Какими бы патетическими помыслами мы не прикрывались, смена должности, промоушен, для многих важный элемент мотивации. С точки зрения работника промоушен может интерпретироваться как положительная оценка его усилий... хотя, лично мое мое мнение несколько иное, но оно не в общем тренде, поэтому мы вынуждены балансировать (красота, как известно, - лезвие бритвы между противоположностями), поскольку, мотивированный сотрудник должен получать желаемое!
Я рассматриваю возможность смены позиции как инструмент менеджера для достижения поставленных перед ним задач наиболее эффективным способом. Это моя, как менеджера, задача обеспечить оптимальное распределение задач и ответственности между членами команды, построить иерархию подчинения и внутренние бизнес-процессы взаимодействия. Как раз иерархия, задачи и ответственность - определяются должностью. Поэтому, никто иной, кроме как менеджер, не представляет как должно быть организовано его подразделение, какие должности с какими обязанностями у него должны быть. Менеджер - законодатель по части организационной структуры своего подразделения, потому что оргструктура - это его инструмент. Кадры же здесь - исполнитель, их задача организационно закрепить оргструктуру, созданную менеджером, которая, кстати, должна также учитывать и ожидания работников подразделения, поскольку нужно по-максимуму избежать демотивации из-за "неправильного" названия позиции.
Исходя из того, что оргструкура - инструмент менеджера для достижения максимальных результатов, несложно сделать несколько выводов:
- при смене команды (кто-то уволился, кто-то пришел) может меняться и оргструктура, поскольку приходят люди с новыми способностями и потребностями, и уже из новых людей надо добиться максимальной эффективности, не факт что прежний инструмент-оргструктура будет столь же эффективна
- и даже больше, оргструктура может меняться и чаще, поскольку люди развиваются, у них появляются новые способности и потребности, и менеджеру виднее как можно реорганизовать команду, чтобы достичь максимального результата
- параллели со смежными подразделениями важны, но не принципиальны, поскольку если соседнее подразделение сантехников использует разводной ключ для крепления труб - это не означает, что мое подразделение плотников должно такими же ключами забивать гвозди. В этой связи возражения Кадров, типа: "У нас нет такой позиции", - не выносят критики, надо сделать так, чтобы и подразделение сантехников, и плотников работали эффективно и результативно, поэтому, вполне нормально, что нужны разные инструменты-оргструктуры
Работа с людьми - дело тонкое, и нам нужны разнообразные инструменты, чтобы работа приносила результаты, эти инструменты должны быть гибкими, адаптивными, а гибкость и адаптивность оргструктуры нам могут обеспечить Кадры.
#управелние #vCISO
Я рассматриваю возможность смены позиции как инструмент менеджера для достижения поставленных перед ним задач наиболее эффективным способом. Это моя, как менеджера, задача обеспечить оптимальное распределение задач и ответственности между членами команды, построить иерархию подчинения и внутренние бизнес-процессы взаимодействия. Как раз иерархия, задачи и ответственность - определяются должностью. Поэтому, никто иной, кроме как менеджер, не представляет как должно быть организовано его подразделение, какие должности с какими обязанностями у него должны быть. Менеджер - законодатель по части организационной структуры своего подразделения, потому что оргструктура - это его инструмент. Кадры же здесь - исполнитель, их задача организационно закрепить оргструктуру, созданную менеджером, которая, кстати, должна также учитывать и ожидания работников подразделения, поскольку нужно по-максимуму избежать демотивации из-за "неправильного" названия позиции.
Исходя из того, что оргструкура - инструмент менеджера для достижения максимальных результатов, несложно сделать несколько выводов:
- при смене команды (кто-то уволился, кто-то пришел) может меняться и оргструктура, поскольку приходят люди с новыми способностями и потребностями, и уже из новых людей надо добиться максимальной эффективности, не факт что прежний инструмент-оргструктура будет столь же эффективна
- и даже больше, оргструктура может меняться и чаще, поскольку люди развиваются, у них появляются новые способности и потребности, и менеджеру виднее как можно реорганизовать команду, чтобы достичь максимального результата
- параллели со смежными подразделениями важны, но не принципиальны, поскольку если соседнее подразделение сантехников использует разводной ключ для крепления труб - это не означает, что мое подразделение плотников должно такими же ключами забивать гвозди. В этой связи возражения Кадров, типа: "У нас нет такой позиции", - не выносят критики, надо сделать так, чтобы и подразделение сантехников, и плотников работали эффективно и результативно, поэтому, вполне нормально, что нужны разные инструменты-оргструктуры
Работа с людьми - дело тонкое, и нам нужны разнообразные инструменты, чтобы работа приносила результаты, эти инструменты должны быть гибкими, адаптивными, а гибкость и адаптивность оргструктуры нам могут обеспечить Кадры.
#управелние #vCISO
💯6🔥3🥱3
Некоторое время назад получило широкую популярность движение антипрививочников, которые выступали за отсутствие необходимости делать типовые прививки, типа КДС или от оспы. В целом, не надо быть медиком, чтобы догадаться, что именно благодаря современным прививкам многие болезни, такие как оспа, дифтерия, коклюш, столбняк, полиомиелит и много-много других ушли в прошлое, однако, мы, люди, падки на бред новизну, стремимся мыслить "современно", и у этого движения есть множество последователей... в итоге мы имеем рост заболеваемости заразой, о которой уже было и забыли
Нечто подобное можно наблюдать и в других отраслях, например, Алексей Викторович продолжает писать про ненужность антивируса , однако, не уточняет что вкладывается в понятие "антивирус" и из-за этого может возникнуть неправильная интерпретация его слов, поэтому я и пишу эту небольшую заметку, чтобы нам всем разобраться. В моем понимании того самого "антивируса" уже действительно нет, именно потому что он в таком виде, как о нем пишет Алексей Викторович, не нужен, я об этом писал. К сожалению, у Алексея нет возможности под заметкой спросить, поэтому спрошу здесь: С учетом утверждения "антивирусы не нужны", в итоге ненужность каких продуктов каких вендоров, доступных на рынке РФ, утверждается? Пишите ваше мнение в комментариях, обсудим!
#vCISO
Нечто подобное можно наблюдать и в других отраслях, например, Алексей Викторович продолжает писать про ненужность антивируса , однако, не уточняет что вкладывается в понятие "антивирус" и из-за этого может возникнуть неправильная интерпретация его слов, поэтому я и пишу эту небольшую заметку, чтобы нам всем разобраться. В моем понимании того самого "антивируса" уже действительно нет, именно потому что он в таком виде, как о нем пишет Алексей Викторович, не нужен, я об этом писал. К сожалению, у Алексея нет возможности под заметкой спросить, поэтому спрошу здесь: С учетом утверждения "антивирусы не нужны", в итоге ненужность каких продуктов каких вендоров, доступных на рынке РФ, утверждается? Пишите ваше мнение в комментариях, обсудим!
#vCISO
Telegram
Пост Лукацкого
IT IS Conf еще не начался, секция про мифы кибербезопасности не стартовала 🏃, но у нас вчера вечером уже была дискуссия о том, что требование антивируса - это такой же миф, как и кактус на мониторе, который все излучение притягивает, как и православная иконка…
😁11👍7🤷2❤1
Все кинулись в эзотерику, символизм, нумеристику, пытаются находить взаимосвязи событий и на их основе делать всякого рода выводы и прогнозы .... Попробуем быть в тренде и мы.
Памятник Ф.Э. Дзержинскому в Кисловодске расположен в туристической зоне: здесь недалеко до Каскадной лестницы в Национальный парк, соседние улицы - пешеходный проспект Ленина, также ведущий в Парк, ул. Герцена - самая дорогая улица в городе... Вокруг памятника всегда толпы туристов, а одноименная улица в районе памятника жестко запаркована автобусами и прочим экскурсионным транспортом.
Сам постоянно прохожу и проезжаю мимо, но только недавно я догадался до секрета столь повышенного, может, и неосознанного, внимания к персоне Феликса Эдмундовича: в его годах жизни представлены коды регионов - Ставропольского края (26) и Москвы (77) - согласитесь, это не случайно!
#пятница
Памятник Ф.Э. Дзержинскому в Кисловодске расположен в туристической зоне: здесь недалеко до Каскадной лестницы в Национальный парк, соседние улицы - пешеходный проспект Ленина, также ведущий в Парк, ул. Герцена - самая дорогая улица в городе... Вокруг памятника всегда толпы туристов, а одноименная улица в районе памятника жестко запаркована автобусами и прочим экскурсионным транспортом.
Сам постоянно прохожу и проезжаю мимо, но только недавно я догадался до секрета столь повышенного, может, и неосознанного, внимания к персоне Феликса Эдмундовича: в его годах жизни представлены коды регионов - Ставропольского края (26) и Москвы (77) - согласитесь, это не случайно!
#пятница
😁8🤣1🤓1
Ребята из РТ упорядочили контент PHD2, так намного удобнее выбрать по интересам
Telegram
Positive Events
❓ Вы ждали и спрашивали, когда же записи докладов с киберфестиваля PHDays Fest 2 появятся на нашем YouTube-канале
Мы не теряли времени и выкладывали сотни гигабайтов и часов видео. Они распределены по трекам и темам для того, чтобы было удобнее искать и…
Мы не теряли времени и выкладывали сотни гигабайтов и часов видео. Они распределены по трекам и темам для того, чтобы было удобнее искать и…
👍5
Forwarded from purple shift
Операционка Windows даёт возможность зарегистрировать как службу исполняемый файл или скрипт для закрепления в системе и обеспечить стабильность восстановления в случае его завершения. Но не только добрые IT-специалисты пользуются этим удобством.
Злоумышленники в своих атаках применяют для решения этой задачи легитимные утилиты, например NSSM, SRVANY из набора Microsoft Windows Resource Kit, или SRVANY-NG. Эти утилиты регистрируются в системе в качестве сервиса и берут на себя роль управления запуском, привилегиями, зависимостями и восстановлением исполняемого файла. А ещё эти утилиты позволяют скрыть целевой исполняемый файл или выполняемую команду в событии создания службы в журналах Windows — чтобы обойти детектирование со стороны SOC.
Как же их детектировать? Нужно мониторить не только события создания сервисов, но и ключи реестра, связанные с параметрами сервисов. Подробности — в статье Дмитрия Лифанова.
Злоумышленники в своих атаках применяют для решения этой задачи легитимные утилиты, например NSSM, SRVANY из набора Microsoft Windows Resource Kit, или SRVANY-NG. Эти утилиты регистрируются в системе в качестве сервиса и берут на себя роль управления запуском, привилегиями, зависимостями и восстановлением исполняемого файла. А ещё эти утилиты позволяют скрыть целевой исполняемый файл или выполняемую команду в событии создания службы в журналах Windows — чтобы обойти детектирование со стороны SOC.
Как же их детектировать? Нужно мониторить не только события создания сервисов, но и ключи реестра, связанные с параметрами сервисов. Подробности — в статье Дмитрия Лифанова.
👍7❤2🔥2🥰1
27 июня в гостях у Бизонов буду погружаться в контейнеры и Кубер. Кто будет, увидимся!
Telegram
BI.ZONE
🎍BI.ZONE Cybersecurity Meetup #3: анонсируем программу
Встреча уже через две недели. Пора рассказать, какие доклады вас ждут:
🔵Зондируем контейнеры
Иван Дьячков, руководитель SOC, Wildberries
Алексей Федулаев, руководитель DevSecOps, Wildberries
🔵Tetragon…
Встреча уже через две недели. Пора рассказать, какие доклады вас ждут:
🔵Зондируем контейнеры
Иван Дьячков, руководитель SOC, Wildberries
Алексей Федулаев, руководитель DevSecOps, Wildberries
🔵Tetragon…
🥰4🤝2
Что бы кто ни говорил об анализе рисков, при всех его минусах, альтернативы нет. А вообще, вся наша жизнь - это управление рисками. Интересно, что об этом расскажут коллеги, запланировал посмотреть. В записи - уж точно!
#vCISO
#vCISO
Telegram
Anti-Malware
AM Live+ Управление рисками информационной безопасности
27 июня 2024 - 11:00 (МСК)
Открытый эфир со зрителями! Ведущие эксперты расскажут о новых методиках управления киберрисками, о тренде к упрощению и о правильной приоритизации усилий.
🔸 Теория и методология:…
27 июня 2024 - 11:00 (МСК)
Открытый эфир со зрителями! Ведущие эксперты расскажут о новых методиках управления киберрисками, о тренде к упрощению и о правильной приоритизации усилий.
🔸 Теория и методология:…
👍4🤝1
Психология так устроена, что мы лучше относимся к тому, что понимаем глубже. Поэтому, чтобы технологии внушали доверие, о них надо рассказывать - это и улучшит понимание (повысит доверие), а также может быть полезно для коллег по индустрии, может, они черпнут какие-то идеи для себя, а, может, в комментариях посоветуют что-то важное... Все мы в какой-то степени кузнецы своего счастья, так давайте будем ковать общее счастье вместе!
Для того, чтобы нам обсуждать Detection engineering в MDR нам надо понимать что мы вкладываем в понятия "хант", "событие", "алерт", "инцидент" и т.п.. Мы много про это говорим, но какого-то материала, на который можно было бы сослаться, я не нашел, поэтому подготовил соответствующую статью. Есть некоторая неуверенность, что я ничего незабыл, поэму не исключая возможность ее обновлений и дополнений.
Продолжение следует...
#MDR
Для того, чтобы нам обсуждать Detection engineering в MDR нам надо понимать что мы вкладываем в понятия "хант", "событие", "алерт", "инцидент" и т.п.. Мы много про это говорим, но какого-то материала, на который можно было бы сослаться, я не нашел, поэтому подготовил соответствующую статью. Есть некоторая неуверенность, что я ничего незабыл, поэму не исключая возможность ее обновлений и дополнений.
Продолжение следует...
#MDR
Дзен | Статьи
Сущности в MDR
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Есть много чем поделиться по части Detection engineering-а, однако, для обеспечения одинакового понимания требуются некоторые...
🔥10👍2
Бизон.Комплексный аудит.pdf
1.7 MB
Вопрос о том с чего начать новому CISO всегда интересен, я и сам много об этом писал, аж с 2014-ого года.
Очевидно, начать надо с аудита, но на что обратить внимание в первую очередь - есть варианты. Нам всегда проще выбирать то, что нам подходит, из какого-либо каталога(например, когда я работал архитектором безопасности в ИТ-проектах, я очень любил 53-ий NIST , поскольку это как раз и есть каталог контролей, из которого можно уже выбирать то, что мне релевантно) . Поэтому полезно иметь множество различных взглядов на наиболее приоритетные направления, а уже стоя на плечах гигантов, нам будет проще составить программу самооценки.
Вот, ребята из Бизон продвигали свои услуги по аудиту. На мой взгляд из них (презентация во вложении, есть запись) вполне можно надергать идей для составления собственной программы self-assessment-а пришедшему в поле CISO.
Единственное, что я бы добавил - это получение некоторой уверенности в том, что в сети нет альтернативной жизни (а то знаете ли, если я занимаюсь профилактикой и веду ЗОЖ, это не значит, что я абсолютно здоров и нет необходимости в периодической диспансеризации). В этом поможет Compromise Assessment.
В таком случае, вроде, все сценарии покрыты:
- если нас будут ломать, то как? - расскажет пентест (или Security Assessment в общем случае)
- если нас уже сломали, то где они? - расскажет Compromise Assessment
- насколько у нас хорошо с профилактикой компьютерных атак? - поможет Compliance audit процессов на соответствие любимыми бестпрактисам
#vCISO
Очевидно, начать надо с аудита, но на что обратить внимание в первую очередь - есть варианты. Нам всегда проще выбирать то, что нам подходит, из какого-либо каталога
Вот, ребята из Бизон продвигали свои услуги по аудиту. На мой взгляд из них (презентация во вложении, есть запись) вполне можно надергать идей для составления собственной программы self-assessment-а пришедшему в поле CISO.
Единственное, что я бы добавил - это получение некоторой уверенности в том, что в сети нет альтернативной жизни (а то знаете ли, если я занимаюсь профилактикой и веду ЗОЖ, это не значит, что я абсолютно здоров и нет необходимости в периодической диспансеризации). В этом поможет Compromise Assessment.
В таком случае, вроде, все сценарии покрыты:
- если нас будут ломать, то как? - расскажет пентест (или Security Assessment в общем случае)
- если нас уже сломали, то где они? - расскажет Compromise Assessment
- насколько у нас хорошо с профилактикой компьютерных атак? - поможет Compliance audit процессов на соответствие любимыми бестпрактисам
#vCISO
🔥16
Вот какую мысль хочется обсудить в пятницу, о регуляторке и качестве сервиса. В общем случае compliance - хорошая тема, много где это представляет собой тот самый "волшебный пинок" которого не хватает, чтобы заставить инвестировать в безопасность какие-либо ресурсы.
Однако, если результат работ, чтобы не быть голословным, возьмем Security Assessment или Compromise Assessment, требуется для выполнения требований регулятора, заказчик будет заинтересован, очевидно, в выполнении требований регулятора! Получаем, что тогда как в нормальной жизни любой Assessment - это только начало, с точки зрения заказчика, выполняющего требования регулятора - это должно быть окончание: анализ проведен, вот отчет, требования выполнены.
Но только надо, чтобы отчет не содержал серьезных недочетов. Заказчик может потребовать(кто заказывает музыку, тот и танцует!) от поставщика убрать из отчета все, что может его как-то компрометировать перед регулятором (какие-либо уязвимости, найденные на проекте SA, вызванные плохой работой подразделения ИБ, или какие-либо инциденты, найденные на проекте CA, опять же пропущенные, ввиду инфантильности операционной ИБ). Но нормальный поставщик на подобную модификацию отчета никогда не согласится... и тут наш заказчик будет вынужден работать с "плохими" поставщиками, которые либо напишут в отчете все, что попросит заказчик, либо ничего не найдут в ходе своих работ, что с точки зрения результата - одно и то же.
В итоге мы получаем традиционную оборотную сторону: требования регуляторов создают почву для возникновения "плохих" поставщиков. Следует заметить, что с такими поставщиками очень сложно конкурировать, поскольку квалификация исполнителей там не важна, а, следовательно, невысока и себестоимость. Да и спрос на "сговорчивых" поставщиков, тоже есть, так как хочется, провести assessment и закрыть тему, и не думать о том, что любой assessment - это только начало
#vCISO #пятница
Однако, если результат работ, чтобы не быть голословным, возьмем Security Assessment или Compromise Assessment, требуется для выполнения требований регулятора, заказчик будет заинтересован, очевидно, в выполнении требований регулятора! Получаем, что тогда как в нормальной жизни любой Assessment - это только начало, с точки зрения заказчика, выполняющего требования регулятора - это должно быть окончание: анализ проведен, вот отчет, требования выполнены.
Но только надо, чтобы отчет не содержал серьезных недочетов. Заказчик может потребовать
В итоге мы получаем традиционную оборотную сторону: требования регуляторов создают почву для возникновения "плохих" поставщиков. Следует заметить, что с такими поставщиками очень сложно конкурировать, поскольку квалификация исполнителей там не важна, а, следовательно, невысока и себестоимость. Да и спрос на "сговорчивых" поставщиков, тоже есть, так как хочется, провести assessment и закрыть тему, и не думать о том, что любой assessment - это только начало
#vCISO #пятница
🔥7👍4❤2
Telegram
purple shift
Сейчас расскажем, как мы починяем детектирующие правила (ханты) с помощью их конверсии – то есть знаний о том, насколько правила проваливаются в алерты, которые говорят о настоящем инциденте. Повышение конверсии позволяет уменьшить объём работы аналитика…
Борьба с ложными срабатываниями - залог повышения эффективности функционирования SOC. Работа эта бесконечна и никакие новые методы ее ведения не будут лишними. Метод, лежащий на поверхности - анализ комбинаций, которым мы открываем серию статей о Detection Engineering в рамках MDR. Первая публикация о статье была в канале нашего подразделения Security Services, подписывайтесь на канал и будете в курсе не только о том, что у происходит у нас в Defensive, но также что там у ребят из Offensive, у них там не менее интересно. Также привожу прямую ссылку на статью.
В целом, такой анализ комбинаций интересно посмотреть и в разрезе конкретных эндпоинтов, можно и ML-ку потренировать на таком анализе....
В общем, продолжение следует....
#MDR
В целом, такой анализ комбинаций интересно посмотреть и в разрезе конкретных эндпоинтов, можно и ML-ку потренировать на таком анализе....
В общем, продолжение следует....
#MDR
👍8🔥3
Отличный пример того, как оседлать инфоповод: статья ни о чем, приведенные запросы Managed Threat Hunting - поиск уязвимых версий sshd (не самая подходящая задача для MDR 😂. )
Выводы: либо Полупальто не смогло воспользоваться готовым сплитом, либо аномалий для детекта по их телеметрии нет.
Раз уж пишу заметку, дам ссылку на оригинальную статью:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
Ссылку на сплоит не буду выкладывать, он успел разбежаться по GitHub, ищи да обрящешь...
От себя добавлю, что 1) попытки поймать race condition в обработке сигнала в телеметрии будет выглядеть как, очевидно, множественные (ооочень много!) отправки сигналов от sshd к sshd, однако это не точный признак и сильно фолсит в определенных сценариях, 2) в логах sshd при попытках удалённой эксплуатации (именно этот сценарий в доступном на GitHub сплоите) будут таймауты - что-то типа «Timeout before authentication».
А вообще, завести даже готовый сплоит - непростая задача, к тому же, он только под х32, коих уже нигде нет, а по x64, складывается ощущение, и сами авторы не проэксплуатировали
#mdr
Выводы: либо Полупальто не смогло воспользоваться готовым сплитом, либо аномалий для детекта по их телеметрии нет.
Раз уж пишу заметку, дам ссылку на оригинальную статью:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
Ссылку на сплоит не буду выкладывать, он успел разбежаться по GitHub, ищи да обрящешь...
От себя добавлю, что 1) попытки поймать race condition в обработке сигнала в телеметрии будет выглядеть как, очевидно, множественные (ооочень много!) отправки сигналов от sshd к sshd, однако это не точный признак и сильно фолсит в определенных сценариях, 2) в логах sshd при попытках удалённой эксплуатации (именно этот сценарий в доступном на GitHub сплоите) будут таймауты - что-то типа «Timeout before authentication».
А вообще, завести даже готовый сплоит - непростая задача, к тому же, он только под х32, коих уже нигде нет, а по x64, складывается ощущение, и сами авторы не проэксплуатировали
#mdr
Unit 42
Threat Brief: CVE-2024-6387 OpenSSH RegreSSHion Vulnerability
This threat brief details CVE-2024-6387, called RegreSSHion, an RCE vulnerability affecting connectivity tool OpenSSH servers on glibc-based Linux systems.
🔥5👍1
🔥15👏6
На мероприятии меня заинтересовали несколько докладов с которыми я запланировал познакомиться поближе. Делюсь.
Telegram
Солдатов в Телеграм
27 июня в гостях у Бизонов буду погружаться в контейнеры и Кубер. Кто будет, увидимся!
Когда твои идеи повторяют - это замечательно! Особенно, когда это делают спустя несклько лет
Как минимум, это означает, что когда-то принятые решения были верны и сохраняют свою актуальность, эффективность и результативность на горизонте многих лет. Кроме того, очень приятно ощущать себя лидером рынка, задающим направления исследований, и что уже новые идеи и разработки идеологически основываются на том, к чему когда-то был причастен.
Автоаналиитка придумали в 2018, и, ЕМНИП, уже в 2020 году он был уже на проде. О нем много написано, коллеги по индустрии снабдили его новыми замечательными идеями(некоторые мы проверяли на старте, но они тогда не дали результата, а после доклада появилась мотивация их проверить заново) , но заметка сегодня не о том.
Эффективность работы Автоаналитика определяется качеством организации процессов работы команды SOC. Все очень просто: Автоаналитик обучается на решениях, принимаемых командой SOC. Если разные аналитики триажат схожие алерты по-разному, то Автоаналитик неправильно обучится и будет ошибаться, а в каких-то сценариях от него, напротив, будет только вред. Есть масса спорных сценариев, где аналитику SOC все понятно и, вроде как, можно было бы и забить, сэкономить время, однако, надо обязательно оформить все в соответствии с процедурами, в том числе и потому, что Автоаналитик может "обучиться плохому", ибо он не "мыслит" в категориях "и так все понятно" и "можно забить".
Все любят гордиться достижениями своих операционных процессов, однако, это непросто проверить, как оно на самом деле. Вот вам косвенный инструмент - эффективность работы ML-моделей, обучающихся на данных из операционных процессов работы аналитиков: чем четче и корректней работает команда SOC, тем выше результативность этих ML-моделей.
Как наши дети - отражение нас, так и наши ML-помощники отражают насколько мы хорошо работаем на самом деле.
#MDR
Как минимум, это означает, что когда-то принятые решения были верны и сохраняют свою актуальность, эффективность и результативность на горизонте многих лет. Кроме того, очень приятно ощущать себя лидером рынка, задающим направления исследований, и что уже новые идеи и разработки идеологически основываются на том, к чему когда-то был причастен.
Автоаналиитка придумали в 2018, и, ЕМНИП, уже в 2020 году он был уже на проде. О нем много написано, коллеги по индустрии снабдили его новыми замечательными идеями
Эффективность работы Автоаналитика определяется качеством организации процессов работы команды SOC. Все очень просто: Автоаналитик обучается на решениях, принимаемых командой SOC. Если разные аналитики триажат схожие алерты по-разному, то Автоаналитик неправильно обучится и будет ошибаться, а в каких-то сценариях от него, напротив, будет только вред. Есть масса спорных сценариев, где аналитику SOC все понятно и, вроде как, можно было бы и забить, сэкономить время, однако, надо обязательно оформить все в соответствии с процедурами, в том числе и потому, что Автоаналитик может "обучиться плохому", ибо он не "мыслит" в категориях "и так все понятно" и "можно забить".
Все любят гордиться достижениями своих операционных процессов, однако, это непросто проверить, как оно на самом деле. Вот вам косвенный инструмент - эффективность работы ML-моделей, обучающихся на данных из операционных процессов работы аналитиков: чем четче и корректней работает команда SOC, тем выше результативность этих ML-моделей.
Как наши дети - отражение нас, так и наши ML-помощники отражают насколько мы хорошо работаем на самом деле.
#MDR
Telegram
Солдатов в Телеграм
В рамках вебинара по отчету MDR получил несколько вопросов об использовании ML/DL/AI, также этот вопрос до сих пор всплывает на релевантных эфирах AM Live и прочих мероприятиях. Ответ: да, конечно, мы используем Автоаналитика, аж с 2018 года! Немного больше…
👏9👍2🔥1
Мы живем в эпоху утечек. Сам подписал на несколько каналов, где публикуются утечки, в некоторых из них находил себя по номеру телефона...
Но проблема не только в том, что внешние злоумышленники ломают сети и воруют данные!Который раз самостоятельно замечаю, что всегда, когда я беру ипотеку или покупаю страховку, об этом волшебным образом узнают разные мутные люди, которые начинают мне названивать как с целью предложить "лучшие условия", так и просто мошенники представляющиеся "сотрудниками мобильного оператора", "майорами ФСБ или МВД", "сотрудниками банка" и прочими-прочими. Из чего делается неутешительный вывод, что сотрудники воруют данных не меньше, чем внешние злоумышленники. Но об этом порассуждаем как-нибудь потом, а пока вернемся к внешним атакующим.
Есть такие специализированные системы, DLP. Работая в заказчике, я изучал этот вопрос, занимался выбором подходящего решения, о чем написано несколько статей в старом блоге: раз, два, три. Однако, некий скепсис в эффективности DLP, как технологического решения организационной проблемы, у меня до сих пор сохранился. Вот и сейчас мне интересно: в тех компаниях, у кого фиксировались утечки, использовались DLP? Насколько эффективно они сработали? А если утечка произошла, проводился ли какой-либо анализ, что помешало DLP выполнить единственную свою задачу и предотвратить утечку?
Если есть подобные исследования\разборы Lessons learned или хотя бы маркетинговые листовки о том, как какое-либо решение DLP предотвращает утечки на примере какой-то фактической утечки, пожалуйста, дайте ссылки в комментариях. Буду очень благодарен.
#vCISO
Но проблема не только в том, что внешние злоумышленники ломают сети и воруют данные!
Есть такие специализированные системы, DLP. Работая в заказчике, я изучал этот вопрос, занимался выбором подходящего решения, о чем написано несколько статей в старом блоге: раз, два, три. Однако, некий скепсис в эффективности DLP, как технологического решения организационной проблемы, у меня до сих пор сохранился. Вот и сейчас мне интересно: в тех компаниях, у кого фиксировались утечки, использовались DLP? Насколько эффективно они сработали? А если утечка произошла, проводился ли какой-либо анализ, что помешало DLP выполнить единственную свою задачу и предотвратить утечку?
Если есть подобные исследования\разборы Lessons learned или хотя бы маркетинговые листовки о том, как какое-либо решение DLP предотвращает утечки на примере какой-то фактической утечки, пожалуйста, дайте ссылки в комментариях. Буду очень благодарен.
#vCISO
👍5🔥3