За вычетом геополитического налёта и аттрибуции, достаточно полезное чтиво

https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access

Не могу не поделиться нашим поздравлением друг друга с 238 мартраля!

Есть мнение, что надо строго разделять работу и неработу, я с этим согласен лишь отчасти. Как бы мы не пытались быть сдержанными и формальными, все равно отношения в коллективе не всегда удается ограничить исключительно производственными. Поэтому наше человеческое, наши психологические особенности влияют (а во многом и определяют!) на то, как мы работаем.

А чтобы мы хорошо работали, надо чтобы психологическая обстановка в коллективе была здоровой. Всем проблемы наших отношений скрываются в том, что мы друг друга не понимаем, а не понимаем потому что плохо знаем, знаем друг друга только исключительно с тех сторон, которые имеют отражение в производственной деятельности, а это - о-малое. Все эти активности за рамками работы позволяют нам лучше друг друга узнать, узнать комплексно, с разных сторон, и, как следствие, лучше понимать!

Очень приятно, когда работодатель понимает описанную здесь простую логическую цепочку и не жалеет ресурсов на то, чтобы работники за годы работы стали друзьями!

Можно сказать, что сегодня юбилей альбома "The Time of the Oath" группы Helloween. Альбом увидел свет 29 февраля 1996 года, 28 лет назад. Не так много вещей в Helloween мне нравились, но среди них есть немало и из "эпохи Дериса", и из "эпохи Киске". И вроде бы ничего особенного, мне нравится совершенно разная музыка, причем увлечения заметно меняются во времени, но неизменно близкими остаются композиции с историей.

У меня есть замечательный друг, вокалист-природник, Олег Савченко. Мы любили собраться в его гостеприимном доме, попеть в караоке. И где-то в 2013-2015 Олег напомнил мне о Forever and one, которую я слышал и ранее, но как-то подзабыл. Вот тут я и решил ее разучить.
Оригинальная тональность мне не удобна, на высоких нотах получалось грязновато, но, пониженная на 2, оказалась вполне рабочей. И в январе 2016, аккурат в 20-летний юбилей альбома, я записал ее в студии на конкурс "Роснефть зажигает звезды" (тогда я работал в Роснефти, а, имея с детства не реализованные мечты театрального актера, и тогда и сейчас стараюсь не пропускать возможность поучаствовать во всякого рода самодеятельности).

Итак, вашему вниманию предлагается мой вариант Forever and one 8-летней давности, не судите строго, зато от души. В комментарий к этой заметке заброшу отдельно аудио-дорожку.

#музыка

Конверсия, Вклад и Адаптация

На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества True positive алертов к общему количеству алертов по данному ханту, фактически, это True positive rate (TPR) ханта. Конверсия измеряет эффективность (effectiveness) ханта, т.е. из множества "выстрелов" данного ханта сколько попало в цель.
Вклад - это отношение True postive алертов по данному ханту к общему количеству True postive алертов, или, что лучше отражает смысл - отношение инцидентов, выявленных с помощью данного ханта, к общему количеству инцидентов, т.е. какую долю инцидентов мы находим непосредственно с помощью этого ханта. Вклад измеряет результативность (efficiency) ханта, т.е. из множества попавших в цель выстрелов, сколько будут из данного ханта.

Конверсия - один из годовых KPI команды Detection Engineering-а, с начала времен работ по созданию детектов. На начальных этапах развития погрешностями измерения конверсии, связанными с проблемами адаптации, пренебрегали. Но с повышением как самого значения конверсии по хантам, так и уровня зрелости процессов разработки детектов, захотелось минимизировать погрешность адаптации.

С начала этого года в регулярных метриках хантов начали учитывать четыре разные конверсии - для каждого типа клиентов. А типы пока ввели следующие:
- com - коммерческий клиент, для которого прошел период адаптации (пока настроили статично: прошло 60 дней с начала работ, в перспективе, этот период можно сделать динамическим, может даже вычисляемым с использованием ML, в зависимости от клиента, так как для разных клиентов адаптация длится разное время)
- poc - пилотный проект
- new - коммерческий клиент, для которого период адаптации еще не закончен (еще не прошли 60 дней с момента начала работ)
- not_mdr - клиенты, с которыми работа проводится по сценарию MDR, но в рамках других проектов - например, облачный сценарий Compromise Assessment.

Т.е. для каждого ханта, помимо общей конверсии, как ранее, мы теперь считаем дополнительные 4 конверсии в зависимости от того на каких клиентах они выстреливали.
Пока полученные результаты показывают, что учитывать степень адаптации детектирующей логики под клиента при расчете конверсии - хорошая практика. Посмотрим динамику этих значений, если увидим новые проблемы, будем придумывать новые решения, о которых обязательно расскажем.

Ах да, чуть не забыл, в KPI команде исследований будем ставить конверсию по com-клиентам.

Досмотрел! До эфира у меня было четкое понимание purple teaming-а, но во время эфира оно стало размываться, глубоко интерферируя с red-teaming-ом, пентестами, багбаунти, BAS-ами и прочими платформами автоматизации ИБ. Спасибо Сергею Повышеву из Северсталь Менеджмент, который подключился в середине дискуссии и вернул диалог в конкретные практические вещи. После его включения, я снова обрел уверенность в четкости своего понимания purple-teaming-а.

У меня много драфтов статей, которые я по разным причинам не закончил, есть и про purple teaming. После эфира я понял, что обязательно надо найти время и довести ее до конца, поскольку сам часто обращаюсь к термину «purple teaming», и мне нужно обозначить границы того, что я под этим понимаю, ибо каких-то «общеизвестных» или «всем понятных», как я понял из эфира, нет.

Несколько лет назад, одна моя знакомая, Зена Олсен, писала диссертацию по теме Enterprise Purple Teaming, я был одним из респондентов, мы обсуждали эту тему в разных перспективах. В рамках подготовки к диссертации Зена собрала достаточно материалов по теме, думаю, для понимания, этот каталог ресурсов будет полезен:
https://github.com/ch33r10/EnterprisePurpleTeaming

Positive Hack Days - замечательное мероприятие! Здесь можно встретить тех, кого давно не видел, пообщаться вживую (помним, что более 65% информации передается невербально!), познакомиться с новыми интересными людьми, в конце концов послушать интересные доклады и просто ментально отдохнуть...

15.03 - окончание приема заявок от потенциальных спикеров, т.е. у нас с вами только 10 дней!
Я подался в бизнес-секцию на этот раз, а вы?

Надеюсь, увидимся!

Дорогие дамы, девушки, женщины, красавицы, умницы, люди с активной жизненной позицией, кибер-леди и ИТ-богини!

Пускай погода против нас,
Но, несмотря на это,
Позвольте написать для вас
Поздравление поэта...

Март, весна – начало года,
Начло новых дел, задач.
Успехов вам во всем! Удач!
И достойного дохода!

Не надо нового бояться,
Оно - движения вперед.
Кто, ошибаясь, исправлялся
С годами мудрость обретет.

Жалю я, чтобы сквозь годы
Вы прошли бы без потерь,
И назло временным невзгодам
От счастья ключ нашел бы дверь!

Поздравляю вас с Международным женским днем! Пусть у нас с вами все получится, а я буду стараться изо всех сил радовать интересным контентом!

Все мы любим схемки, алгоритмы, чеклисты. Они полезны и начинающим, поскольку сразу позволяют достичь хороших результатов, а для бывалых, обремененных множеством разноплановых знаний и забот, - это способ ничего не забыть.

Мои коллеги из команды DFI разработали плейбук, ссылкой на который я с удовольствием делюсь.

Как обещал, делюсь размышлениями относительно фиолетовых команд. С учетом текущей своей профдеформации, Фиолетовые для меня, в первую очередь, конечно же, команда Detection engineering-а. Их задача – разработка детектирующей логики, и даже шире, поскольку чтобы что-то продетектить нужны события, их обогащение и обработка, а чтобы сработавший алерт приносил результат, он должен быть корректно обработан командой мониторинга, т.е. должны быть плейбуки и ранбуки.

Откуда же команда Detection engineering-а берет идеи для правил обнаружения? Да откуда угодно! Но, с полным пониманием того, что неразумно пытаться объять необъятное, поэтому фокусируясь в первую очередь на том, что действительно стреляет. Эксперты по управлению уязвимостями используют термин «трендовая уязвимость», с тем же смыслом можно придумать термин типа «трендовых ТТР» – на них в первую очередь и фокусируются Фиолетовые Detection engineer-ы.

Вопрос степени «трендовости» ТТР неоднозначен, так как, если какая-то ТТР не популярна в объеме исследований нашей TI-команды, это не означает, что мы не будем через нее атакованы, а, следовательно, не надо беспокоиться о ее покрытии правилами обнаружения. Но лично я считаю, что есть сценарий, когда вероятность использования ТТР близка к 100% – это анализ защищенности, поскольку факт применения ТТР налицо!

В небольшой заметке я как раз и порассуждал об этом сценарии работы Фиолетовой команды. По опыту замечу, что разобрать отчет от Красных, составить план и добиться его исполнения – вполне себе непростой проект. И лично мое мнение, purple-teaming – прекрасное поле для консалтинга. Объем проекта может быть следующий:
– Составление ТЗ на анализ защищенности
– Опционально: проведение анализа защищенности (может быть и другой поставщик)
– Приемка результата анализа защищенности
– Анализ отчета Красных, формирование плана мероприятий (~ЧТЗ на проект повышения уровня ИБ по результатам анализа защищенности)
– Консалтинг в рамках проекта реализации выработанного плана мероприятий
Любой консалтинг-проект – уникален, поэтому объем, конечно же, обсуждаем!

А вы что думаете о Фиолетовом консалтинге?

#vCISO

Не так давно я читал Threat Detection Report 2023 от Red Canary, так вот они подготовили новый - Threat Detection Report 2024. Мне нравятся отчеты Канареек, так как помимо возможности сверить свою аналитику (SOW у нас схож) можно почерпнуть кое-какие полезные методологические моменты. В их отчетах много внимания уделяется объему и методологии, что очень важно для возможности интерпретации результата.

Биржа – значительно более совершенный способ сохранения и создания накоплений, в сравнении с «классическими» счетами, депозитами, валютой или просто наличными деньгами. Рано или поздно все мы приходим на биржу. Есть масса литературы, материалов, курсов (вот этот, например, считаю обязательным для каждого), поэтому творить банальность перечислением здесь не хочется.

А хочется остановиться вновь на классике – Теодор Драйзер. Финансист. На мой взгляд, в этом романе очень точно показаны особенности характера успешного инвестора. Это сочетание находчивости и смекалки, стратегического мышления, воспитанности и этики с одновременной циничностью и переменчивостью личных предпочтений, неверностью, если хотите, но, вместе со всем этим, главный герой по-прежнему остается во всех отношениях положительным, при всей его противоречивости. Все эти качества пригодятся тем, кому придется участвовать в биржевых торгах, особенно, спекулянтам. При всем этом книжка достаточно интересна и, будучи написанной в начале прошлого века, она по-прежнему актуальна, а значит – классика.

PS: Какое-то время назад я набрел на обрывки биографии Джона Рокфеллера (добавил себе TODO поизучать тов. Джона поподробнее) и его детища Standard Oil (кстати, продолжение истории мировой нефтяной отрасли не менее занимательно (раньше были на Youtube все 4 серии, пропали, но ищущий - найдет!), и очень полезно для понимания современной геополитики). Читая про Рокфеллера, отмечая его черты характера, я постоянно улавливал сходства с Фрэнком Каупервудом.

#книги

Последнее время появилась великое множество экспертов по разного рода эзотерике и экзотике. Коучи по всевозможным энергиям, тарологи, чакрологи и много-много всякого разного, мною никогда не слышанного и поэтому без шансов на запоминание даже термина. Наряду с этими ребятам, результативность деятельности которых крайне сложно оценить, есть и более практичные – например, эксперты по гвоздестоянию, видимо, исходя из названия, они умеют стоять на гвоздях (почему-то вспомнился «Черный обелиск» Ремарка, где жена хозяина кабака умела вытаскивать из стены вбитый гвоздь, ... эээ..., особым образом).

И вот что я придумал! За регулярное посещение Суворовских терм в течение продолжительного времени, я не видел людей, которые бы также спокойно, как я или те, кого я обучал этому, входили и сидели в холодной воде! Поэтому, я открываю консультации по тому, как можно научиться проводить 2 минуты в ледяной воде (~5-8 градусов Цельсия) абсолютно спокойно, а в перспективе, получать от этого удовольствие! Замечу, что холодные ванны нереально полезны, а получать от этого удовольствие можно научиться!

#пятница #здоровье

На днях общался с семьей о важности занятий танцами. Действительно, красота - страшная сила! На подсознательном уровне мы сразу лучше расположены к красивым людям, которые прилично одеты, имеют хорошие манеры и поведение. Мы говорим "хорошо воспитан", но по факту грань между воспитанием и обучением размыта, поэтому всему можно научиться...

Но вернемся к танцам. Занятия танцами расширяют возможности нашего тела, а с учетом большего объема передаваемой информации именно невербально, танцы имеют значимую практическую пользу. Об этом и порассуждал в новой статье
https://dzen.ru/a/ZfWLVoGXSQf7Vj2X

Мой бывший коллега дал замечательное интервью о трендах в походах к защите, эффективности тех или иных мероприятий Синих и об анализе защищённости вообще

Для того, чтобы преуспевать в практике, сначала надо разобраться в теории!

На курорте Архыз проводилась лекция Владимира Данилова о технике катания на лыжах. Лекция едва ли поможет научиться кататься, да я и не советую учиться самостоятельно, обязательно берите опытного инструктора, но будет полезна тем, кто считает себя катающимся хорошо. Лично я для себя почерпнул немало полезного. Лекция получилась почти 2 часа и есть места, которые можно пропускать. Я смотрел фоном на х2, переключаясь на х1,5 на важном. А важным мне показались все моменты относительно техники перекантовки 😁, в целом, это, пожалуй, самое главное умение в катании на лыжах.

Хорошие ребята лекцию записали, вот ссылка на их сообщение.
Однако, к себе я эту лекцию тоже скопировал, вот ссылка ко мне.

#здоровье

Сегодня, думая одновременно о страховании кибер рисков и о шифровальщиках, пришел к выводу, что развитие страхование будет напротив стимулировать рост атак программ-вымогателей. В отсутствии страхования единственным затруднением для атакующих может выступать хоть какое-то напряжение со стороны потенциальной жертвы: все их эшелоны из prevent-detect-hunt, снижают вероятность успешного продвижения от Initial Access до Impact, соответственно, снижают желание атакующих инвестировать ресурсы в рискованное для них предприятие.

В ситуации, когда риск компрометации застрахован, получаем полный win-win:
- потенциальная жертва не занимается минимизацией своих рисков, так как выбрала стратегию передачи риска (в страховую компанию)
- страховая компания зарабатывает на стоимости страховки, она уж точно не занимается борьбой с малварщиками, более того, если страхуемый риск будет более вероятен, они еще больше страховок продадут, еще по большей цене
- атакующему вымогателю тоже выгодно, поскольку, во-первых, с ним никто не борется, а, во-вторых, поскольку риск застрахован, значит все готовы платить этот выкуп - этот сценарий изначально предусмотрен, и учтен в тарифах страховщиков.

Практически уверен, что при наличии страховки от шифровальщиков, страховая компания сама будет настаивать на скорейшей оплате выкупа, если тот покрывается страховкой. Все что нужно атакующему - попасть в страховую выплату, но с этим не будет сложностей, тем более, что я где-то читал, что наблюдается тренд на снижение требуемых выкупов (по-моему здесь). А какое тут поле для всякого рода мошенничества...., ну например, когда малварщики работают на страховую компанию...

Если немного подумать, то страхование будет провоцировать не только рост количества атак шифровальщиков (я выбрал этот пример только потому что он на поверхности), но и вообще любых атак, поскольку расслябляет потенциальную жертву.

На днях отвечал на вопросы типа "какие индустрии атаковали больше в 2023" и в очередной раз столкнулся с недостаточным пониманием разницы между "частотой атаки" и объемом. Чтобы ответить на вопрос: "кого атаковали больше" можно его трансформировать в: "у кого инциденты случались чаще". Количество инцидентов зависит от объема мониторинга, поэтому для оценки "частоты инцидента" когда-то была предложена метрика "удельное количество инцидентов" или "ожидаемое количество инцидентов с единицы объема". Об этой метрике и ее отличии от объема мониторинга или количества выявленных инцидентов моя новая заметка