Forwarded from k8s (in)security (Дмитрий Евдокимов)
Давненько мы ничего не писали про нашу любимую
Вообще, на самом деле нужно быть очень внимательным даже при использовании
eBPF технологию, которую мы активно у себя в Luntry используем. И вот, вышла замечательная статья "BPF Memory Forensics with Volatility 3", позволяющая заглянуть в недра данной технологии. Но сразу отметим что не со стороны разработчика, а со стороны исследователя, который на руках исходных код может и не иметь ... То есть будем анализировать скомпилированный код и память. И все это с помощью утилиты Volatility 3. Если быть еще быть более точным, то статья будет больше полезна вирусным аналитикам, что хотят исследовать malware, rootkit на базе eBPF (писали и рассказывали уже о таком тут, тут и тут). Вообще, на самом деле нужно быть очень внимательным даже при использовании
OpenSource проектов на базе eBPF, так как это большие возможности и права в системе (на пример, чаще всего это привилегированные контейнеры), и нужно очень хорошо понимать что и как там делается. Так что читайте исходный код)👍3
На днях читал драфт исследования о нехватке персонала в различных областях ИБ, которое меня попросили прокомментировать по части SOC в РФ, поскольку, согласно этому опросу в РФ самая большая нехватка аналитиков SOC по миру.
Уверен, что я не единственный, от кого буду спрашивать экспертного мнения и объяснений, поэтому, очевидные причины, типа, что можно жить в РФ и работать в зарубежном SOC за зарубежные деньги (как минимум, в исследованиях – точно, поскольку лично получал такие предложения от лондонских контор) и т.п. , – оставил другим экспертам.
А на мой взгляд, не менее важной причиной нехватки аналитиков SOC в России является недостаточное развитие аутсорсинга услуг SOC. Аутсорсинг предполагает концентрацию специалистов в штате ограниченного количества поставщиков услуг, что по требуемому объему персонала значительно меньше, чем наличие аналогичных специалистов в штате каждого потребителя сервисов SOC. Сейчас мы имеем ситуацию, когда все осознали необходимость централизации функций операционной безопасности в SOC, однако стремятся это сделать исключительно своими силами, тогда как зрелое предложение на рынке давно доступно, да и эффективность процессов и экономия от масштаба у поставщиков, как правило, выше.
Вполне возможно, это объяснение применимо и другим направлениям, по которым доступно зрелое предложение, однако, в РФ их по-прежнему предпочитают выполнять силами внутренних команд ИБ.
Дорогие друзья, помимо мониторинга ИТ-инфраструктуры есть масса других задач по ИБ, которые "никто кроме нас" (с) не сделает, поэтому давайте фокусировать свои усилия туда, а фокусировка и правильная приоритезация – залог получения максимального результата минимальными усилиями, давайте будем эффективными!
#vCISO
Уверен, что я не единственный, от кого буду спрашивать экспертного мнения и объяснений, поэтому, очевидные причины, типа, что можно жить в РФ и работать в зарубежном SOC за зарубежные деньги (как минимум, в исследованиях – точно, поскольку лично получал такие предложения от лондонских контор) и т.п. , – оставил другим экспертам.
А на мой взгляд, не менее важной причиной нехватки аналитиков SOC в России является недостаточное развитие аутсорсинга услуг SOC. Аутсорсинг предполагает концентрацию специалистов в штате ограниченного количества поставщиков услуг, что по требуемому объему персонала значительно меньше, чем наличие аналогичных специалистов в штате каждого потребителя сервисов SOC. Сейчас мы имеем ситуацию, когда все осознали необходимость централизации функций операционной безопасности в SOC, однако стремятся это сделать исключительно своими силами, тогда как зрелое предложение на рынке давно доступно, да и эффективность процессов и экономия от масштаба у поставщиков, как правило, выше.
Вполне возможно, это объяснение применимо и другим направлениям, по которым доступно зрелое предложение, однако, в РФ их по-прежнему предпочитают выполнять силами внутренних команд ИБ.
Дорогие друзья, помимо мониторинга ИТ-инфраструктуры есть масса других задач по ИБ, которые "никто кроме нас" (с) не сделает, поэтому давайте фокусировать свои усилия туда, а фокусировка и правильная приоритезация – залог получения максимального результата минимальными усилиями, давайте будем эффективными!
#vCISO
👍6👏1🤔1🤝1
Хорошая статья от Алексея Викторовича, и даже со ссылкой на нашу утилитку.
Единственное, что хочется добавить относительно мысли о том, что "раньше такого не было", что раньше и турбулентности в мире было поменьше, а, как известно нам охотникам, чем больше активности, тем заметнее она становится, поэтому то, что раньше казалось незаметным и долетало только отголосками в виде последствий атаки на иранскую ядерную программу, постепенно входит в нашу обыденность, сдвигая планку того, что "нормально".
Единственное, что хочется добавить относительно мысли о том, что "раньше такого не было", что раньше и турбулентности в мире было поменьше, а, как известно нам охотникам, чем больше активности, тем заметнее она становится, поэтому то, что раньше казалось незаметным и долетало только отголосками в виде последствий атаки на иранскую ядерную программу, постепенно входит в нашу обыденность, сдвигая планку того, что "нормально".
Telegram
Пост Лукацкого
Странная заметка у меня в блоге, которая первоначально была не про международную политику, а про лжеИБшников, которые наживаются на теме ИБ, выдают себя за специалистов по кибербезу, предлагают свои услуги и т.п. Но по ходу написания концепция поменялась.…
🤣1
Вся наша жизнь состоит из принятия решений, и основная причина принятия нами ошибочных решений отнюдь не в избытке информации (не будем рассматривать ситуацию с умышленной дезинформацией и фейками, здесь не этот случай точно), а в ее недостатке. Именно по этой причине мы часто прибегаем к методу «Мозгового штурма», выбирать их предложенных вариантов несравненно проще, чем придумывать. Тем более замечательно, если рассматриваемые варианты имеют под собой какую-либо практику использования. Очень часто ни один из описанных вариантов не подходит полностью в описанной редакции, поэтому мы в итоге останавливаемся на некотором «среднем», собранном из комбинации рассматриваемых (например, первые метрики услуг ИБ я придумывал читая книжки про ИТ). И даже скажу более, порой решение находишь там, где меньше всего его ожидаешь!
Очень приятно, что Алексей Викторович читает мои нескромные мысли, очень хорошо, что мои заметки вызывают эмоцию и побуждают к действию, как минимум, писать другие заметки, содержащие критику и предложения альтернативных вариантов.
Возможность выбора из множества вариантов позволит в конечном итоге каждому найти то, что для него будет работать наилучшим образом.
Очень приятно, что Алексей Викторович читает мои нескромные мысли, очень хорошо, что мои заметки вызывают эмоцию и побуждают к действию, как минимум, писать другие заметки, содержащие критику и предложения альтернативных вариантов.
Возможность выбора из множества вариантов позволит в конечном итоге каждому найти то, что для него будет работать наилучшим образом.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Как приоритизировать инциденты ИБ или алаверды Сергею Солдатову
Написал я в ноябре заметку о том, как выбирать/приоритизировать события ИБ, на которые надо реагировать в SOC в первую очередь. Это был один из возможных вариантов, с которым я сталкивался в свое время. Эта заметка вызвала совсем небольшое обсуждение в одном…
🔥3❤2🤣2👍1
Контроль – это не значит «делать самому»!
Практически в каждой заметке я пишу про интегрированную безопасность, когда безопасностью занимаются все, а CISO является некоторым экспертом-фасилитатором. Т.е. CISO придумывает контроли и контролирует их работу (метрики на эффективность и результативность, здесь я рассказывал применительно к работе SOC, но описанный в начале подход применим к любой предметной области, требующей измерения, слайды сейчас скину). Наиболее частый «конфликт» между ИТ и ИБ как раз и связан с тем, что ИБ стремится самостоятельно выполнять свои контроли ИБ в ИТ-инфраструктуре, например, управлять межсетевыми экранами, не понимая, что это провоцирует снижение безопасности. И даже дело не в том, что если что-то мешает, это стремятся по-тихому обойти, все еще проще, проблема в размывании ответственности.
Доступность – это компонент безопасности, не менее важный чем конфиденциальность и целостность. Для доступности важно и время восстановления при сбое, а время восстановления зависит от эффективности коммуникаций между обслуживающими подразделениями. Теперь представим ситуацию, когда у нас сетевое оборудование – ответственность ИТ, а межсетевые экраны – ответственность ИБ, а коммуникации между ними проходят по «официальным маршрутам», служебными записками (!)..., а еще у ИТ и ИБ есть «конфликт»... В общем, пока ИТ и ИБ, в процессе решения инцидента почему пользователь из региона не может добраться до корпоративной ERP, выясняют кто из них больше неправ, кто хуже делает свою работу и вообще во всем виноват, обмениваясь служебными записками.... пользователь из региона по-прежнему не может достучаться до ERP и выполнить свою работу, а безопасность в части доступности находится на нуле.
Эффективные рабочие коммуникации – не менее важный компонент безопасности, чем целостность, конфиденциальность, доступность, аутентичность и прочие перспективы
#пятница #vCISO
Практически в каждой заметке я пишу про интегрированную безопасность, когда безопасностью занимаются все, а CISO является некоторым экспертом-фасилитатором. Т.е. CISO придумывает контроли и контролирует их работу (метрики на эффективность и результативность, здесь я рассказывал применительно к работе SOC, но описанный в начале подход применим к любой предметной области, требующей измерения, слайды сейчас скину). Наиболее частый «конфликт» между ИТ и ИБ как раз и связан с тем, что ИБ стремится самостоятельно выполнять свои контроли ИБ в ИТ-инфраструктуре, например, управлять межсетевыми экранами, не понимая, что это провоцирует снижение безопасности. И даже дело не в том, что если что-то мешает, это стремятся по-тихому обойти, все еще проще, проблема в размывании ответственности.
Доступность – это компонент безопасности, не менее важный чем конфиденциальность и целостность. Для доступности важно и время восстановления при сбое, а время восстановления зависит от эффективности коммуникаций между обслуживающими подразделениями. Теперь представим ситуацию, когда у нас сетевое оборудование – ответственность ИТ, а межсетевые экраны – ответственность ИБ, а коммуникации между ними проходят по «официальным маршрутам», служебными записками (!)..., а еще у ИТ и ИБ есть «конфликт»... В общем, пока ИТ и ИБ, в процессе решения инцидента почему пользователь из региона не может добраться до корпоративной ERP, выясняют кто из них больше неправ, кто хуже делает свою работу и вообще во всем виноват, обмениваясь служебными записками.... пользователь из региона по-прежнему не может достучаться до ERP и выполнить свою работу, а безопасность в части доступности находится на нуле.
Эффективные рабочие коммуникации – не менее важный компонент безопасности, чем целостность, конфиденциальность, доступность, аутентичность и прочие перспективы
#пятница #vCISO
phdays.com
Positive Hack Days
Первый открытый фестиваль по кибербезопасности в России
👍6😁1
Солдатов в Телеграм
Контроль – это не значит «делать самому»! Практически в каждой заметке я пишу про интегрированную безопасность, когда безопасностью занимаются все, а CISO является некоторым экспертом-фасилитатором. Т.е. CISO придумывает контроли и контролирует их работу…
pr-Metrics-v3-phd.pdf
8.1 MB
Как обещал, скидываю слайды с PHD2023 . Доклад назывался "Metrics in Security Operations"
👍6
В одном из аналитических обзоров от наших коллег по цеху, тоже поставщиков услуг SOC/MDR, увидел что в 2023 "доля критичных инцидентов от общего числа атак снизилась по сравнению с 2022 годом: от 40-45% до 20-25%". Не будем брать во внимание, что более чем каждый третий, чуть ли не каждый второй, инцидент – это сильно (!), и что вообще вкладывается в понятие "критичный инцидент" – это очевидные причины разброса процентов и здравого смысла...
Возможно, менее очевидной причиной являются начальные условия и критерии подключения, а точнее – минимальный набор средств безопасности, которыми должна обладать клиент. И здесь уже понятно, что одно дело, когда у клиента развернуты современные эффективные превентивные системы, которые даже при полном бездействии по респонсу будут обеспечивать вполне удовлетворительную защиту, и совсем другое дело, когда у клиента только пассивные навесные системы мониторинга, где активный респонс в любом случае надо делать вручную вплоть до удаления ВПО. Понятное дело, что необходимость ручной компенсации отсутствия того же EPP будет иметь весьма немалый вклад и в количество инцидентов и в их критичность!
Возможно, менее очевидной причиной являются начальные условия и критерии подключения, а точнее – минимальный набор средств безопасности, которыми должна обладать клиент. И здесь уже понятно, что одно дело, когда у клиента развернуты современные эффективные превентивные системы, которые даже при полном бездействии по респонсу будут обеспечивать вполне удовлетворительную защиту, и совсем другое дело, когда у клиента только пассивные навесные системы мониторинга, где активный респонс в любом случае надо делать вручную вплоть до удаления ВПО. Понятное дело, что необходимость ручной компенсации отсутствия того же EPP будет иметь весьма немалый вклад и в количество инцидентов и в их критичность!
👍4
Некоторое время назад обсуждал со старшим что такое свобода. Вопрос многогранный, но очень важный, а поскольку, при создании чата мы договаривались говорить о важном, предлагаю вашему вниманию свой поток мыслей на эту тему в новой заметке "Свобода".
Дзен | Статьи
Свобода
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Людей удовлетворить невозможно. Те, у кого мало, хотят, чтобы стало много. А у кого много, хотят еще больше.
👍2❤1🔥1
В период с 2001 по 2002, два года я отдал программированию, писал на С/C++ и Perl, параллельно, учась в Бауманке, в "Специалисте" читал Java, правда, очень недолго. И ко всем языкам программирования я относился крайне спокойно (даже С со своим ручным управлением памятью!), особое негодование вызывал только Python, на который я был вынужден перейти с любимого Perl, который стал плохо поддерживаться и развиваться.
Python супр-популярен, есть масса действительно хороших и удобных библиотек (а для ML-щиков, похоже, вещь незаменимая, ну если только кто-то фанат R...), но есть и куча нервирующих мелочей, типа отсутствия унарного инкремента или отсутствие тернарного оператора.... но самое раздражающее для меня - невозможность обратиться к несуществующему ключухеша словаря, что вынуждает делать кривые проверки 😅 Вот вчера снова пришлось об этом вспомнить....
Может, я что-то не знаю\не понимаю\делаю неправильно?
Python супр-популярен, есть масса действительно хороших и удобных библиотек (а для ML-щиков, похоже, вещь незаменимая, ну если только кто-то фанат R...), но есть и куча нервирующих мелочей, типа отсутствия унарного инкремента или отсутствие тернарного оператора.... но самое раздражающее для меня - невозможность обратиться к несуществующему ключу
Может, я что-то не знаю\не понимаю\делаю неправильно?
😁4🤣1
Составляя аналитический отчет по инцидентам за 2023, тенденцию подтверждаю: 2023 значительно спокойнее чем 2022
🥰2👍1
Forwarded from Утечки информации
Продолжаем (начало тут и тут) анализировать российские утечки данных.
Сегодня посмотрим на утечки первой половины января 2024 года и сравним результаты с таким же периодом прошлого года. 👇
Во время новогодних праздников всего попало к нам на анализ:
🌵 5,342 млн уникальных адресов эл. почты
🌵 5,755 млн уникальных телефонных номеров.
При сравнении с январем 2023 года, в 2024 году мы видим снижение в 2.5 раза по уникальным номерам и на 20% по уникальным адресам.
Сегодня посмотрим на утечки первой половины января 2024 года и сравним результаты с таким же периодом прошлого года. 👇
Во время новогодних праздников всего попало к нам на анализ:
🌵 5,342 млн уникальных адресов эл. почты
🌵 5,755 млн уникальных телефонных номеров.
При сравнении с январем 2023 года, в 2024 году мы видим снижение в 2.5 раза по уникальным номерам и на 20% по уникальным адресам.
👍2❤1
Несмотря на то, что невозможность и отсутствие смысла покрывать всю MITRE ATT&CK прописано оригинальной документации (см. раздел 2.1 ATT&CK Coverage) мы, вендоры, по-прежнему продолжаем мериться своей MITRE
Что означает закрашенная клеточка: наличие хотя бы одного детекта для техники; или детекты для всех, приведенных процедур в MITRE; или детекты всех процедур техники, известных вендору? К сожалению, "покрытие MITRE" имеет немного практического смысла, но выглядит маркетингово весьма привлекательно
#пятница
Что означает закрашенная клеточка: наличие хотя бы одного детекта для техники; или детекты для всех, приведенных процедур в MITRE; или детекты всех процедур техники, известных вендору? К сожалению, "покрытие MITRE" имеет немного практического смысла, но выглядит маркетингово весьма привлекательно
#пятница
💯7👍4😁3🤔1
В прошлом году младшего учил кататься на лыжах замечательный инструктор. Как-то мы с ним обсуждали какую скорость можно развивать на лыжах, и он рассказал, что а) более 100 км/ч у него не получалось, да и не точно нужно, поскольку быстро остановиться на такой скорости невозможно, б) максимальные скорости развиваются именно на синих трассах.
В прошедшие выходные в Архызе мой авантюризм взял меня на "слабо", и да, действительно наибольшие скорости показывались именно на синих трассах, но помимо психологии: синие кажутся проще, менее страшными, они более пологи и лучше просматриваются, очевидно, имеет место и элементарная физика: GPS-спидометры измеряют нашу скорость по катету, а мы движемся по гипотенузе. В случае крутой черной трассы (в частности, 7-ой на которой я и проводил испытания) катет значительно короче гипотенузы, тогда как на пологой синей (в частности на 16-ой) длинный катет практически равен гипотенузе. Могу с уверенностью сказать, что по ощущениям на черной скорость была значительно выше, однако спидометр показал только 90 км/ч, а на синей аж 92 при менее экстремальных ощущениях.
Вывод простой: GPS-спидометры при движении по склону горы ошибаются в измерении скорости, причем, чем круче склон, тем больше будет ошибка, в меньшую сторону, поскольку, похоже, не учитывается движение по высоте.
Описанные "опыты" я ставил ранним утром, когда трассы еще в превосходном состоянии и практически пустые, тем не менее, никому не рекомендую повторять подобные эксперименты!
#здоровье
В прошедшие выходные в Архызе мой авантюризм взял меня на "слабо", и да, действительно наибольшие скорости показывались именно на синих трассах, но помимо психологии: синие кажутся проще, менее страшными, они более пологи и лучше просматриваются, очевидно, имеет место и элементарная физика: GPS-спидометры измеряют нашу скорость по катету, а мы движемся по гипотенузе. В случае крутой черной трассы (в частности, 7-ой на которой я и проводил испытания) катет значительно короче гипотенузы, тогда как на пологой синей (в частности на 16-ой) длинный катет практически равен гипотенузе. Могу с уверенностью сказать, что по ощущениям на черной скорость была значительно выше, однако спидометр показал только 90 км/ч, а на синей аж 92 при менее экстремальных ощущениях.
Вывод простой: GPS-спидометры при движении по склону горы ошибаются в измерении скорости, причем, чем круче склон, тем больше будет ошибка, в меньшую сторону, поскольку, похоже, не учитывается движение по высоте.
Описанные "опыты" я ставил ранним утром, когда трассы еще в превосходном состоянии и практически пустые, тем не менее, никому не рекомендую повторять подобные эксперименты!
#здоровье
👍6🔥4🤯1
Вчера вечером с супругой сидели в кофейне, пили кофе, ели пирожные. Невольно разговор зашел о финансовых подушках, накоплениях, инвестировании... и дошел до анти-потребления и того, что если мы хотим разбогатеть, то мы не должны сидеть здесь и тратить на кофе 1000 р, а инвестировать ее....
В общем, от меня был монолог, примерно следующего содержания:
https://dzen.ru/a/ZbfbxNnqGHaVVDuL
#финансы
В общем, от меня был монолог, примерно следующего содержания:
https://dzen.ru/a/ZbfbxNnqGHaVVDuL
#финансы
Дзен | Статьи
Анти-потребление?
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Не понаслышке каждому россиянину известно, что на пенсию довольно сложно прожить, в любом случае сохранить тот же уровень жизни будет
👍13😁5
Gartner SOC 2023.pdf
368.3 KB
У меня неоднозначное отношение к Гартнеру. С одной стороны – это коммерческая организация, поэтому, в целом, кто платит, тот и заказывает что написать, но, с другой стороны, ребята общаются с лучшими на рынке, поэтому их аналитика является неплохой компиляцией лучших современных практик. Вот именно за эту возможность создания собирательного образа «лучшего на рынке», наверно, мы и любим читать их документы.
Вот и сейчас Гартнер выдал очередную компиляцию лучших практик по обеспечению функций SOC на предприятии... А там, все как мы любим – гибридные SOC-и! Несмотря на всю очевидность преимуществ гибридного подхода, по-прежнему встречаются желающие делать все исключительно самостоятельно или все полностью зааутсорсить. Конечно, так или иначе можно сделать все, однако, едва ли это будет эффективно и результативно. Вот даже и Гартнер об этом написал!
#vCISO
Вот и сейчас Гартнер выдал очередную компиляцию лучших практик по обеспечению функций SOC на предприятии... А там, все как мы любим – гибридные SOC-и! Несмотря на всю очевидность преимуществ гибридного подхода, по-прежнему встречаются желающие делать все исключительно самостоятельно или все полностью зааутсорсить. Конечно, так или иначе можно сделать все, однако, едва ли это будет эффективно и результативно. Вот даже и Гартнер об этом написал!
#vCISO
🔥5👍2
О несчастье: в Huawei Watch GT 2e нет тренировки "Горные лыжи"! Я тестировал Коньки, Бег, Ходьбу, Биатлон... Но лучше всех подошел Велосипед - все что надо измеряется: пульс, скорость, высота, трек снимается, результат синхронизуется в Strava, а в Strava уже можно изменить некорректный Велосипед на фактические Горные лыжи
#здоровье
#здоровье
👍3🔥1