На днях закончил слайды к завтрашней "Территории безопасности".

Порой, нам требуется уйма времени для изменения своего отношения\понимания\мышления, завтра у меня будет 15-17 минут. Надеюсь, у меня получится!

Запись эфира, и скоро будет на Youtube.
Было много участников, поэтому подискутировать возможность отсутствовала, но по ходу эфира было несколько моментов, которые стоит прокомментировать, поскольку последний опрос зрителей выявил около трети тех, кто ничего не понял. Будем наводить порядок в понимании! В ближайшее время постараюсь сделать статью по теме.

Выкладываю слайды с сегодняшнего доклада на "Территории безопасности". В ближайшее время опубликую статью, поясняющую что я пытался рассказать в презентации.

Вчера на секции 10:30-11:30 «ФОРСАЙТ-СЕССИЯ.КИБЕРЦУНАМИ И НАШУМЕВШИЕ АТАКИ. ОЦЕНКА СОСТОЯНИЯ И РЕЦЕПТЫ ВЫЖИВАНИЯ» Алексей Викторович пошутил, сказав, что если заказчик приобретает Incident response retainer, это означает, что заказчик расписывается в своей неготовности реагировать на инциденты. Несмотря на всю абсурдность логики, создалось ощущение, что так действительно кто-то может думать...

С одной стороны, разве покупка нами страховки означает, что смирились с неизбежностью несчастья? А с другой, с тех пор как мы заговорили о Threat Hunting-а и подходе Assume breach, мы уже не задаемся вопросом «Сломают нас или не сломают?», но вопросом «Когда?», и поэтому готовыми надо быть на всех этапах, поэтому мы и говорим уже много лет о циклах и слоях, и каждый следующий слой\эшелон не отрицает необходимость предыдущего!

#пятница #vCISO

Как обещал, подготовил статью о том, как мы 10 лет назад осознали предел эффективности превентивных систем безопасности и стали говорить о "Assume breach" и "Threat hunting", так уже давно пришла пора заметить невозможность обеспечения отсутствия уязвимостей, однако, на секциях по управлению уязвимостями мы продолжаем слышать рассказы про сканеры уязвимостей...

Пришло время двигаться дальше, смотреть на вопрос шире, а контроли безопасности планировать эшелонированно. Но начать следует с понимания парадигмы "Assume vulnerable".

#vCISO

В одном из чатиков о SOC я сослался на свою статью, написанную в разгар популярности COVID-удаленки, как подтверждение того, что эффективность зрелой команды практически не снижается из-за удаленной работы. Сам факт сценария удаленной работы автоматически снижает значимость всех этих шоурумов для эффективной и результативной работы SOC, хотя, надо отметить, смотрятся замечательно и создают впечатление.

Удаленная работа, как и любые другие условия труда, накладывает определенные требования на организацию бизнес-процессов, в том числе и требования безопасности. В арсенале CISO имеются средства для организации безопасного удаленного доступа, который уже давно невозможно полностью исключить. Да и если попытаться выразить риски ИБ в деньгах, и сравнить с потерями от полного запреда удаленного доступа (не делал это упражнение), то результат будет, на мой взгляд, не в пользу запрета. А что вы думаете?

#vCISO

Пересматривая веселый доклад об "эффективности" сканирования контейнерных сред как средства выявления уязвимостей (всем, кто увлекается сканированием уязвимостей обязательно для просмотра!), подумалось о том, что те же средства используются и атакующими, а изложенные докладчиками методы вполне пригодны и для защиты, несмотря на некий негативный оттенок древнейшего подхода к ИБ - "Security Through Obscurity"

#пятница

Эфиры AM Live - хороший способ формирования базового понимания о тематике выпуска. В целом, не имея какого-то специального бэкграунда, посмотрев выпуск, можно быстро войти в контекст: что это такое? Как устроен российский рынок? Кто игроки и что они предлагают?

На данном карьерном этапе мне небезразлична тема аутсорсинга операционной безопасности, поэтому некоторое изобилие противоречивых сведений во время эфира о коммерческих SOC я не смог обойти стороной. Предлагаю вашему вниманию лонгрид с ссылками на конкретные моменты эфира и моим мнением об этих моментах. Если такой формат разбора представляется полезным, напишите в комментариях, буду стремиться разбирать и другие утверждения коллег, в других эфирах. Моя цель - создать корректные (обоюдовыгодные) ожидания от совместной работы поставщиков и потребителей услуг и решений ИБ, поскольку от эффективности нашей совместной работы зависит и результат, а от безопасности каждого предприятия зависит и ситуация в нашем регионе вообще. Давайте будем совместно спасать мир!

#vCISO

Интервью - огонь! Если вы не ощущаете себя «квалифицированным инвестором» будет полезно

#финансы

11 апреля состоялся вебинар по мотивам работы MDR и DFIR в 2023. Слайды к вебинару не повторяли полностью материал из отчета MDR (отчет - общемировой, а в вебинаре я сравнивал РФ\СНГ с Миром, а также 2023 с 2022), поэтому, думаю, запись может быть интересной. Но сейчас не об этом.

Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".

Поступили вопросы о том, где можно увидеть запись вебинара. Делюсь https://youtu.be/iv3XDaQ-gCw?si=AU_x2Tdgt3ljIhOg

"Фиолетовый сдвиг" - канал Управления Сервисов, где находятся и наше направление Defensive и коллеги из Offensive, чем и объясняется название 😁. На канале обсуждаются интересные наблюдения из опыта работы и красных, и синих. Вот, например, публикация про ngrok, который уже несколько лет является излюбленным инструментом атакующих.

Если, вдруг, в эту субботу, 20 апреля, в 17:00, вы будете в Кисловодске, приглашаю заглянуть к нам в Нескучный лекторий, послушать о Матильде Феликсовне, познакомиться с замечательными людьми

#искусство

Мои коллеги и друзья из команды Global Emergency Response Team (GERT), Эдуардо, Франческо, Эшли и Кристиан, выпустили небольшое, но очень интересное, исследование по мотивам своей практики DFIR. Один из оттенков коммодизации атак...

В рамках вебинара по отчету MDR получил несколько вопросов об использовании ML/DL/AI, также этот вопрос до сих пор всплывает на релевантных эфирах AM Live и прочих мероприятиях. Ответ: да, конечно, мы используем Автоаналитика, аж с 2018 года! Немного больше деталей можно узнать в моем докладе на SOC-Форуме 2020 "Роботы среди нас!", также есть послайдовый разбор с которым полезно ознакомиться, поскольку таймслот был небольшой и я торопился. Слайды тоже прилагаю.

Помните замечательный вебинар Игоря Таланкина про плейбуки?
Приглашаю вас посетить новый вебинар от Игоря "Автоматизация процессов ИБ".
Уверен, нам всем будет полезно немного зарядиться идеями об автоматизации SOC!

После публикаций про концепцию Assume vulnerable меня записали в противники VM, это не так, постараюсь пояснить. Vulnerability Management, как и любой превентивный контроль, имеет свои ограничения, и поэтому нам надо быть готовыми отступать, как мы отступаем с Threat prevention на Threat detection и Threat hunting, причем Threat hunting не отменяет необходимость наличия решений Threat prevention. Аналогично, стремление делать уязвимости неэксплуатируемыми и затруднение развития атаки в случае эксплуатации не обесценивают полностью попытки поиска и устранения уязвимостей.

PS: когда-то давно я писал про иммунитет, применительно к Assume breach. С учетом того, что Assume vulnerable - это то же, что Assume breach, но на более раннем этапе, аллегория с иммунитетом здесь тоже применима.

#vCISO

Читая один из отечественных нормативных документов, набрел на пикантное словосочетание "КА и КИ"...
Разгадка проста: "Компьютерные Атаки и Компьютерные Инциденты". Теперь можно аббревиатуру КАКИ добавить в свой словарик отечественной терминологии по ИБ, наряду с ГПСЧ, ПЭМИН, СКЗИ, СОВ, СКУД, МЭ и "имитовставка"

#пятница