Эфиры AM Live - хороший способ формирования базового понимания о тематике выпуска. В целом, не имея какого-то специального бэкграунда, посмотрев выпуск, можно быстро войти в контекст: что это такое? Как устроен российский рынок? Кто игроки и что они предлагают?

На данном карьерном этапе мне небезразлична тема аутсорсинга операционной безопасности, поэтому некоторое изобилие противоречивых сведений во время эфира о коммерческих SOC я не смог обойти стороной. Предлагаю вашему вниманию лонгрид с ссылками на конкретные моменты эфира и моим мнением об этих моментах. Если такой формат разбора представляется полезным, напишите в комментариях, буду стремиться разбирать и другие утверждения коллег, в других эфирах. Моя цель - создать корректные (обоюдовыгодные) ожидания от совместной работы поставщиков и потребителей услуг и решений ИБ, поскольку от эффективности нашей совместной работы зависит и результат, а от безопасности каждого предприятия зависит и ситуация в нашем регионе вообще. Давайте будем совместно спасать мир!

#vCISO

Интервью - огонь! Если вы не ощущаете себя «квалифицированным инвестором» будет полезно

#финансы

11 апреля состоялся вебинар по мотивам работы MDR и DFIR в 2023. Слайды к вебинару не повторяли полностью материал из отчета MDR (отчет - общемировой, а в вебинаре я сравнивал РФ\СНГ с Миром, а также 2023 с 2022), поэтому, думаю, запись может быть интересной. Но сейчас не об этом.

Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".

Поступили вопросы о том, где можно увидеть запись вебинара. Делюсь https://youtu.be/iv3XDaQ-gCw?si=AU_x2Tdgt3ljIhOg

"Фиолетовый сдвиг" - канал Управления Сервисов, где находятся и наше направление Defensive и коллеги из Offensive, чем и объясняется название 😁. На канале обсуждаются интересные наблюдения из опыта работы и красных, и синих. Вот, например, публикация про ngrok, который уже несколько лет является излюбленным инструментом атакующих.

Если, вдруг, в эту субботу, 20 апреля, в 17:00, вы будете в Кисловодске, приглашаю заглянуть к нам в Нескучный лекторий, послушать о Матильде Феликсовне, познакомиться с замечательными людьми

#искусство

Мои коллеги и друзья из команды Global Emergency Response Team (GERT), Эдуардо, Франческо, Эшли и Кристиан, выпустили небольшое, но очень интересное, исследование по мотивам своей практики DFIR. Один из оттенков коммодизации атак...

В рамках вебинара по отчету MDR получил несколько вопросов об использовании ML/DL/AI, также этот вопрос до сих пор всплывает на релевантных эфирах AM Live и прочих мероприятиях. Ответ: да, конечно, мы используем Автоаналитика, аж с 2018 года! Немного больше деталей можно узнать в моем докладе на SOC-Форуме 2020 "Роботы среди нас!", также есть послайдовый разбор с которым полезно ознакомиться, поскольку таймслот был небольшой и я торопился. Слайды тоже прилагаю.

Помните замечательный вебинар Игоря Таланкина про плейбуки?
Приглашаю вас посетить новый вебинар от Игоря "Автоматизация процессов ИБ".
Уверен, нам всем будет полезно немного зарядиться идеями об автоматизации SOC!

После публикаций про концепцию Assume vulnerable меня записали в противники VM, это не так, постараюсь пояснить. Vulnerability Management, как и любой превентивный контроль, имеет свои ограничения, и поэтому нам надо быть готовыми отступать, как мы отступаем с Threat prevention на Threat detection и Threat hunting, причем Threat hunting не отменяет необходимость наличия решений Threat prevention. Аналогично, стремление делать уязвимости неэксплуатируемыми и затруднение развития атаки в случае эксплуатации не обесценивают полностью попытки поиска и устранения уязвимостей.

PS: когда-то давно я писал про иммунитет, применительно к Assume breach. С учетом того, что Assume vulnerable - это то же, что Assume breach, но на более раннем этапе, аллегория с иммунитетом здесь тоже применима.

#vCISO

Читая один из отечественных нормативных документов, набрел на пикантное словосочетание "КА и КИ"...
Разгадка проста: "Компьютерные Атаки и Компьютерные Инциденты". Теперь можно аббревиатуру КАКИ добавить в свой словарик отечественной терминологии по ИБ, наряду с ГПСЧ, ПЭМИН, СКЗИ, СОВ, СКУД, МЭ и "имитовставка"

#пятница

Искусство и история тесно связаны: в искусстве отражается историческая эпоха, а чтобы понимать искусство нам надо знать историю. Историю интересно познавать через биографии великих людей, искать и находить то, чему можно поучиться. Сейчас тьма всяческих коучей и мотиваторов, тогда как не меньший вклад в наш успех может внести изучение жизни и творчества выдающихся личностей.

Сегодня побывал на мероприятии (а выше коротенькие видео и фото спикеров с организатором в центре). Я не специалист в балете, а, как известно, нам не интересно то, что мы не понимаем . Однако, даже меня мероприятие не остановило равнодушным. Спикеры, Рома и Ангелина, прекрасно дополнили рассказ друг друга.

Не скрою, как мужу организатора, и любителю истории, мне повезло даже больше: сколько интереснейших разговоров мы провели с Ангелиной в кафешках за рамками мероприя, обсудив Екатерину II и Екатерину Дашкову, и Петра I , и Сталина с Черчиллем, и, конечно, последних Романовых, революцию и гражданскую войну... Учите историю, время течёт по спирали, понимание современности лежит в прошлом!

#искусство #история

Мой коллега Глеб из команды Detection engineering-а, поделился нашим опытом ловли краденных билетов Kerberos

Вчера проводил вебинар на Brighttalk, посвященный нашему отчету по данным MDR за 2023 год, аналогичный этому, но без уклона в РФ и СНГ. Обе презентации - и со спецификой РФ\СНГ, и международную - прикладываю.