Академичность математики позволяет ее применять к самым разным областям. Понимая это, в свое время, когда набирал команду из студентов, я обращался к своему преподавателю по криптографии, руководствуясь логикой, что человек, разобравшийся в крипте, способен разобраться в чем угодно.

Новое время - новые модные темы, и вот сейчас мы говорим о глубоком обучении и искусственном интеллекте, и все те же криптографические гении, среди которых есть и Ади Шамир (если кто подзабыл, то в аббревиатуре "RSA" вторая буква - от Shamir) в статье Polynomial Time Cryptanalytic Extraction of Neural Network Models предложили как с помощью разностного\дифференциального криптоанализа (да-да, того самого, что нам подарил анализ, наверно, самого известного алгоритма - DES, и последующих алгоритмов, ему подобных) можно значительно более эффективно подбирать параметры глубоких нейросетей (DNN).

Несмотря на то, что в статье приводятся некоторые практические результаты:

We demonstrate the practical applicability of our algorithm by performing a sign-recovery attack on a DNN trained to recognize the standard CIFAR10 classes. This DNN has 3072 inputs, 8 hidden layers, 256 neurons per hidden layer, and about 1.2 million weights. Our techniques replaced the exhaustive search over 2^256 possible combinations of neuronal signs carried out by Carlini et al. in each layer by a new algorithm which requires only 32 minutes on a 256-core computer to find all the 8 × 256 neuronal signs in the 8 layers of the network.

при чтении статьи не покидало ощущение в незначительности успехов этого подхода на практике. Однако, уверен, спустя время, когда набьются правильные шишки и все грабли будут собраны, подходы, некогда используемые в криптоанализе получат новое прменение, а это - любопытнейшая "первая ласточка". Но тут, конечно, интересно мнение профессионалов по глубокому обучению.

Ребята из команды GERT опубликовали несколько интересных кейсов, в том числе пришедших и от нашей команды.

Я люблю просматривать подобные публикации от коллег по отрасли, чтобы быть в курсе о, скажем модно, актуальном ландшафте угроз. Ну а это - наш скромный вклад в осведомленность сообщества.

Как команды расследования и мониторинга поддерживают друг друга, я рассказывал на SOC Forum в 2022, а презу выкладывал здесь

#MDR

Новый отчет от BI.zone. Читается быстро и легко, есть полезная информация

Вот мне не хватило сводной таблички\картинки по используемым инструментам. Это всегда интересно смотреть кто какие инструменты использует, ибо, в общем случае, именно на процедуры мы делаем детекты, а не на техники.

Может, ребята в следующей редакции к группировке по техникам MITRE добавят группировку по тулзам. Причем, как по мне, то группировку по MITRE можно выкинуть вообще, а вот группировку по процедурам\инструментам - вот это прямой дорогой в команду Detection Engineering-а, чтобы проверили\отработали.

#MDR

У каждого из нас свой стиль. Есть достаточное количество ресурсов, которые, проанализировав тексты определенного автора, могут затем достаточно точно устанавливать его авторство. Да и мы подсознательно чувствуем авторство и подобие\схожесть.

Например, мне всегда нравились произведения Достоевского, а много лет назад я читал Фицджеральда (Великий Гэтсби, Ночь нежна), который, удивительно, меня также не оставил равнодушным.

Однако, разгадка Фицджеральда пришла много позже, когда я немного погрузился в его биографию. Оказывается, Фицджеральд любил Достоевского и признавал его влияние на свое творчество. Поэтому, именно то, что мы любим у Достоевского - психоанализ личностей персонажей и усиливающее восприятие переживаний героев описание окружения, атмосферы происходящего - повторяется и в книжках Фицджеральда. Можно с уверенностью считать, что Фицджеральд - продолжатель литературной традиции Достоевского, писхологизм Достоевского, характерные литературные приемы можно наблюдать и у Фрэнсиса Скотта - в этом и есть его секрет, почему он заходит, особенно, любителям творчества Федора Михайловича.

Но, и за рамками литературы несложно определять авторство. Порой, даже достаточно двух слов. Например, на днях читал драфт некоего документа ФСТЭК, где более более 5 раз за 20 стр я встретил словосочетание "недопустимое событие" без объяснения значения, тогда как для терминов "инцидент" и "угроза" определение было представлено. А вы догадались кто поучаствовал в написании этого документа? В целом, это хорошо, что регуляторку пишут практики, ее, как минимум, можно будет на практике реализовать... Но ситуация меня порадовала во всех смыслах

#книги #пятница

Если в ближайшее воскресенье вы в Кисловодске, то рекомендую посетить лекцию об искусстве Древней Греции.

Всем нам известные памятники искусства Римской империи базируются на древнегреческом фундаменте, так как, завоевав Грецию, не имея своего, выходящего за рамки практической или военной обусловленности, так сказать, для души, римляне впитали в себя все греческое. Сам себя часто ловлю на том, что не всегда могу отличить "древнегреческое" от "древнеримского", что не случайно, так как многое римское - калька греческого, а все позднее римское "свое" так или иначе базировалось на захваченном греческом.

Один из моих любимых писателей детства и юности Иван Ефремов в книжке "Таис Афинская" пишет:

Количество скульптур в храмах, галереях, на площадях и в садах, не говоря уже о богатых частных домах, трудно вообразить. В каждой декаде века выделялись десятки художников, создававших многие сотни произведений (например, Лисипп с его полутора тысячами скульптур, Пракситель – с шестьюстами, Фидий – с восемьюстами). Общее количество художественных произведений, преимущественно скульптуры, накопленных за несколько веков процветания эллинского искусства, колоссально. Ничтожная часть этого гигантского художественного наследия дошла до нас лишь в римских мраморных копиях. Металлические скульптуры в позднейшие времена были переплавлены невежественными завоевателями в пушки и ядра. Например, от столь плодовитого скульптора, каким был Лисипп, до нас не дошло ни одной оригинальной статуи, потому что он работал преимущественно в бронзе. Эти особенности истории эллинского искусства следует иметь в виду при чтении моего романа.

А где-то уже в конце романа в диалоге Птолемея (да, да, того самого, приятеля Александра) и Таис:

– Счастья не будет! На западе крепнет Римское государство, готовое весь мир низвести до рабского состояния. .... Римляне подражают эллинам в искусствах, но в своем существе они злобные, надеются лишь на военную силу и очень жестоки к детям, женщинам и животным. Вместо театров у них громадные цирки, где убивают животных и друг друга на потеху ревущей толпе.
– Они мастера приносить кровавые жертвы? – спросила Таис.
– Да. Откуда ты знаешь?
– Я знаю пророчество. Страны, где люди приносят кровавые жертвы, уподобляя своих богов хищным зверям, – Элладу, Рим, Карфаген ждет скорая гибель, разрушение всего созданного и полное исчезновение этих народов.

В общем, Древняя Греция - это мировая культурная база. Едва ли за одну лекцию можно рассказать многое, но любой длинный долгий путь начинается с шага.... давайте сделаем этот шаг.

#искусство #книги

Инциденты, когда компании компрометируют через домашние сети пользователей - далеко не редкость, все тот же сценарий доверительных отношений. Однако, не стоит загонять себя исключительно в рамки анализа технических последствий (хакеры, вирусы и т.п.) от цифрового вмешательства в частную жизнь работников предприятия.
Мы кое-как пытаемся бороться с инсайдерами уже в инфраструктуре компании, но это может быть поздно, а инсайдер может стать инсайдером не по своему желанию.

Понятно, что для обеспечения эффективности следует ограничивать область и фокусироваться на ней, однако, важно помнить и о цели - защите корпоративных бизнес-процессов, а БП - это люди, влияние на которых возможно и за рамками наших зон и периметров. Это все те же осведомленность и культура поведения online, но уже за рамками компании, в нерабочие часы. Компрометация ключевых лиц корпоративных БП не менее результативны в части ущерба, чем традиционные нарушения КЦД требуемой для работы БП информации или обрабатываемой ее информационной системы...

Об этом рассуждал в новой заметке.

#управление #vCISO

Масштабы мошенничества в соцсетях и по телефону ужасают. Есть масса случаев, которые я слышал непосредственно от пострадавших, а работу множества схем я испытал на себе.

Не стоит думать, что схемы эти настолько нелепы и подобное никогда нас не коснется, это не так. Супер адекватные люди попадаются на кажущиеся фантастическими сценарии мошенничества, а со временем методы злоумышленников только совершенствуются, вместе с нашими семимильными шагами в тотальную цифровизацию.

Понятно, что все наши попытки что-то с этим поделать не будут иметь желаемую эффективность, но это не повод опустить руки и ничего не делать. Поэтому я подготовил довольно длинную презентацию по схемам мошенничества, известным мне, а то, как я ее рассказывал своим домашним - записал и вот делюсь видео.

Я уже получил обратную связь, что видео длинное и неконкретное, поэтому, вероятнее всего, я запишу еще ряд коротких роликов по конкретным схемам. Но данное базовое видео, в любом случае, не будет лишним для ознакомления. Также выкладываю слайды. Надеюсь, эта презентация будет полезна вам и вашим домашним, как для молодежи, так и для пожилых. Мои мне передали, что это было полезно. Осведомленность - основной инструмент противостояния мошенничеству.

#socialengineering

Kaspersky MDR не отличается супер-функциональным клиентским Web-поталом. Однако, лично я не вижу в этом большой проблемы, ну, разве что в плане маркетирования, но, думаю, за годы прогрессивного капитализма мы научились понимать, что красивая обертка не всегда является признаком качественного товара.

MDR ограничивается анализом телеметрии от определенных источников, в случае kaspersky MDR - источниками являются продукты ЛК. Ограниченность источников является причиной ограниченности общей видимости (это я так перевел более подходящее слово visibilty) состояния ИБ в корпорации.

В зрелых корпорациях, как правило, используется единый процесс управления инцидентами. Например, в моей прошлой практике, процесс управления инцидентами ИБ был полностью интегрирован в процесс управления инцидентами ИТ, и, зарождаясь где-нибудь в SIEM/IRP инциденты ИБ дальше проваливались в корпоративную систему ITSM, в которой уже отслеживались наряды на работы на Службу поддержи пользователей, на Сисадминов, на Админов приложений, на Сетевых админов и на многие другие команды.

С учетом сказанного, Kaspersky MDR для зрелых заказчиков - один из источников инцидентов ИБ уровня IRP, которые затем, при необходимости какой-либо реакции, должны валидироваться командой ИБ и проваливаться, например, на те же подразделения ИТ (едва ли подразделение ИБ сразу что-то меняет в ИТ-инфраструктуре, на то есть специальный процесс Управления изменениями, гарантирующий отсутствие регресса). Поэтому зрелые заказчики, главным образом, используют MDR API для интеграции со своими внутренними системами IRP.

TheHive IRP, как мне кажется, достаточно популярна, поэтому для нее мы предлагаем интеграцию, можно просто брать и использовать. В перспективе в этом репозитории будем подкладывать новые интеграции. В комменариях к этой заметке можно накидывать с чем еще требуется интеграция, постараемся разработать и выложить. А если вы разработали какую-то интеграцию сами, будем очень признательны, если поделитесь!

#MDR #kaspersky #vCISO

При всей моей любви к истории и попытках научиться разбираться в искусстве, мне катастрофически не хватает времени отслеживать что интересного можно послушать\посмотреть\поизучать 😢. Тем более, в Москве - полно возможностей!

Замечательно, что супруга никогда ничего не пропускает! Я записался, а вы? Как раз, как мы любим: никуда идти не надо, запись будет доступна 7 дней.... значит, выкачаем...

#история #искусство

Обычно в блоге Канареек попадаются интересные статьи, но вчера была публикация обсуждать которую самое время в пятницу, после рабочего дня!

The CrowdStrike outage: Detection and defense in depth - многообещающее название! Действительно, интересно, тем более, что CS Falcon - поддерживаемый EDR в RedCanary MDR, и среди их клиентов точно были жертвы CS (интересно, RedCanay их как-то спасли?). Но в статье ничего нового, кроме логики типа "если помер EDR, надо полагаться на другие инструменты":

When a primary control—like CrowdStrike’s endpoint protection—fails, SOCs must rely on additional controls and strategies to maintain visibility and ensure robust security operations.

Видимо, мысль ооочень важна, так как в следующем абзаце приводится то же, но другими словами, повторение - мать учения!

if an endpoint detection and response (EDR) system fails, the SOC will need to pay additional attention to identity, network, and other controls to compensate for the lack of visibility

В заключении этой замечательной заметки приводится ссылка на Incident Response & Readiness guide, привожу его во вложении. Но там тоже нет ответа что делать в сценарии CS положил все десктопы, серверы и облака.

На лендинге к этому замечательному гайду, милая девушка Лора Броснан в качестве примера атаки приводит Ransomware... как будто про CS рассказывает... (нет принципиальной разницы: вырубил мою инфру шифровальщик или сбой CS, результат аналогичен)

Если говорить о Ransomware, то когда пошел уже этап шифрования - TA0040 Impact, успеть что-либо зареспондить уже очень сложно. Поэтому такие атаки должны быть обнаружены ранее, например, на первоначальном доступе или на повышении и закреплении.

Ну что можно сделать, когда от Microsoft пришло тайно обновление и положило все под Windows? Именно тайно, поскольку подобные случаи наблюдались в практике, поэтому в корпорациях все обновления сначала тестируются на регресс во всех поддерживаемых конфигурациях, а потом накатываются волнами, начиная с самых бесполезных и заканчивая критичными.
Инцидент с CS можно сравнить с оружием, которое вместо противника наносит ущерб пользователю. Любая безопасность - это вопрос доверия, и как бы не красива была идея нулевого доверия, всегда найдется игла, поломка которой приведет к смерти всего.

В общем, у меня сложилось ощущение, что Канарейки нас с вами троллят, так как и статья, и лендинг и гайд доказывают ровно обратное: от инцидента с CS следование никакому гайду не поможет.

#пятница #vCISO

График, у меня есть график...

Любое планирование добавляет предсказуемость, а, следовательно, повторимость с контролируемым качеством. Работу второй линии SOC мы тоже планируем, о чем рассказал небольшой заметке.

#MDR #управление

На выходных удалось посмотреть некоторые доклады с OffZone, и вот перечень, задевших меня

Игорь Гоц. Few-shot в SOC. Слайды во вложении.

Владислав Тушканов. Отравленные документы: как атаковать RAG‑пайплайны

Владислав Воробьев. Заблокирован, но не сломлен: горизонтальное перемещение после блокировки пользователя в AD

Жасулан Жусупов. Вредоносное ПО и закрепление в системе: как злоумышленники взламывают Windows?

Александр Забровский. Подпольный цирк: арбитраж на теневых форумах

Когда снова появится квант времени, и что-то еще покажется интересным, буду подписывать в комментариях к этой заметке

#offzone

На днях мой приятель и бывший коллега, а ныне руководитель Defensive-направления в Bi.zone, Теймур Хеирхабаров выступал с докладом где-то в регионе MENA.

Не уверен, что удастся найти видео, но слайдами делюсь. Будет полезно для ознакомления командам detection engineering MDR на предмет насколько используемые инструменты ловят упомянутые Теймуром техники.

#mdr