Досмотрел! До эфира у меня было четкое понимание purple teaming-а, но во время эфира оно стало размываться, глубоко интерферируя с red-teaming-ом, пентестами, багбаунти, BAS-ами и прочими платформами автоматизации ИБ. Спасибо Сергею Повышеву из Северсталь Менеджмент, который подключился в середине дискуссии и вернул диалог в конкретные практические вещи. После его включения, я снова обрел уверенность в четкости своего понимания purple-teaming-а.

У меня много драфтов статей, которые я по разным причинам не закончил, есть и про purple teaming. После эфира я понял, что обязательно надо найти время и довести ее до конца, поскольку сам часто обращаюсь к термину «purple teaming», и мне нужно обозначить границы того, что я под этим понимаю, ибо каких-то «общеизвестных» или «всем понятных», как я понял из эфира, нет.

Несколько лет назад, одна моя знакомая, Зена Олсен, писала диссертацию по теме Enterprise Purple Teaming, я был одним из респондентов, мы обсуждали эту тему в разных перспективах. В рамках подготовки к диссертации Зена собрала достаточно материалов по теме, думаю, для понимания, этот каталог ресурсов будет полезен:
https://github.com/ch33r10/EnterprisePurpleTeaming

Positive Hack Days - замечательное мероприятие! Здесь можно встретить тех, кого давно не видел, пообщаться вживую (помним, что более 65% информации передается невербально!), познакомиться с новыми интересными людьми, в конце концов послушать интересные доклады и просто ментально отдохнуть...

15.03 - окончание приема заявок от потенциальных спикеров, т.е. у нас с вами только 10 дней!
Я подался в бизнес-секцию на этот раз, а вы?

Надеюсь, увидимся!

Дорогие дамы, девушки, женщины, красавицы, умницы, люди с активной жизненной позицией, кибер-леди и ИТ-богини!

Пускай погода против нас,
Но, несмотря на это,
Позвольте написать для вас
Поздравление поэта...

Март, весна – начало года,
Начло новых дел, задач.
Успехов вам во всем! Удач!
И достойного дохода!

Не надо нового бояться,
Оно - движения вперед.
Кто, ошибаясь, исправлялся
С годами мудрость обретет.

Жалю я, чтобы сквозь годы
Вы прошли бы без потерь,
И назло временным невзгодам
От счастья ключ нашел бы дверь!

Поздравляю вас с Международным женским днем! Пусть у нас с вами все получится, а я буду стараться изо всех сил радовать интересным контентом!

Все мы любим схемки, алгоритмы, чеклисты. Они полезны и начинающим, поскольку сразу позволяют достичь хороших результатов, а для бывалых, обремененных множеством разноплановых знаний и забот, - это способ ничего не забыть.

Мои коллеги из команды DFI разработали плейбук, ссылкой на который я с удовольствием делюсь.

Как обещал, делюсь размышлениями относительно фиолетовых команд. С учетом текущей своей профдеформации, Фиолетовые для меня, в первую очередь, конечно же, команда Detection engineering-а. Их задача – разработка детектирующей логики, и даже шире, поскольку чтобы что-то продетектить нужны события, их обогащение и обработка, а чтобы сработавший алерт приносил результат, он должен быть корректно обработан командой мониторинга, т.е. должны быть плейбуки и ранбуки.

Откуда же команда Detection engineering-а берет идеи для правил обнаружения? Да откуда угодно! Но, с полным пониманием того, что неразумно пытаться объять необъятное, поэтому фокусируясь в первую очередь на том, что действительно стреляет. Эксперты по управлению уязвимостями используют термин «трендовая уязвимость», с тем же смыслом можно придумать термин типа «трендовых ТТР» – на них в первую очередь и фокусируются Фиолетовые Detection engineer-ы.

Вопрос степени «трендовости» ТТР неоднозначен, так как, если какая-то ТТР не популярна в объеме исследований нашей TI-команды, это не означает, что мы не будем через нее атакованы, а, следовательно, не надо беспокоиться о ее покрытии правилами обнаружения. Но лично я считаю, что есть сценарий, когда вероятность использования ТТР близка к 100% – это анализ защищенности, поскольку факт применения ТТР налицо!

В небольшой заметке я как раз и порассуждал об этом сценарии работы Фиолетовой команды. По опыту замечу, что разобрать отчет от Красных, составить план и добиться его исполнения – вполне себе непростой проект. И лично мое мнение, purple-teaming – прекрасное поле для консалтинга. Объем проекта может быть следующий:
– Составление ТЗ на анализ защищенности
– Опционально: проведение анализа защищенности (может быть и другой поставщик)
– Приемка результата анализа защищенности
– Анализ отчета Красных, формирование плана мероприятий (~ЧТЗ на проект повышения уровня ИБ по результатам анализа защищенности)
– Консалтинг в рамках проекта реализации выработанного плана мероприятий
Любой консалтинг-проект – уникален, поэтому объем, конечно же, обсуждаем!

А вы что думаете о Фиолетовом консалтинге?

#vCISO

Не так давно я читал Threat Detection Report 2023 от Red Canary, так вот они подготовили новый - Threat Detection Report 2024. Мне нравятся отчеты Канареек, так как помимо возможности сверить свою аналитику (SOW у нас схож) можно почерпнуть кое-какие полезные методологические моменты. В их отчетах много внимания уделяется объему и методологии, что очень важно для возможности интерпретации результата.

Биржа – значительно более совершенный способ сохранения и создания накоплений, в сравнении с «классическими» счетами, депозитами, валютой или просто наличными деньгами. Рано или поздно все мы приходим на биржу. Есть масса литературы, материалов, курсов (вот этот, например, считаю обязательным для каждого), поэтому творить банальность перечислением здесь не хочется.

А хочется остановиться вновь на классике – Теодор Драйзер. Финансист. На мой взгляд, в этом романе очень точно показаны особенности характера успешного инвестора. Это сочетание находчивости и смекалки, стратегического мышления, воспитанности и этики с одновременной циничностью и переменчивостью личных предпочтений, неверностью, если хотите, но, вместе со всем этим, главный герой по-прежнему остается во всех отношениях положительным, при всей его противоречивости. Все эти качества пригодятся тем, кому придется участвовать в биржевых торгах, особенно, спекулянтам. При всем этом книжка достаточно интересна и, будучи написанной в начале прошлого века, она по-прежнему актуальна, а значит – классика.

PS: Какое-то время назад я набрел на обрывки биографии Джона Рокфеллера (добавил себе TODO поизучать тов. Джона поподробнее) и его детища Standard Oil (кстати, продолжение истории мировой нефтяной отрасли не менее занимательно (раньше были на Youtube все 4 серии, пропали, но ищущий - найдет!), и очень полезно для понимания современной геополитики). Читая про Рокфеллера, отмечая его черты характера, я постоянно улавливал сходства с Фрэнком Каупервудом.

#книги

Последнее время появилась великое множество экспертов по разного рода эзотерике и экзотике. Коучи по всевозможным энергиям, тарологи, чакрологи и много-много всякого разного, мною никогда не слышанного и поэтому без шансов на запоминание даже термина. Наряду с этими ребятам, результативность деятельности которых крайне сложно оценить, есть и более практичные – например, эксперты по гвоздестоянию, видимо, исходя из названия, они умеют стоять на гвоздях (почему-то вспомнился «Черный обелиск» Ремарка, где жена хозяина кабака умела вытаскивать из стены вбитый гвоздь, ... эээ..., особым образом).

И вот что я придумал! За регулярное посещение Суворовских терм в течение продолжительного времени, я не видел людей, которые бы также спокойно, как я или те, кого я обучал этому, входили и сидели в холодной воде! Поэтому, я открываю консультации по тому, как можно научиться проводить 2 минуты в ледяной воде (~5-8 градусов Цельсия) абсолютно спокойно, а в перспективе, получать от этого удовольствие! Замечу, что холодные ванны нереально полезны, а получать от этого удовольствие можно научиться!

#пятница #здоровье

На днях общался с семьей о важности занятий танцами. Действительно, красота - страшная сила! На подсознательном уровне мы сразу лучше расположены к красивым людям, которые прилично одеты, имеют хорошие манеры и поведение. Мы говорим "хорошо воспитан", но по факту грань между воспитанием и обучением размыта, поэтому всему можно научиться...

Но вернемся к танцам. Занятия танцами расширяют возможности нашего тела, а с учетом большего объема передаваемой информации именно невербально, танцы имеют значимую практическую пользу. Об этом и порассуждал в новой статье
https://dzen.ru/a/ZfWLVoGXSQf7Vj2X

Мой бывший коллега дал замечательное интервью о трендах в походах к защите, эффективности тех или иных мероприятий Синих и об анализе защищённости вообще

Для того, чтобы преуспевать в практике, сначала надо разобраться в теории!

На курорте Архыз проводилась лекция Владимира Данилова о технике катания на лыжах. Лекция едва ли поможет научиться кататься, да я и не советую учиться самостоятельно, обязательно берите опытного инструктора, но будет полезна тем, кто считает себя катающимся хорошо. Лично я для себя почерпнул немало полезного. Лекция получилась почти 2 часа и есть места, которые можно пропускать. Я смотрел фоном на х2, переключаясь на х1,5 на важном. А важным мне показались все моменты относительно техники перекантовки 😁, в целом, это, пожалуй, самое главное умение в катании на лыжах.

Хорошие ребята лекцию записали, вот ссылка на их сообщение.
Однако, к себе я эту лекцию тоже скопировал, вот ссылка ко мне.

#здоровье

Сегодня, думая одновременно о страховании кибер рисков и о шифровальщиках, пришел к выводу, что развитие страхование будет напротив стимулировать рост атак программ-вымогателей. В отсутствии страхования единственным затруднением для атакующих может выступать хоть какое-то напряжение со стороны потенциальной жертвы: все их эшелоны из prevent-detect-hunt, снижают вероятность успешного продвижения от Initial Access до Impact, соответственно, снижают желание атакующих инвестировать ресурсы в рискованное для них предприятие.

В ситуации, когда риск компрометации застрахован, получаем полный win-win:
- потенциальная жертва не занимается минимизацией своих рисков, так как выбрала стратегию передачи риска (в страховую компанию)
- страховая компания зарабатывает на стоимости страховки, она уж точно не занимается борьбой с малварщиками, более того, если страхуемый риск будет более вероятен, они еще больше страховок продадут, еще по большей цене
- атакующему вымогателю тоже выгодно, поскольку, во-первых, с ним никто не борется, а, во-вторых, поскольку риск застрахован, значит все готовы платить этот выкуп - этот сценарий изначально предусмотрен, и учтен в тарифах страховщиков.

Практически уверен, что при наличии страховки от шифровальщиков, страховая компания сама будет настаивать на скорейшей оплате выкупа, если тот покрывается страховкой. Все что нужно атакующему - попасть в страховую выплату, но с этим не будет сложностей, тем более, что я где-то читал, что наблюдается тренд на снижение требуемых выкупов (по-моему здесь). А какое тут поле для всякого рода мошенничества...., ну например, когда малварщики работают на страховую компанию...

Если немного подумать, то страхование будет провоцировать не только рост количества атак шифровальщиков (я выбрал этот пример только потому что он на поверхности), но и вообще любых атак, поскольку расслябляет потенциальную жертву.

На днях отвечал на вопросы типа "какие индустрии атаковали больше в 2023" и в очередной раз столкнулся с недостаточным пониманием разницы между "частотой атаки" и объемом. Чтобы ответить на вопрос: "кого атаковали больше" можно его трансформировать в: "у кого инциденты случались чаще". Количество инцидентов зависит от объема мониторинга, поэтому для оценки "частоты инцидента" когда-то была предложена метрика "удельное количество инцидентов" или "ожидаемое количество инцидентов с единицы объема". Об этой метрике и ее отличии от объема мониторинга или количества выявленных инцидентов моя новая заметка

Почему прогнозы по ИБ должны отличаться? Мне, почему-то, всегда казалось, что отчеты и прогнозы для Мира актуальны и для РФ. Скажу даже более, статистика инцидентов MDR +/- это подтверждает. Поэтому, конечно же, прогнозы Гартнера будут актуальны и для РФ, а поскольку это почему-то не очевидно, давайте с этим разберемся.

Для реализации атаки необходимо наличие уязвимостей, а уязвимости определяются номенклатурой используемых железа и софта. Поскольку во всем мире аппаратное и программное обеспечение +/- одно и то же, мы и наблюдаем во всем мире эксплуатацию +/- одних и тех же сценариев атак. Но ситуация еще прозаичнее. Мы используем +/- схожие методы обнаружения, да и технические средства в большинстве своем у нас одни и те же. Используемые нами стандарты ГОСТ/ISO, Приказы ФСТЭК/NIST SP-800 - одни и те же. Но и атакующие используют одни и те же техники и тактики, MITRE их даже стандартизовала, а новые техники выходят, ну, в общем-то, нечасто. Понятно, что техники - это высокоуровнево, однако, очень часто и инструменты атакующих одни и те же: который год в инцидентах постоянно мелькают Impacket, Mimikatz, Cobalt Strike. Да, серьезные ребята ищут (а может, заказывают) зеродеи и разрабатывают собственный инструментарий, однако, во-первых, таких атак - доли процента от общего объема инцидентов, а, во-вторых, все равно, чтобы закрепиться, повыситься, горизонтально перемещаться и делать прочие непристойности, им придется использовать какие-то из известных техник, а обнаружение хотя бы одного шага уже может привести к раскручиванию всего инцидента.

Напишите, что думаете, в комментариях. Насколько ошибочна моя точка зрения о применимости глобальных знаний об угрозах в РФ, с учетом того, что каких-то особенностей по части ИТ в РФ нет.

У компании SintenelOne есть услуга Threat hunting и по ее мотивам они тоже издают годовой отчет. Стимулирует любопытство фраза на второй странице: "This report contains sensitive information with the TLP:AMBER classification. This includes specific IOCs, TTPs, case studies and campaign analysis drawn from SentinelOne. This information should be kept confidential and protected from potential threat actor access. As such, this version is provided only to SentinelOne Vigilance and WatchTower customers. Please click here to explore WatchTower services", при нажатии на "Please click" скачивается этот самый отчет.

Из отчета не совсем ясна методология (география, чем обнаруживали и расследовали, классификация инцидентов и т.п.), поэтому допускаем, что такая же, как и у Канареек. Для тех, кто в контексте, не обещаю какой-то новизны, но почитать полезно, для сравнения своих наблюдений с тем, что видели в 2023 коллеги.

Выражаю благодарность подписчику, рассказавшему мне о существовании этого отчета.

Увидел приглашение на вебинар с моим непосредственным участием. Будет время и вопросы, обязательно, приходите, в презентации будет больше статистик, характерных именно для РФ!

Вышла статья с моими комментариями. И снова я попытался интерпретировать данные коллег и не смог. Например, фраза: "В то же время доля критичных инцидентов от общего числа атак снизилась по сравнению с 2022 годом: с 40–45% до 20–25% (более 12 тыс. атак)...". Что считается "критичным инцидентом", что их так много: чуть ли не каждый второй в 22-м и каждый четвертый в 23-м? Наверно, я точно знаю сколько у меня инцидентов и какой % из них составляют критичные, почему тогда этот процент неточный - не 20% или 25%, а диапазон - 20-25%? Если этот разброс связан с каким-то распределением, например, по заказчикам или индустриям, но тогда коридор, наоборот, небольшой, так как у кого-то может быть 0% критичных инцидентов, а у кого-то 30%, особенно, если объем в группе небольшой.

Это очередной пример того, что для понимания аналитики очень важно понимать методику ее получения, только в этом случае данные будут интерпретируемы и сравнимы. Когда же мы данные одного поставщика интерпретируем с позиции методологии другого поставщика, объективные выводы сделать не получается.