся учетки с правами "Админ на серверах", "Админ на пользовательских АРМ" и т.п. Но такая схема тоже так себе, поскольку мне, будучи админом на своем АРМ совсем несложно стать админом на всех пользовательских АРМ, просто пригласив ко мне хелпдеск. Ну и, конечно же, это может быть выполнено и без моего ведома, если моя рабочая станция подломана.

Что же с этим делать? Решение здесь, вроде, простое, но не очень удобное: ходить на систему с полномочиями только на эту систему. Т.е., чтобы при входе на подломанную систему не происходило расширение полномочий. Технически это может быть сделано через вход с помощью специального локального адамина со сменой его пароля после каждой сессии, или через динамическое назначение полномочий непосредственно при входе. Модные PAM это все умеют.

Ну а тогда, в начале 2000-х, получив такой сценарий повышения через вход админа на подломанный пользовательский десктоп, мы написали небольшую систему, которая постоянно ходила по десктопам и меняла пароли локальных админов, а при необходимости подключения, авторизованный индивид заходил на Web-страничку, указывал имя десктопа и получал текущий пароль локального админа, от которого он далее мог производить свои работы по обслуживанию. Позднее, MS выпустила свой LAPS и необходимость в нашей небольшой самописке отпала.

А как ваши админы и хелпдеск подключаются к системам, чтобы их поадминистрировать?

#vCISO

Профессиональная этика

Истинный профессионал всегда этичен в работе, а этичность действий вообще - один из весомых критериев профессионализма. Именно поэтому изучающие боевые искусства изучают и этические моменты, типа как не применять свои умения против неравного противника, а в объеме знаний CISSP целый домен посвящен именно этике. Профессиональный offensive-эксперт, этичный хакер, тоже должен быть этичен, и грань эта проходит как раз там, где одновременно и достигаются цели анализа защищенности, и минимизируется побочка для клиента. Для понимания, вот лишь несколько примеров:
- этичный хакер работает в рамках согласованного объема работ, не ломает системы за рамками,
- не дампит весь домен, а не более того, что требуется для дальнейшего развития атаки в частности, и достижения целей анализа вообще
- получив высокие полномочия не шарится по персональным файлам пользователей, не читает их почту, соцсети
- не заливает шеллы без паролей (тем более, доступные из Интернета), а после окончания работ все внимательнейшим образом вычищает (отчасти для этого все действия должны документироваться), работы аудиторов не должны приводить к расширению поверхности атаки
- строго следует правилам игры, например, если мы играем в Red teaming и аудитора поймали за руку и уточняют детали, он не врет
- и многое-многое другое...

Отсутствие этики в действиях равносильно отсутсвию профессионализма.

В истории есть масса примеров, когда много шума и бесчеловечность скрывали отсутствие базы.
Например, в XIII веке, быстрое продвижение монголо-татарских завоевателей объяснялось отчасти как раз не тем, что они выдающиеся воины, а тем, что русские доселе не видели такой жестокости и пребывали в некотором шоке. Именно поэтому небезызвестный Евпатий Коловрат с "малою дружиною" профессиональных военных вполне себе эффективно и результативно крошил во много раз превосходящие силы врага. Как известно, монголы так ничего и не смогли сделать с неболшим войском Евпатия, в итоге их закидали камнями из катапульт и осадных орудий, с которыми монголы успели к тому времени ознакомиться в Китае.

Как видите, чрезмерная жестокость, и неэтичность в общем случае идут рука об руку с непрофессионализмом.
А профессионал, напротив, как правило, поступает этично.

#управление #история

Инструменты рансомварщиков - https://github.com/BushidoUK/Ransomware-Tool-Matrix/blob/main/Tools/AllTools.csv

Мне репозиторий показался полезным, как минимум, для того, что он содержит список инструментов, использование которых полезно в телеметрии размечать, а если они не используются в сети легально, то это вполне себе хороший индикатор.

Что сразу бросилось в глаза:
- очень немного LOLbins-ов, подавляющее большинство - специализированные инструменты, использование которых нечасто встречается в рамках ИТ-сопровождения, тем более, в ходе работы обычного пользователя
- самые длинные столбики у RMM, Credential Theft и Discovery. Credential Theft - надо просто все блокировать с алертом на попытку использования, даже более-менее легальные procdump и nirsoft на офисных компах смотрятся крайне подозрительно. Если же требуется какое-либо использование утилит из списка, надо четко определить их список и регламент использования: кто, когда, при каких условиях. Аналогично с легализованными в компании RMM, остальные - блокировать, а попытки использования отстреливать алертами. Про Discovery много писал, но здесь помогут канарейки, трогание которых создает алерты, ну или смотреть комбинации, как правило, атакующий дискаверит более активно, чем ИТ траблшутит, да и скоуп, обычно, разный. Но ради справедливости стоит отметить, что, без хорошего situational awareness обнаруживать Discovery с допустимым уровнем фолсы непросто.

Если будут еще какие-либо интересные наблюдения по репозиторию, пишите в комментариях. Много и лишних знаний не бывает!

#MDR

Мы стараемся регулярно делать упражнения, а, может, даже и заниматься спортом, чтобы сохранять физическую форму. Для меня это еще и способ отдохнуть (мы отдыхаем переключаясь на совсем другие занятия), так как любые физические нагрузки - отличная альтернатива моей сидячей работе... но об этом как-нибудь в другой раз..
Обнаруживать и расследовать атаки, а также отрабатывать взаимодействие разных команд при реагировании на инциденты тоже надо тренировать! Continuous red teaming или что-то вроде "непрерывного анализа защищенности" - отличный инструмент для этого. Но, как любой другой отличный инструмент, при неправильном использовании несет новые риски. В частности, внутренний анализ защищенности может интерферировать с реальной атакой, и это негативно влияет на расследование атаки. Для минимизации рисков внутренние анализы защищенности надо немного подрегулировать - порассуждал об этом в новой замете и предложил некоторые пункты в Регламент проведения внутренних анализов защищенности. Как обычно, обратная связь приветствуется в комментариях!

#MDR #vCISO

Социалочка на сообщения

Последнее время сильно повысилась интенсивность разводов, когда звонят:
– товарищи майоры с просьбой помочь в расследовании,
– сотрудники операторов связи с просьбой продлить договор,
– сотрудники [центро]банка с информацией, что со счетов воруют деньги
– ...
Часто цель – вынудить перевести деньги злоумышленникам, или получить доступ куда-то, обычно, в онлайн-банк, или в Госуслуги. Как правило, такие операции защищаются вторым фактором, поэтому злоумышленник просит сообщить ему код из SMS. При этом, факт того, что злоумышленник знает, что сейчас должно прийти сообщение, сам по себе является немаловажным фактором убедительности просьбы злоумышленника и легитимизации всей ситуации. Не смотря на многообразие объяснений и обоснований мошенника, финальная фраза просьбы обычно звучит примерно так: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста».

Казалось бы для защиты от подобных сценариев развода достаточно выработать простое правило: «Никогда никому не сообщайте свои коды из SMS», что, в целом, выглядело бы логично, так как SMS – это наш одноразовый пароль, а понимать то, что сообщать пароли никому не надо, мы уже давно, вроде бы, научились.

Но, к сожалению, полно легальных ситуаций, когда нам придется сообщать пароль из SMS. Вот лишь несколько. При списании баллов лояльности сотрудник АЗС просит назвать код из SMS. Некоторое время назад в отделении Сбербанка я оформлял ипотеку, и там мне снова приходили сообщения и сотрудник банка спрашивала у меня коды из SMS, причем это повторялось несколько раз, с разными работниками банка. И ребята на заправке, и ребята в банке использовали уже известную нам фразу: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста». Триггерясь на фразу, перешагивая через собственные опасения, я сообщал эти коды сотрудникам. Разница только в том, что на момент операции я лично видел сотрудника перед собой. Но, во-первых, не велика проблема, так как я не исключаю возможность существования схем развода, когда кто-то представится сотрудником\работником и попросит назвать код из SMS, да хоть даже и в отделении Сбербанка (они огромные, там куча людей, а сотрудники ходят с планшетами, почему бы кому-то не подойти с планшетом и, представившись сотрудником, не спросить код из SMS?)..., а, во-вторых, у меня был опыт ипотечной сделки, когда я покупал квартиру в Кисловодске, физически находясь в Москве, и в этом случае, увидеть физически сотрудника кисловодского отделения Сбера у меня не было возможности. А с учетом современного развития машинного обучения, даже увидев кого-то по телесвязи, не стоит доверять, что это реальный персонаж, а не продукт нейросети.

В общем, каких-то однозначных способов отличия легитимной просьбы «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста» от мошеннической, найти не так-то просто, что и создает почву для роста числа и результативности таких атак.
Что можно предложить:
– Анализировать ситуацию, точно понимать необходимость и точно понимать последствия сообщения SMS. Не будет ничего зазорного, если вы уточните зачем код из SMS и оцените фактическую адекватность объяснения и то, как это было сказано
– Всегда внимательно читайте само SMS. Коды подтверждения входа никогда не надо никому сообщать и фраза «никому не сообщайте этот код» явно присутствует в сообщении. Для тех же кодов, которые надо сообщать сотруднику, обычно, явно указано в SMS «сообщите сотруднику». Если кто-то из уважаемых поставщиков еще не ввел в свои сообщения такую элементарную защиту, указав, нужно ли код кому-то сообщать, то пожалуйста, реализуйте!

Если есть еще идеи как отличить легальную просьбу сообщить код из SMS от нелегальной, пишите в комментариях. Всем хороших выходных!

#socialengineering #финансы #пятница

На понравившимся мне AM Live про защиту от ВПО ребята подняли вопрос о процессно-методологической организации чего-либо. Действительно, не так много хороших докладов о практике построения процессов, о методологии, причем не в общих словах обо всем, и не о процессе построения процесса - таких, как раз, хватает, а именно конкретики, которую можно взять и с незначительными модификация попробовать применить у себя. Конференции пестрят докладами как кто-то успешно что-то заломал или что-то отреверсил - все это, безусловно, очень интересно, но зачастую очень узко и, как следствие, полезность для большинства слушателей (представителей корпоративной ИБ или работников поставщиков услуг), к сожалению, невелика. Я не раз подчеркивал значимость систематических исследований в сравнении с ad-hoc, пусть даже и достаточно глубокими, как раз за счет наличия обширной процессной составляющей. Цель процесса - давать предсказуемый результат с заданным качеством, что приципиально, поскольку любой процесс не висит в воздухе - выход из него является входом в другой процесс, который едва ли сможет стабильно хорошо работать, если ему на вход передается что-то непредсказуемое...

В общем, вот мы и договорились до доклада, который был бы интересен мне.
Докладчик: организатор\менеджер\работник, вовлеченный в организацию работы\процесс, в составе какого-либо предприятия, успешность которого может быть несложно проверена. Ну, например, если говорить о SOC, то это может быть руководитель или методолог успешного коммерческого или внутреннего SOC
Доклад: рассказ о каком-либо процессе SOC, его конкретной, с описанием конкретных проблем и решений, его конкретных метрик качества и каким образом технически они измеряются. Применительно к SOC, например, это мог бы быть доклад про контроль качества работы аналитиков, о работе над ошибками, или об оценке загрузки команды, или о работе по разработке правил обнаружения, в общем, любой процесс, но из которого можно было бы взять конкретные вещи и внедрить у себя.

Ну а в продолжении темы, затронутой Теймуром, про Detection Engineering, у меня есть что сказать в следующей заметке....

#vCISO #управление #MDR

Про методологические аспекты процессов вокруг Detection Engineering-а есть вот такая книжка 2023 года - Practical Threat Detection Engineering, Megan Roddie, Jason Deyalsingh, Gary J. Katz.

К ее минусам я бы отнес то, что она начинается "от печки": что такое MITRE ATT&CK, Пирамида боли, типы кибератак (причем, не самая удачная классификация), есть разделы про разворачивание ELK и т.п. Но это, одновременно, и плюс, так как может вполне эффективно восприниматься широким кругом читателей, а те, для кого все эти понятия не новы - могут смело пролистывать большую часть книги.

Но, вместе с тем, важные методологические моменты там вполне прилично освещены, типа, как приоритезировать разработку детектирующей логики, как поддерживать качество (здесь я впервые встретил понятие "Detection drift", которе ранее встречал в основном, применительно к машинному обучению), приведены кое-какие метрики качества, которые действительно полезно контролировать на практике.

В общем, для новичков книжка обеспечит достаточное погружение в тему, далее можно уже самому "читать Википедию", а для матерых может быть как раз тем недостающим систематизатором\методологом, позволяющим упорядочить имеющиеся познания и придать академической уверенности в действиях, которые ранее базировались исключительно на разрешении практических потребностей

Книжка несложно находится в выдаче любого поисковика, поэтому, не думаю, что привнесу в наш дивный новый мир много дополнительной энтропии, если просто выложу ее...

#книги #MDR

Practical Threat Detection Engineering, Megan Roddie, Jason Deyalsingh, Gary J. Katz

Академичность математики позволяет ее применять к самым разным областям. Понимая это, в свое время, когда набирал команду из студентов, я обращался к своему преподавателю по криптографии, руководствуясь логикой, что человек, разобравшийся в крипте, способен разобраться в чем угодно.

Новое время - новые модные темы, и вот сейчас мы говорим о глубоком обучении и искусственном интеллекте, и все те же криптографические гении, среди которых есть и Ади Шамир (если кто подзабыл, то в аббревиатуре "RSA" вторая буква - от Shamir) в статье Polynomial Time Cryptanalytic Extraction of Neural Network Models предложили как с помощью разностного\дифференциального криптоанализа (да-да, того самого, что нам подарил анализ, наверно, самого известного алгоритма - DES, и последующих алгоритмов, ему подобных) можно значительно более эффективно подбирать параметры глубоких нейросетей (DNN).

Несмотря на то, что в статье приводятся некоторые практические результаты:

We demonstrate the practical applicability of our algorithm by performing a sign-recovery attack on a DNN trained to recognize the standard CIFAR10 classes. This DNN has 3072 inputs, 8 hidden layers, 256 neurons per hidden layer, and about 1.2 million weights. Our techniques replaced the exhaustive search over 2^256 possible combinations of neuronal signs carried out by Carlini et al. in each layer by a new algorithm which requires only 32 minutes on a 256-core computer to find all the 8 × 256 neuronal signs in the 8 layers of the network.

при чтении статьи не покидало ощущение в незначительности успехов этого подхода на практике. Однако, уверен, спустя время, когда набьются правильные шишки и все грабли будут собраны, подходы, некогда используемые в криптоанализе получат новое прменение, а это - любопытнейшая "первая ласточка". Но тут, конечно, интересно мнение профессионалов по глубокому обучению.

Ребята из команды GERT опубликовали несколько интересных кейсов, в том числе пришедших и от нашей команды.

Я люблю просматривать подобные публикации от коллег по отрасли, чтобы быть в курсе о, скажем модно, актуальном ландшафте угроз. Ну а это - наш скромный вклад в осведомленность сообщества.

Как команды расследования и мониторинга поддерживают друг друга, я рассказывал на SOC Forum в 2022, а презу выкладывал здесь

#MDR

Новый отчет от BI.zone. Читается быстро и легко, есть полезная информация

Вот мне не хватило сводной таблички\картинки по используемым инструментам. Это всегда интересно смотреть кто какие инструменты использует, ибо, в общем случае, именно на процедуры мы делаем детекты, а не на техники.

Может, ребята в следующей редакции к группировке по техникам MITRE добавят группировку по тулзам. Причем, как по мне, то группировку по MITRE можно выкинуть вообще, а вот группировку по процедурам\инструментам - вот это прямой дорогой в команду Detection Engineering-а, чтобы проверили\отработали.

#MDR