Инциденты, когда компании компрометируют через домашние сети пользователей - далеко не редкость, все тот же сценарий доверительных отношений. Однако, не стоит загонять себя исключительно в рамки анализа технических последствий (хакеры, вирусы и т.п.) от цифрового вмешательства в частную жизнь работников предприятия.
Мы кое-как пытаемся бороться с инсайдерами уже в инфраструктуре компании, но это может быть поздно, а инсайдер может стать инсайдером не по своему желанию.

Понятно, что для обеспечения эффективности следует ограничивать область и фокусироваться на ней, однако, важно помнить и о цели - защите корпоративных бизнес-процессов, а БП - это люди, влияние на которых возможно и за рамками наших зон и периметров. Это все те же осведомленность и культура поведения online, но уже за рамками компании, в нерабочие часы. Компрометация ключевых лиц корпоративных БП не менее результативны в части ущерба, чем традиционные нарушения КЦД требуемой для работы БП информации или обрабатываемой ее информационной системы...

Об этом рассуждал в новой заметке.

#управление #vCISO

Масштабы мошенничества в соцсетях и по телефону ужасают. Есть масса случаев, которые я слышал непосредственно от пострадавших, а работу множества схем я испытал на себе.

Не стоит думать, что схемы эти настолько нелепы и подобное никогда нас не коснется, это не так. Супер адекватные люди попадаются на кажущиеся фантастическими сценарии мошенничества, а со временем методы злоумышленников только совершенствуются, вместе с нашими семимильными шагами в тотальную цифровизацию.

Понятно, что все наши попытки что-то с этим поделать не будут иметь желаемую эффективность, но это не повод опустить руки и ничего не делать. Поэтому я подготовил довольно длинную презентацию по схемам мошенничества, известным мне, а то, как я ее рассказывал своим домашним - записал и вот делюсь видео.

Я уже получил обратную связь, что видео длинное и неконкретное, поэтому, вероятнее всего, я запишу еще ряд коротких роликов по конкретным схемам. Но данное базовое видео, в любом случае, не будет лишним для ознакомления. Также выкладываю слайды. Надеюсь, эта презентация будет полезна вам и вашим домашним, как для молодежи, так и для пожилых. Мои мне передали, что это было полезно. Осведомленность - основной инструмент противостояния мошенничеству.

#socialengineering

Kaspersky MDR не отличается супер-функциональным клиентским Web-поталом. Однако, лично я не вижу в этом большой проблемы, ну, разве что в плане маркетирования, но, думаю, за годы прогрессивного капитализма мы научились понимать, что красивая обертка не всегда является признаком качественного товара.

MDR ограничивается анализом телеметрии от определенных источников, в случае kaspersky MDR - источниками являются продукты ЛК. Ограниченность источников является причиной ограниченности общей видимости (это я так перевел более подходящее слово visibilty) состояния ИБ в корпорации.

В зрелых корпорациях, как правило, используется единый процесс управления инцидентами. Например, в моей прошлой практике, процесс управления инцидентами ИБ был полностью интегрирован в процесс управления инцидентами ИТ, и, зарождаясь где-нибудь в SIEM/IRP инциденты ИБ дальше проваливались в корпоративную систему ITSM, в которой уже отслеживались наряды на работы на Службу поддержи пользователей, на Сисадминов, на Админов приложений, на Сетевых админов и на многие другие команды.

С учетом сказанного, Kaspersky MDR для зрелых заказчиков - один из источников инцидентов ИБ уровня IRP, которые затем, при необходимости какой-либо реакции, должны валидироваться командой ИБ и проваливаться, например, на те же подразделения ИТ (едва ли подразделение ИБ сразу что-то меняет в ИТ-инфраструктуре, на то есть специальный процесс Управления изменениями, гарантирующий отсутствие регресса). Поэтому зрелые заказчики, главным образом, используют MDR API для интеграции со своими внутренними системами IRP.

TheHive IRP, как мне кажется, достаточно популярна, поэтому для нее мы предлагаем интеграцию, можно просто брать и использовать. В перспективе в этом репозитории будем подкладывать новые интеграции. В комменариях к этой заметке можно накидывать с чем еще требуется интеграция, постараемся разработать и выложить. А если вы разработали какую-то интеграцию сами, будем очень признательны, если поделитесь!

#MDR #kaspersky #vCISO

При всей моей любви к истории и попытках научиться разбираться в искусстве, мне катастрофически не хватает времени отслеживать что интересного можно послушать\посмотреть\поизучать 😢. Тем более, в Москве - полно возможностей!

Замечательно, что супруга никогда ничего не пропускает! Я записался, а вы? Как раз, как мы любим: никуда идти не надо, запись будет доступна 7 дней.... значит, выкачаем...

#история #искусство

Обычно в блоге Канареек попадаются интересные статьи, но вчера была публикация обсуждать которую самое время в пятницу, после рабочего дня!

The CrowdStrike outage: Detection and defense in depth - многообещающее название! Действительно, интересно, тем более, что CS Falcon - поддерживаемый EDR в RedCanary MDR, и среди их клиентов точно были жертвы CS (интересно, RedCanay их как-то спасли?). Но в статье ничего нового, кроме логики типа "если помер EDR, надо полагаться на другие инструменты":

When a primary control—like CrowdStrike’s endpoint protection—fails, SOCs must rely on additional controls and strategies to maintain visibility and ensure robust security operations.

Видимо, мысль ооочень важна, так как в следующем абзаце приводится то же, но другими словами, повторение - мать учения!

if an endpoint detection and response (EDR) system fails, the SOC will need to pay additional attention to identity, network, and other controls to compensate for the lack of visibility

В заключении этой замечательной заметки приводится ссылка на Incident Response & Readiness guide, привожу его во вложении. Но там тоже нет ответа что делать в сценарии CS положил все десктопы, серверы и облака.

На лендинге к этому замечательному гайду, милая девушка Лора Броснан в качестве примера атаки приводит Ransomware... как будто про CS рассказывает... (нет принципиальной разницы: вырубил мою инфру шифровальщик или сбой CS, результат аналогичен)

Если говорить о Ransomware, то когда пошел уже этап шифрования - TA0040 Impact, успеть что-либо зареспондить уже очень сложно. Поэтому такие атаки должны быть обнаружены ранее, например, на первоначальном доступе или на повышении и закреплении.

Ну что можно сделать, когда от Microsoft пришло тайно обновление и положило все под Windows? Именно тайно, поскольку подобные случаи наблюдались в практике, поэтому в корпорациях все обновления сначала тестируются на регресс во всех поддерживаемых конфигурациях, а потом накатываются волнами, начиная с самых бесполезных и заканчивая критичными.
Инцидент с CS можно сравнить с оружием, которое вместо противника наносит ущерб пользователю. Любая безопасность - это вопрос доверия, и как бы не красива была идея нулевого доверия, всегда найдется игла, поломка которой приведет к смерти всего.

В общем, у меня сложилось ощущение, что Канарейки нас с вами троллят, так как и статья, и лендинг и гайд доказывают ровно обратное: от инцидента с CS следование никакому гайду не поможет.

#пятница #vCISO

График, у меня есть график...

Любое планирование добавляет предсказуемость, а, следовательно, повторимость с контролируемым качеством. Работу второй линии SOC мы тоже планируем, о чем рассказал небольшой заметке.

#MDR #управление

На выходных удалось посмотреть некоторые доклады с OffZone, и вот перечень, задевших меня

Игорь Гоц. Few-shot в SOC. Слайды во вложении.

Владислав Тушканов. Отравленные документы: как атаковать RAG‑пайплайны

Владислав Воробьев. Заблокирован, но не сломлен: горизонтальное перемещение после блокировки пользователя в AD

Жасулан Жусупов. Вредоносное ПО и закрепление в системе: как злоумышленники взламывают Windows?

Александр Забровский. Подпольный цирк: арбитраж на теневых форумах

Когда снова появится квант времени, и что-то еще покажется интересным, буду подписывать в комментариях к этой заметке

#offzone

На днях мой приятель и бывший коллега, а ныне руководитель Defensive-направления в Bi.zone, Теймур Хеирхабаров выступал с докладом где-то в регионе MENA.

Не уверен, что удастся найти видео, но слайдами делюсь. Будет полезно для ознакомления командам detection engineering MDR на предмет насколько используемые инструменты ловят упомянутые Теймуром техники.

#mdr

Ну что, дорогие друзья, молодые исследователи, есть возможность монетизировать мечту!

Именная стипендия Евгения Касперского

#kaspersky

Некоторые SOC пренебрегают онбордингом новых аналитиков или не уделяют этому должного внимания, а зря.

В новой заметке поделился особенностями нашего процесса онбординга и порассуждал о том, чем хорошо наличие формального онбординга.

#MDR #управление

На днях был вынужден искать определенную тему среди своих старых презентаций и набрел на слайды с ISACA Moscow chapter, проходившего в марте 2019 года.

К сожалению, эта презентация не из тех, которые можно читать как книгу, без спикера, поэтому попробую тезисно здесь выказать основные мысли (+ в слайдах есть ссылки на старые статьи в блоге, рекомендую на них потыкать), а слайды - прилагаю.

1. Реактивный подход к выстраиванию системы контролей ИБ (будем это звать СУИБ - система управления ИБ на предприятии) может показаться не самым разумным, но он наиболее просто обосновывается, так как раз у нас был тот или иной инцидент, о его вероятности не приходится много задумываться
2. В связи с этим, безопасность из Operations - вполне себе рабочий подход: мы строим операционные процессы, например, мониторинг и управление инцидентами, а по мотивам работы по инцидентам и проблемам - появляются наши новые контроли ИБ
3. Все предусмотреть невозможно, поэтому невозможно избегать ошибок (об этом еще порассуждаем в новых заметках, это одна из моих любимых тем), но возможно и нужно качественно отрабатывать ошибки, совершенствуя свою СУИБ в результате, поэтому fuck-up-driven management - абсолютно рабочий подход

#управление #vCISO

Один из выдающихся хакеров современности и мой давний знакомый Саша Поляков сейчас переключил свое внимание на безопасность машобуча и ИИ.

К одной из его заметок с демонстрацией инъекции в модный GPT-o1 я не смог удержаться от комментария (он же на картинке).

Машинное обучение - это математика, а математика - раздел философии. Поэтому в возможности создания принципиального иммунитета против различного рода инъекций в больших языковых моделях и ИИ (написал сначала "LLM и ИИ", а потом распереживался, что часть аббревиатур на русском, а часть по-английски, а сочетание "БЯМ" звучит как-то слишком несерьезно) я вижу некоторое, как мне кажется, фундаментальное, противоречие.

Мы ценим в результате работы LLM именно "адекватность", соответствие нашим ожиданиям. А для того, чтобы выдать максимальное соответствие ожиданиям, Модель должна как можно лучше соответствовать изначальным условиям, которые как раз и черпаются из входных данных, запроса пользователя. И здесь Модель становится заложницей своего стремления максимально угодить пользователю, возможно, и не ожидая от последнего стремления ее обмануть или провокации сделать что-то неправомерное с каких-то неведомых точек зрения.

А вообще применима ли здесь подобная оценка? Мы можем обвинять молоток, который вместо забивания гвоздей кому-то пробил голову? Модель - это такой же инструмент, может, и не стоит от нее ожидать, что она будет настолько интеллектуальна, чтобы распознавать неправильные сценарии своего использования? А это вообще возможно? Неправильные сценарии своего использования далеко не всегда распознает и сам человек, и великое множество схем мошенничества тому прекрасное подтверждение! И люди, попадающие в ловушки мошенников, вполне себе взрослые и с богатым жизненным опытом!... Если богатый жизненный опыт не научил человека, почему мы позволяем себе ожидать, что какая-то обучающая выборка способна научить Модель?

В общем, как мне кажется на данном этапе, подобные атаки на ИИ есть и будут, и универсальное решение здесь придумать невозможно. Только какие-то заплатки на конкретные, может, обобщенные сценарии. Вероятно, со временем эта моя точка зрения изменится, чему я буду рад, как минимум по причине наблюдения собственного развития.

Пишите ваше мнение в комментариях! Особенно интересно мнение профессионалов!

#пятница #ml

Сложность в большинстве случаев враг безопасности, поэтому самый сложный элемент - самое слабое звено. А разве может быть что-либо сложнее человека?! Поэтому (и не только!) мы и занимаемся бумажной безопасностью, пытаемся снизить влияние индивида на результат работы процесса.

В заметке порассуждал об эффективности контроля в метро и провел очевидные параллели с операционной безопасностью вообще.

Думал опубликовать это с тегом #пятница , но, если честно, проблема мне видится серьезной, и, в общем-то, улыбаться здесь не над чем.

#vCISO

Как утверждают сами организаторы, Кисловодский марафон - сложный. Он сложен по ряду причин:
- меняется покрытие: есть отрезки с асфальтом, с грунтом, и с какими-то разбитыми дорожками, где ничего не стоит подвернуть, а то и сломать ноги
- меняется рельеф: надо бежать и в гору и с горы, причем несколько раз за дистанцию, перепады высот немаленькие
- тем кто бежит марафон и половинку придется бежать десятикилометровый круг несколько раз
- нам, жителям низинных равнин бежать на высоте ±1000м без подготовки очень непросто (по крайней мере мне, я просто задыхаюсь)

Но то, что нас не убивает, делает нас сильнее, к тому же вокруг красивейшие горные пейзажи. А для нас это еще и возможность встретиться. Я записался на десятку, если кто будет, и будет желание\возможность пересечься, пишите. Схема маршрута приведена здесь. А как это было в прошлом году - прикладываю видос, взятый, видимо, из канала организаторов (но конкретное сообщение я почему-то не нашел). На этом видео можно заметить и вашего покорного слугу 😁

#здоровье