Меня не перестает удивлять достаточные бодрые метрики SLA некоторых игроков рынка. В целом, любой волен говорить что угодно, но проблема в том, что они создают стереотипы, которые потом сложно разоблачать. Даже Алексей, рекордсмен по формированию стереотипов в отечественной индустрии ИБ (в хорошем смысле этого слова), не раз писал об удивительности времени реакции в 15-20 минут (ну, если, конечно, это не автоматическая отбивка, что ваш issue взят в работу 😂, ибо с учетом конверсии не превышающей 20%, только каждое пятое такое оповещение будет иметь для заказчика хоть какой-то смысл). В новой заметке я тоже порассуждал о времени реакции, пытаясь обосновать, что 1 час - это вполне нормально.
https://dzen.ru/a/ZXBaMkxB1w2aNCCf
https://dzen.ru/a/ZXBaMkxB1w2aNCCf
👍8🔥2💯1
А вот ребята сделали дайджест моих ответов из вот этой статьи. По-моему, красиво!
🥰1
Forwarded from Порвали два трояна
🔬 Коммерческий SOC: когда он поможет, а чего не может?
Построение SOC в организации «с нуля» требует существенных инвестиций и специфических навыков, поэтому многие компании изучают возможность аутсорсинга этой функции специализированному внешнему подрядчику. Но даже в таком формате от внутренней команды потребуются заметные усилия для интеграции внешнего SOC с процессами компании. Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, рассказал об этом в статье для журнала Information Security, а самые интересные моменты — в наших карточках.
#советы @П2Т
Построение SOC в организации «с нуля» требует существенных инвестиций и специфических навыков, поэтому многие компании изучают возможность аутсорсинга этой функции специализированному внешнему подрядчику. Но даже в таком формате от внутренней команды потребуются заметные усилия для интеграции внешнего SOC с процессами компании. Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, рассказал об этом в статье для журнала Information Security, а самые интересные моменты — в наших карточках.
#советы @П2Т
🔥4👏1
Огромное время тратят аналитики SOC на борьбу с фолсой! Причем, насколько результативнее эта борьба, тем эффективнее работа SOC в целом.
Часто SOC рассматривается как внутренний подрядчик, например, корпоративная ИБ нанимает SOC для мониторинга своих инструментов - NGFW, EDR, NTA и т.п. Так как инструментами владеет корп. ИБ, то и управление изменениями - на их стороне.
Проблема выглядит так: SOC видит фолсу и хочет ее пофильтровать, скажем на NGFW (действительно, зачем ее тащить в SIEM и тратить его лицензию), формирует обращение в копр. ИБ (они же вносят\согласуют изменения политик NGFW) и ... получают отказ!
Я прибегаю в корп. ИБ, начинаю объяснять, что, мол, чем меньше будет фолсы, тем лучше мы будем работать, это в наших общих интересах.... а вот эти события - ложные срабатывания! И получаю следующий ответ: "Сергей, неужели вы считаете себя умнее, чем производитель NGFW, который придумал эти правила?!"
В общем, мои дорогие, адаптировать детектирующую логику надо! Это как если вы купили машину, и решили подстроить под себя сиденье, положение зеркал заднего вида, высоту руля и т.п. - и здесь нам с вами, конечно же, лучше знать, чем производителю, как нам удобно!
#пятница
Часто SOC рассматривается как внутренний подрядчик, например, корпоративная ИБ нанимает SOC для мониторинга своих инструментов - NGFW, EDR, NTA и т.п. Так как инструментами владеет корп. ИБ, то и управление изменениями - на их стороне.
Проблема выглядит так: SOC видит фолсу и хочет ее пофильтровать, скажем на NGFW (действительно, зачем ее тащить в SIEM и тратить его лицензию), формирует обращение в копр. ИБ (они же вносят\согласуют изменения политик NGFW) и ... получают отказ!
Я прибегаю в корп. ИБ, начинаю объяснять, что, мол, чем меньше будет фолсы, тем лучше мы будем работать, это в наших общих интересах.... а вот эти события - ложные срабатывания! И получаю следующий ответ: "Сергей, неужели вы считаете себя умнее, чем производитель NGFW, который придумал эти правила?!"
В общем, мои дорогие, адаптировать детектирующую логику надо! Это как если вы купили машину, и решили подстроить под себя сиденье, положение зеркал заднего вида, высоту руля и т.п. - и здесь нам с вами, конечно же, лучше знать, чем производителю, как нам удобно!
#пятница
👍12😁3💯2
Мне, как получившему инженерное образование, тема мировой физики близка не меньше, чем профессиональная область - ИТ.
Сейчас читаю замечательную книжку - Берд, Шервин. Оппенгеймер, и ловлю себя на мысли о параллелях между Опенгейиером и Джобсом, чья биография прекрасно изложена не менее известным биографом Уолтером Айзексоном в одноимённой книге, которую также настоятельно рекомендую каждому ИТшнику.
Как и Джобс, Оппенгеймер - дитя эпохи, обоим посчастливилось быть участниками технологических революций своего времени и по биографиям обоих можно изучать становление мировых ИТ и "новой физики". В своей биографии Оппенгеймер пересекается с Паули, Дираком, Борном, Резерфордом, Гейзенбергом и многими другими, чьи имена мы помним со страниц неклассической физики и физической химии.
В свое время аналогичное впечатление произвола биография Ландау, написанная, ЕМНИП, его супругой или ее сестрой - также рекомендую к прочтению интересующимся физикой.
#книги
Сейчас читаю замечательную книжку - Берд, Шервин. Оппенгеймер, и ловлю себя на мысли о параллелях между Опенгейиером и Джобсом, чья биография прекрасно изложена не менее известным биографом Уолтером Айзексоном в одноимённой книге, которую также настоятельно рекомендую каждому ИТшнику.
Как и Джобс, Оппенгеймер - дитя эпохи, обоим посчастливилось быть участниками технологических революций своего времени и по биографиям обоих можно изучать становление мировых ИТ и "новой физики". В своей биографии Оппенгеймер пересекается с Паули, Дираком, Борном, Резерфордом, Гейзенбергом и многими другими, чьи имена мы помним со страниц неклассической физики и физической химии.
В свое время аналогичное впечатление произвола биография Ландау, написанная, ЕМНИП, его супругой или ее сестрой - также рекомендую к прочтению интересующимся физикой.
#книги
🔥11👍5❤1👏1
Энтропия - величина неубывающая, и наш мир стремится к состоянию покоя, поэтому у каждой силы найдется противосила, для материи найдется антиматерия, а у электрона есть позитрон... Законы физики работают и в менеджменте, и в психологии, поэтому во всем есть положительные и отрицательные моменты.
В новой заметке рассуждал о выгорании мотивированных лидеров. Надеюсь, каждый, и лидер, и аутсайдер, и их менеджер, найдет для себя в ней что-то полезное
https://dzen.ru/a/ZXR7wi87ZBZRt0hm
#управление
В новой заметке рассуждал о выгорании мотивированных лидеров. Надеюсь, каждый, и лидер, и аутсайдер, и их менеджер, найдет для себя в ней что-то полезное
https://dzen.ru/a/ZXR7wi87ZBZRt0hm
#управление
Дзен | Статьи
Обратная сторона сверхмотивации
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: …А ты был неправ, ты все спалил за час,… Машина времени. Костер … и жизнь разбивает все надежды и мечты Ария.
🔥7👍6
14 декабря 2023, мой коллега и друг, Игорь Таланкин, выдающийся инженер, сертифицированный этичный хакер, технический эксперт по SIEM, дает вебинар по разработке плейбуков. Игорь не является звездой Youtube и на конференциях его встретишь нечасто, но, будучи основным контрибьютором контента по умолчанию KUMA, и экспертом в нашем подразделении SOC Consulting, на счету которого уже десятки успешных проектов по построению различных SOC, от корпоративных до государственных CSIRT, по всему миру, как на стеке ЛК, так и на мировых брендах, Игорю точно есть что рассказать по теме.
Регистрируйтесь: https://go.kaspersky.com/ru-playbooks-webinar
Регистрируйтесь: https://go.kaspersky.com/ru-playbooks-webinar
🔥16👍7
В детстве, да, наверно, и сейчас я любил историю, как школьный предмет, так и чтение исторических романов. История позволяет лучше понимать и искусство, так как, например, живопись следует обязательно рассматривать в контексте не только замысла автора, но и времени написания.
Но самое главное, что зачастую знание истории позволяет нам лучше понимать происходящее сейчас и более точно предсказывать будущее, так как современность очень часто находит свое отражение в прошлом, а корневые причины нашей с вами действительности абсолютно точно можно найти изучая исторические события.
Сегодня хочу вам порекомендовать цикл историчских романов Дмитрия Михайловича Балашова "Государи Московские". Цикл содержит подробнейшее ее описание русского снедневековья, начиная от смерти Александра Невского (1263) и правления его младшего сына Даниила, аж до Василия Дмитриевича (до 1425), старшего сына Дмитрия Донского. Этот фундаментальный труд автор писал с 1975 по 2000!
Именно в это время происходило становление российской государственности, закладывался фундамент взаимоотношений со странами Запада, и многие текущие проблемы и особенности российской внешней политики имеют корни там, и на многие текущие вопросы там можно найти ответ.
А история у меня с этим связана достаточно веселая. В среднем школьном возрасте я провел много счастливых часов с "Проклятыми королями" Мориса Дрюона. В отличие от Дюма, он не "модифицировал" исторические факты ради художественной ценности, и многие интересные моменты, вычитанные в его книжках, при проверке оказывались правдой. Так вот, покончив со всеми 7-ю книжками серии, во мне проснулась неловкость, что нехорошо мне, русскому человеку, зачитываться французской историей, и достаточно посредственно знать свою собственную. Тут-то ко мне и попала серия книг Балашова, благо, мой папа его сильно любил, и все 8 книг у нас нашлись! С точки зрения литературной ценности Балашова я ставлю выше (может, если бы я читал Дрюона в оригинале...), но невозможно переоценить значимость "Государей московских" для знания и понимания нашей культуры, обычаев, менталитета, государственности, особенностей внешней и внутренней политики. Учить историю по качественной художественной литературе - замечательное времяпровождение!
#книги
Но самое главное, что зачастую знание истории позволяет нам лучше понимать происходящее сейчас и более точно предсказывать будущее, так как современность очень часто находит свое отражение в прошлом, а корневые причины нашей с вами действительности абсолютно точно можно найти изучая исторические события.
Сегодня хочу вам порекомендовать цикл историчских романов Дмитрия Михайловича Балашова "Государи Московские". Цикл содержит подробнейшее ее описание русского снедневековья, начиная от смерти Александра Невского (1263) и правления его младшего сына Даниила, аж до Василия Дмитриевича (до 1425), старшего сына Дмитрия Донского. Этот фундаментальный труд автор писал с 1975 по 2000!
Именно в это время происходило становление российской государственности, закладывался фундамент взаимоотношений со странами Запада, и многие текущие проблемы и особенности российской внешней политики имеют корни там, и на многие текущие вопросы там можно найти ответ.
А история у меня с этим связана достаточно веселая. В среднем школьном возрасте я провел много счастливых часов с "Проклятыми королями" Мориса Дрюона. В отличие от Дюма, он не "модифицировал" исторические факты ради художественной ценности, и многие интересные моменты, вычитанные в его книжках, при проверке оказывались правдой. Так вот, покончив со всеми 7-ю книжками серии, во мне проснулась неловкость, что нехорошо мне, русскому человеку, зачитываться французской историей, и достаточно посредственно знать свою собственную. Тут-то ко мне и попала серия книг Балашова, благо, мой папа его сильно любил, и все 8 книг у нас нашлись! С точки зрения литературной ценности Балашова я ставлю выше (может, если бы я читал Дрюона в оригинале...), но невозможно переоценить значимость "Государей московских" для знания и понимания нашей культуры, обычаев, менталитета, государственности, особенностей внешней и внутренней политики. Учить историю по качественной художественной литературе - замечательное времяпровождение!
#книги
Wikipedia
Государи Московские
цикл исторических романов Дмитрия Балашова
👍9
Уже сегодня мой коллега Константин Сапронов в замечательной компании
https://t.iss.one/anti_malware/16404
https://t.iss.one/anti_malware/16404
👍6
Я-то думал, что я уже старый, и чем-либо рассмешить меня про ИБ практически невозможно, но у Жени получилось! Смеялся и в зале, и запись посмотрел с большим удовольствием!
Forwarded from SOC FORUM | Неделя кибербезопасности
This media is not supported in your browser
VIEW IN TELEGRAM
Киберстендап Евгения Бударина из «Лаборатории Касперского» — про то, что общего у ИБ и бегемотов из Kinder Surprise, на какой сериал похожа КИИ и на какой вопрос в сфере SOC нет правильного ответа.
😁17🔥7🌚1
Очень часто жизнь (реальная практика) подбрасывает нам подтверждения того, что далеко не все точно может предсказываться теретически. В новой заметке поделился случаями из практики, когда связка EPP-MDR вполне эффектвно защищает от state-sponsored APT и связанными с этими ситуациями рассуждениями. Пишите ваши мысли, всегда приятно видеть интерес аудитории!
https://dzen.ru/a/ZXrLaNU26CLnUp9i
https://dzen.ru/a/ZXrLaNU26CLnUp9i
Дзен | Статьи
Проактивная реактивность на практике
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Продолжим тему проактивной реактивности Ранее мы уже обсуждали поведение state-sponsored APT.
👍3🔥2
Где-то летом этого года я прочитал неплохую книжку: Михаил Хазин, Сергей Щеглов. Лестница в небо.
Книжка будет крайне полезна всем карьеристам (во всех смыслах этого слова), особенно тем, кто видит себя в высших эшелонах власти. Кроме того, книга ценна описанием практических ситуаций в корпоративных взаимоотношениях, каких-то граблей, на которые лучше не наступать уже в своей практике.
Тем, кто ранее читал другую литературу про эмоциональный интеллект, ведение переговоров, или те же "45 татуировок менеджера" от Максима Батырева, а также что-то читал\смотрел про формирование околоправительственных элит в Великобритании\США или СССР\России (ничего себе разброс?! Да, в книге затронуто много всего, в этом и ее ценность!), многое покажется знакомым, ранее где-то слышанным, но это не умаляет полезность этой книги как для расширения кругозора и своих возможностей по пониманию происходящего в мире, так и в качестве некоего источника мудрости, которая может быть полезна в ситуациях, схожих с описанными в книжке.
#книги
Книжка будет крайне полезна всем карьеристам (во всех смыслах этого слова), особенно тем, кто видит себя в высших эшелонах власти. Кроме того, книга ценна описанием практических ситуаций в корпоративных взаимоотношениях, каких-то граблей, на которые лучше не наступать уже в своей практике.
Тем, кто ранее читал другую литературу про эмоциональный интеллект, ведение переговоров, или те же "45 татуировок менеджера" от Максима Батырева, а также что-то читал\смотрел про формирование околоправительственных элит в Великобритании\США или СССР\России (ничего себе разброс?! Да, в книге затронуто много всего, в этом и ее ценность!), многое покажется знакомым, ранее где-то слышанным, но это не умаляет полезность этой книги как для расширения кругозора и своих возможностей по пониманию происходящего в мире, так и в качестве некоего источника мудрости, которая может быть полезна в ситуациях, схожих с описанными в книжке.
#книги
👍9
Часто в публикациях и на выступлениях я говорю, что человекоуправляемая атака очень похожа на пентест. На практике с этим даже были связаны веселые грустные истории, когда мы публиковали инцидент и уточняли у заказчика является ли наблюдаемое легитимной проверкой нас, или их реально поломали и надо оперативно реагировать... и заказчик ошибался! Может, оттого, что заказчик знал, что проверять будут работу всей функции, т.е. и нас и его, и как мы работаем вместе, но не знал точного времени, может даже и по времени совпало, просто пентестеры пока себя не проявили, а реальный атакующий уже, может, у заказчика плохие отношения\коммуникации с вышестоящим руководством, инициирующим подобные проверки... Как говорится в одной старой армейской шутке: «Пушка не стреляла ввиду 1017 причин. Первая из них – не было ядер»
Однако, если понаблюдать за такой человекоуправляемой атакой достаточно непродолжительное время, есть одно очень простое отличие: реальный атакующий на каждом шаге закрепляется: прописывает себя в автозапуски, создает задачи планировщика, ставит службы и т.п., пентестер же может вообще не закрепляться на протяжении всей своей работы!
#пятница
Однако, если понаблюдать за такой человекоуправляемой атакой достаточно непродолжительное время, есть одно очень простое отличие: реальный атакующий на каждом шаге закрепляется: прописывает себя в автозапуски, создает задачи планировщика, ставит службы и т.п., пентестер же может вообще не закрепляться на протяжении всей своей работы!
#пятница
👍7🔥3👏1😁1
Сегодня с младшими детьми ездили в Георгиевск, несостоявшуюся столицу Ставрополья. По пути мы, традиционно, слушали аудиокнигу, сегодня выбор выпал на «Странная история доктора Джекила и мистера Хайда», Р.Л. Стивенсона. Не будем здесь много останавливаться на том, насколько многогранен Стивенсон, написавший, такие разные, и «Черную стрелу», и «Остров сокровищ», и готического «Джекила и Хайда», которого я читал еще в школе, а относительно недавно, уже взрослым дядькой, переслушивал уже на английском языке, чтобы, изучая испанский, не забывать английский.
И сегодня снова поймал себя на мысли, что, очевидно, в каждом из нас живут одновременно и Джекил, и Хайд, в этом и есть основной замысел автора, но, верно и далее, как и в сюжете книги, если мы будем многое позволять Хайду, рано или поздно он окончательно возьмет верх над нашим Джекилом. Очень просто падать, но крайне сложно подниматься, поэтому нам всем лучше оставаться на высоте и, по возможности, никогда не давать волю нашему внутреннему Хайду, иначе это приведет к непоправимым последствиями
И сегодня снова поймал себя на мысли, что, очевидно, в каждом из нас живут одновременно и Джекил, и Хайд, в этом и есть основной замысел автора, но, верно и далее, как и в сюжете книги, если мы будем многое позволять Хайду, рано или поздно он окончательно возьмет верх над нашим Джекилом. Очень просто падать, но крайне сложно подниматься, поэтому нам всем лучше оставаться на высоте и, по возможности, никогда не давать волю нашему внутреннему Хайду, иначе это приведет к непоправимым последствиями
❤11👍3🤝3🤔1
Мы все всегда в чем-то заказчики, а в чем-то поставщики. Как заказчики мы всегда интересуемся референсами и историями успеха - это вполне нормально работает при бронировании апартаментов на отпуск, но значительно хуже работает в случае инцидентов безопасности. Ну а нам, заказчикам, действительно просто подчиняться стадному инстинкту и повторять то же, что уже сделали похожие на нас. В заметке порассуждал на эту тему, и о том, что публикуемый TI - те же истории успеха, которые можно брать за основу при выборе поставщика, как альтернативу архаичным персонализированным референсам
https://dzen.ru/a/ZX7VPhtTQE497NEj
https://dzen.ru/a/ZX7VPhtTQE497NEj
Дзен | Статьи
Истории успеха
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Для маркетирования решения считается, что надо собирать истории успеха. Меня это всегда немного нервировало....
👍2🔥1🥰1