Вчера на SOCTex подходили ребята и спрашивали слайды с нашего митапа про анализ защищенности. О чем писал здесь, да, в целом, и на посиделках с ВК говорил примерно то же. Пользуясь удобствами Телеграм, публикую ту презентацию и сюда.

#vCISO

На этой сессии говорили, что искусство всегда будет "зоной ответственности" Человека, однако, лично я поймал себя на мысли, что искусство - вопрос вкуса, а мой собственный вкус (что мне понравится, а что нет) очень часто весьма успешно предсказуем: я читаю книги, смотрю фильмы которые мне предлагает рекомендательная система на основе оцененных мною просмотренных\прочитанных ранее, и она практически никогда не ошибается.
Профессиональные художники, так или иначе, стремятся монетизировать свое искусство (собственно, это заложено в слово «профессионал»), а чтобы работы покупали, они должны нравиться, а значит, их картины должны угадывать вкус аудитории… В общем, вполне возможно, что ML/DL будет успешно рисовать картины, угадывая вкус, и это будет хорошо монетизироваться. Тем более, что такое уже есть – нейросети прекрасно рисуют, и это многим нравится, осталось сделать бизнес на продаже «киберискусства».
Говорят, с кем поведешься, от того и наберешься…, но уж очень не хочется превращаться в машину. Об этом уже писал в 2015-м, когда только начал увлекаться практическим машобучем

Когда предметная область достаточно изучена, а креативности выдать новое не хватает, горе-новаторы начинают пытаться подниматься на абсурдных идеях, используя манипуляции типа шоковой терапии с целью привлечения внимания, причем, чем бредовей идея (или чем больше она "не формат"), тем более привлекательна.
 
Когда-то такой метод использовали вендоры новых эндпоинтов, отстраиваясь от «классических» антивирусов, они же кричали, что "антивирусы мертвы"....
... как это не удивительно, кричат до сих пор!

И, знаете что? Они - не врут! Объясню почему.
Проблема в том, что они не знают\не понимают что из себя представляет современный "антивирус", лучше будем говорить "эндпоинт" (средство защиты конечной точки), и это незнание выдают утверждения, типа "файловый антивирус", что для того, чтобы предотвращать угрозу надо иметь "сэмпл" в коллекции и т.п. Но будем рассуждать логически: если современные эндпоинты действительно такие убогие, какими их рисуют эксперты, то они на самом деле не нужны, и здесь эксперты не врут. Но проблема в том, что таких убоих эндпоинтов, соответствующих критериям экспертов, уже и нет на рынке. Причем, сам факт их отсутствия на рынке прекрасно доказывает то, что они и не нужны, поскольку, если бы они были нужны в таком функционале, то они непременно появились бы на рынке (они радикально проще, чем современные эндпоинты, и если бы на них был спрос, предложение не заставило бы себя ждать)

#пятница

В новой статье поделился своим опытом изучения иностранных языков. Научиться эффективно и быстро учиться - это самый главный навык современного человека. Изучение иностранных языков - доступный и наиболее проработанный общественностью способ тренировки своей способности учиться. Пишите в комментариях свои трюки, которые вы применяете для запоминания. Лично я фанат постоянного обучения, мне будет очень интересно, уверен, вынесу для себя что-то новое

https://dzen.ru/a/ZWrs44O3QEVBR-xG

Невозможно переоценить важность практических навыков работы с данными! Очень часто именно визуализация позволяет нам увидеть искомые закономерности.

Сегодня на Coursera упражнялся с Plotly, и, скажу вам, Plotly - огонь! Помимо значительной простоты, в сравнении с классической Matplotlib, мы получаем интерактивные графики, которые потом можно приближать\отдалять и, в целом, изучать.

Также, вполне очевидна применимость Plotly не только для какой-то постфактумной аналитики и отчетности, но и для интерактивного анализа данных сетевой и хостовой телеметрии с целью, например, обнаружения скрытых атак.

А вот этот эфир уже значительно более интересный!
Вызвал уныние результат опроса, где на первом месте Управление уязвимостями, причем в этом же выпуске был отличный монолог от Димы, что надо не бороться с эксплуатацией, а делать невозможным развитие атаки. Некоторое время назад я ровно об этом же писал, именно про невозможность реализовать успешное Управление уязвимостями, и, тем не менее, мы видим, что немало коллег по-прежнему продолжает верить в возможность все запатчить, инвестируют туда уйму ресурсов и безгранично надеются на успешность своего процесса Vulnerability Management…

А невозможность результативного Vulnerability Management-а (VM) подтверждается всей нашей историей – все эти ms03-026, ms08-067, ms17-010, …. ProxyShell, ProxyLogon, … И, в связи с усложнением ИС, увеличения количества уровней абстракции, успешность нашего VM будет только снижаться. Ну если мы уже не верим в тотальный prevention и вполне ужились с концепцией Assume breach, почему мы никак не привыкнем к Assume Vulnerable, и не начнем больше инвестировать в Visibility, ограничение полномочий (и все остальное, что называется модным термином Zero Trust), делая уязвимость неэксплуатируемой, а если и эксплуатируемой, то не приводящей к ущербу?

Мой друг и коллега, Константин Сапронов, руководитель нашей глобальной команды реагирования (Global Emergency Response Team, GERT), человек с уникальным опытом в DFIRMA, автор книжек по форенсике, ... можно перечислять бесконечно заслуги Кости перед ЛК и мировой индустрией ИБ в целом ... дал интервью для AM:

https://t.iss.one/anti_malware/16344

В журнале "Информационная безопасность", в весьма представительной компании коллег по отрасли, опубликовали мои мысли относительно коммерческих SOC
https://cs.groteck.ru/IB_5_2023/20/index.html

Сегодня с Русским офисом подводили итоги года. Наша секция была хеви, но мы старались ее сделать максимально лайтовой :) Как я вам с хаиром?

Меня не перестает удивлять достаточные бодрые метрики SLA некоторых игроков рынка. В целом, любой волен говорить что угодно, но проблема в том, что они создают стереотипы, которые потом сложно разоблачать. Даже Алексей, рекордсмен по формированию стереотипов в отечественной индустрии ИБ (в хорошем смысле этого слова), не раз писал об удивительности времени реакции в 15-20 минут (ну, если, конечно, это не автоматическая отбивка, что ваш issue взят в работу 😂, ибо с учетом конверсии не превышающей 20%, только каждое пятое такое оповещение будет иметь для заказчика хоть какой-то смысл). В новой заметке я тоже порассуждал о времени реакции, пытаясь обосновать, что 1 час - это вполне нормально.

https://dzen.ru/a/ZXBaMkxB1w2aNCCf

А вот ребята сделали дайджест моих ответов из вот этой статьи. По-моему, красиво!