Невозможно переоценить важность практических навыков работы с данными! Очень часто именно визуализация позволяет нам увидеть искомые закономерности.

Сегодня на Coursera упражнялся с Plotly, и, скажу вам, Plotly - огонь! Помимо значительной простоты, в сравнении с классической Matplotlib, мы получаем интерактивные графики, которые потом можно приближать\отдалять и, в целом, изучать.

Также, вполне очевидна применимость Plotly не только для какой-то постфактумной аналитики и отчетности, но и для интерактивного анализа данных сетевой и хостовой телеметрии с целью, например, обнаружения скрытых атак.

А вот этот эфир уже значительно более интересный!
Вызвал уныние результат опроса, где на первом месте Управление уязвимостями, причем в этом же выпуске был отличный монолог от Димы, что надо не бороться с эксплуатацией, а делать невозможным развитие атаки. Некоторое время назад я ровно об этом же писал, именно про невозможность реализовать успешное Управление уязвимостями, и, тем не менее, мы видим, что немало коллег по-прежнему продолжает верить в возможность все запатчить, инвестируют туда уйму ресурсов и безгранично надеются на успешность своего процесса Vulnerability Management…

А невозможность результативного Vulnerability Management-а (VM) подтверждается всей нашей историей – все эти ms03-026, ms08-067, ms17-010, …. ProxyShell, ProxyLogon, … И, в связи с усложнением ИС, увеличения количества уровней абстракции, успешность нашего VM будет только снижаться. Ну если мы уже не верим в тотальный prevention и вполне ужились с концепцией Assume breach, почему мы никак не привыкнем к Assume Vulnerable, и не начнем больше инвестировать в Visibility, ограничение полномочий (и все остальное, что называется модным термином Zero Trust), делая уязвимость неэксплуатируемой, а если и эксплуатируемой, то не приводящей к ущербу?

Мой друг и коллега, Константин Сапронов, руководитель нашей глобальной команды реагирования (Global Emergency Response Team, GERT), человек с уникальным опытом в DFIRMA, автор книжек по форенсике, ... можно перечислять бесконечно заслуги Кости перед ЛК и мировой индустрией ИБ в целом ... дал интервью для AM:

https://t.iss.one/anti_malware/16344

В журнале "Информационная безопасность", в весьма представительной компании коллег по отрасли, опубликовали мои мысли относительно коммерческих SOC
https://cs.groteck.ru/IB_5_2023/20/index.html

Сегодня с Русским офисом подводили итоги года. Наша секция была хеви, но мы старались ее сделать максимально лайтовой :) Как я вам с хаиром?

Меня не перестает удивлять достаточные бодрые метрики SLA некоторых игроков рынка. В целом, любой волен говорить что угодно, но проблема в том, что они создают стереотипы, которые потом сложно разоблачать. Даже Алексей, рекордсмен по формированию стереотипов в отечественной индустрии ИБ (в хорошем смысле этого слова), не раз писал об удивительности времени реакции в 15-20 минут (ну, если, конечно, это не автоматическая отбивка, что ваш issue взят в работу 😂, ибо с учетом конверсии не превышающей 20%, только каждое пятое такое оповещение будет иметь для заказчика хоть какой-то смысл). В новой заметке я тоже порассуждал о времени реакции, пытаясь обосновать, что 1 час - это вполне нормально.

https://dzen.ru/a/ZXBaMkxB1w2aNCCf

А вот ребята сделали дайджест моих ответов из вот этой статьи. По-моему, красиво!

Огромное время тратят аналитики SOC на борьбу с фолсой! Причем, насколько результативнее эта борьба, тем эффективнее работа SOC в целом.
Часто SOC рассматривается как внутренний подрядчик, например, корпоративная ИБ нанимает SOC для мониторинга своих инструментов - NGFW, EDR, NTA и т.п. Так как инструментами владеет корп. ИБ, то и управление изменениями - на их стороне.

Проблема выглядит так: SOC видит фолсу и хочет ее пофильтровать, скажем на NGFW (действительно, зачем ее тащить в SIEM и тратить его лицензию), формирует обращение в копр. ИБ (они же вносят\согласуют изменения политик NGFW) и ... получают отказ!
Я прибегаю в корп. ИБ, начинаю объяснять, что, мол, чем меньше будет фолсы, тем лучше мы будем работать, это в наших общих интересах.... а вот эти события - ложные срабатывания! И получаю следующий ответ: "Сергей, неужели вы считаете себя умнее, чем производитель NGFW, который придумал эти правила?!"

В общем, мои дорогие, адаптировать детектирующую логику надо! Это как если вы купили машину, и решили подстроить под себя сиденье, положение зеркал заднего вида, высоту руля и т.п. - и здесь нам с вами, конечно же, лучше знать, чем производителю, как нам удобно!

#пятница

Мне, как получившему инженерное образование, тема мировой физики близка не меньше, чем профессиональная область - ИТ.
Сейчас читаю замечательную книжку - Берд, Шервин. Оппенгеймер, и ловлю себя на мысли о параллелях между Опенгейиером и Джобсом, чья биография прекрасно изложена не менее известным биографом Уолтером Айзексоном в одноимённой книге, которую также настоятельно рекомендую каждому ИТшнику.
Как и Джобс, Оппенгеймер - дитя эпохи, обоим посчастливилось быть участниками технологических революций своего времени и по биографиям обоих можно изучать становление мировых ИТ и "новой физики". В своей биографии Оппенгеймер пересекается с Паули, Дираком, Борном, Резерфордом, Гейзенбергом и многими другими, чьи имена мы помним со страниц неклассической физики и физической химии.
В свое время аналогичное впечатление произвола биография Ландау, написанная, ЕМНИП, его супругой или ее сестрой - также рекомендую к прочтению интересующимся физикой.

#книги

Энтропия - величина неубывающая, и наш мир стремится к состоянию покоя, поэтому у каждой силы найдется противосила, для материи найдется антиматерия, а у электрона есть позитрон... Законы физики работают и в менеджменте, и в психологии, поэтому во всем есть положительные и отрицательные моменты.

В новой заметке рассуждал о выгорании мотивированных лидеров. Надеюсь, каждый, и лидер, и аутсайдер, и их менеджер, найдет для себя в ней что-то полезное

https://dzen.ru/a/ZXR7wi87ZBZRt0hm

#управление