"Фиолетовый сдвиг" - канал Управления Сервисов, где находятся и наше направление Defensive и коллеги из Offensive, чем и объясняется название 😁. На канале обсуждаются интересные наблюдения из опыта работы и красных, и синих. Вот, например, публикация про ngrok, который уже несколько лет является излюбленным инструментом атакующих.

Если, вдруг, в эту субботу, 20 апреля, в 17:00, вы будете в Кисловодске, приглашаю заглянуть к нам в Нескучный лекторий, послушать о Матильде Феликсовне, познакомиться с замечательными людьми

#искусство

Мои коллеги и друзья из команды Global Emergency Response Team (GERT), Эдуардо, Франческо, Эшли и Кристиан, выпустили небольшое, но очень интересное, исследование по мотивам своей практики DFIR. Один из оттенков коммодизации атак...

В рамках вебинара по отчету MDR получил несколько вопросов об использовании ML/DL/AI, также этот вопрос до сих пор всплывает на релевантных эфирах AM Live и прочих мероприятиях. Ответ: да, конечно, мы используем Автоаналитика, аж с 2018 года! Немного больше деталей можно узнать в моем докладе на SOC-Форуме 2020 "Роботы среди нас!", также есть послайдовый разбор с которым полезно ознакомиться, поскольку таймслот был небольшой и я торопился. Слайды тоже прилагаю.

Помните замечательный вебинар Игоря Таланкина про плейбуки?
Приглашаю вас посетить новый вебинар от Игоря "Автоматизация процессов ИБ".
Уверен, нам всем будет полезно немного зарядиться идеями об автоматизации SOC!

После публикаций про концепцию Assume vulnerable меня записали в противники VM, это не так, постараюсь пояснить. Vulnerability Management, как и любой превентивный контроль, имеет свои ограничения, и поэтому нам надо быть готовыми отступать, как мы отступаем с Threat prevention на Threat detection и Threat hunting, причем Threat hunting не отменяет необходимость наличия решений Threat prevention. Аналогично, стремление делать уязвимости неэксплуатируемыми и затруднение развития атаки в случае эксплуатации не обесценивают полностью попытки поиска и устранения уязвимостей.

PS: когда-то давно я писал про иммунитет, применительно к Assume breach. С учетом того, что Assume vulnerable - это то же, что Assume breach, но на более раннем этапе, аллегория с иммунитетом здесь тоже применима.

#vCISO

Читая один из отечественных нормативных документов, набрел на пикантное словосочетание "КА и КИ"...
Разгадка проста: "Компьютерные Атаки и Компьютерные Инциденты". Теперь можно аббревиатуру КАКИ добавить в свой словарик отечественной терминологии по ИБ, наряду с ГПСЧ, ПЭМИН, СКЗИ, СОВ, СКУД, МЭ и "имитовставка"

#пятница

Искусство и история тесно связаны: в искусстве отражается историческая эпоха, а чтобы понимать искусство нам надо знать историю. Историю интересно познавать через биографии великих людей, искать и находить то, чему можно поучиться. Сейчас тьма всяческих коучей и мотиваторов, тогда как не меньший вклад в наш успех может внести изучение жизни и творчества выдающихся личностей.

Сегодня побывал на мероприятии (а выше коротенькие видео и фото спикеров с организатором в центре). Я не специалист в балете, а, как известно, нам не интересно то, что мы не понимаем . Однако, даже меня мероприятие не остановило равнодушным. Спикеры, Рома и Ангелина, прекрасно дополнили рассказ друг друга.

Не скрою, как мужу организатора, и любителю истории, мне повезло даже больше: сколько интереснейших разговоров мы провели с Ангелиной в кафешках за рамками мероприя, обсудив Екатерину II и Екатерину Дашкову, и Петра I , и Сталина с Черчиллем, и, конечно, последних Романовых, революцию и гражданскую войну... Учите историю, время течёт по спирали, понимание современности лежит в прошлом!

#искусство #история

Мой коллега Глеб из команды Detection engineering-а, поделился нашим опытом ловли краденных билетов Kerberos

Вчера проводил вебинар на Brighttalk, посвященный нашему отчету по данным MDR за 2023 год, аналогичный этому, но без уклона в РФ и СНГ. Обе презентации - и со спецификой РФ\СНГ, и международную - прикладываю.

Мы только недавно открыли этот канал, а нам уже все дают полезные советы. Мало, говорят, у вас весёлых картинок. И котиков совсем нет!

И действительно. Вот рассказали мы вам, как выявлять использование хакерами легитимных утилит powershell.exe и rundll32.exe. И как замечать подозрительный запуск сканеров Advanced IP Scanner и SoftPerfect Network Scanner. Но весёлых иллюстраций в этих постах не было – и мы получили всего лишь с десяток лайков от читателей.

А ведь это были данные из годовых аналитических отчётов наших команд MDR и IR. В этих отчётах ещё много интересной статистики и рекомендаций по защите от самых современных атак. И теперь это всё – с клёвыми картиночками! Там даже котик есть. Кто не верит, посмотрите сами:

Managed Detection and Response 2023
https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2024/04/19115107/mdr-analytical-report-2023.pdf

Incident Response 2023
https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2024/04/18155218/ir-analytical-report-2023.pdf

14 лет назад я писал про кашу из топора. Эта заметка написана по мотивам работы на одном из проектов заказной разработки системы автоматизации, где ваш покорный слуга был архитектором подсистем безопасности со стороны заказчика.
В целом, изложенные методы обоснования бездействия и работы "по методу наименьшего сопротивления" актуальны и по сей день, поэтому статья до сих пор актуальна. Еще пара десятков лет и приблизится к определению "классика"...
Я думаю, надо делиться негативным опытом, это нам всем позволит становиться мудрее!

#пятница