Мы все всегда в чем-то заказчики, а в чем-то поставщики. Как заказчики мы всегда интересуемся референсами и историями успеха - это вполне нормально работает при бронировании апартаментов на отпуск, но значительно хуже работает в случае инцидентов безопасности. Ну а нам, заказчикам, действительно просто подчиняться стадному инстинкту и повторять то же, что уже сделали похожие на нас. В заметке порассуждал на эту тему, и о том, что публикуемый TI - те же истории успеха, которые можно брать за основу при выборе поставщика, как альтернативу архаичным персонализированным референсам
https://dzen.ru/a/ZX7VPhtTQE497NEj
https://dzen.ru/a/ZX7VPhtTQE497NEj
Дзен | Статьи
Истории успеха
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Для маркетирования решения считается, что надо собирать истории успеха. Меня это всегда немного нервировало....
👍2🔥1🥰1
Последнее время то там, то тут слышишь про "Фиолетовые команды", видимо, "Красными" и\или "Синими" уже никого не удивишь 😁 Вот попался неплохой BOK по превращению "фиолетового движения" из ad-hoc в системную работу:
https://github.com/scythe-io/purple-team-exercise-framework
https://github.com/scythe-io/purple-team-exercise-framework
GitHub
GitHub - scythe-io/purple-team-exercise-framework: Purple Team Exercise Framework
Purple Team Exercise Framework. Contribute to scythe-io/purple-team-exercise-framework development by creating an account on GitHub.
👍1👀1
Солдатов в Телеграм
14 декабря 2023, мой коллега и друг, Игорь Таланкин, выдающийся инженер, сертифицированный этичный хакер, технический эксперт по SIEM, дает вебинар по разработке плейбуков. Игорь не является звездой Youtube и на конференциях его встретишь нечасто, но, будучи…
Kaspersky-webinar-presentation-playbooks-14.12.23.pdf
1.8 MB
Читатели спрашивали про запись и слайды. Ловите!
https://youtu.be/jomLRu4UAjs?si=T0aPPv7Ph0Ow_8RT
https://youtu.be/jomLRu4UAjs?si=T0aPPv7Ph0Ow_8RT
👍7❤2🔥2
Так и не удалось услышать ответа на простой вопрос: «Когда заканчивается расследование?», вроде, конкретный вопрос, требующий конкретного ответа. Возможно, расплывчивый ответ объясняется неправильным определением скоупа, а, может, я сам чего-то не понимаю, поправьте меня тогда в комментариях, я фанат обучения и всегда рад чему-то новому.
Вообще, расследование инцидента очень похоже на процесс работы с IoC-ами, который я описывал здесь: на вход нам подается инцидент, в нем есть поломанные системы, из этих систем мы средствами DFIRMA извлекаем IoC-и, затем эти IoC-и ищем по всей сети, находим новые поломанные системы, из них тоже извлекаем IoC-и, которые потом снова ищем везде и т.п. Расследование заканчивается, когда в результате поиска всех известных на данный момент IoC-ов (как извлеченных из систем в рамках данного расследования, так и найденных связанных во всем доступном TI) мы не находим новых систем из которых можно было бы извлечь новые IoC-и, поискать другие связанные в TI, и по ним поискать новые системы.
Кстати, для любителей чтения полезных книжек, ровно этот же, описанный мной, процесс расследования инцидента описан в замечательной, ставшей классикой, Incident Response Кевина Мандиа, с которой всем обязательно рекомендую ознакомиться!
#книги
Вообще, расследование инцидента очень похоже на процесс работы с IoC-ами, который я описывал здесь: на вход нам подается инцидент, в нем есть поломанные системы, из этих систем мы средствами DFIRMA извлекаем IoC-и, затем эти IoC-и ищем по всей сети, находим новые поломанные системы, из них тоже извлекаем IoC-и, которые потом снова ищем везде и т.п. Расследование заканчивается, когда в результате поиска всех известных на данный момент IoC-ов (как извлеченных из систем в рамках данного расследования, так и найденных связанных во всем доступном TI) мы не находим новых систем из которых можно было бы извлечь новые IoC-и, поискать другие связанные в TI, и по ним поискать новые системы.
Кстати, для любителей чтения полезных книжек, ровно этот же, описанный мной, процесс расследования инцидента описан в замечательной, ставшей классикой, Incident Response Кевина Мандиа, с которой всем обязательно рекомендую ознакомиться!
#книги
👍6🔥3✍1
Хотите увидеть тренажерный зал 100 лет назад? Только не «тренажёрный», а зал «механотерапии»! Вот он!
🔥9