Киберстендап Евгения Бударина из «Лаборатории Касперского» — про то, что общего у ИБ и бегемотов из Kinder Surprise, на какой сериал похожа КИИ и на какой вопрос в сфере SOC нет правильного ответа.

Очень часто жизнь (реальная практика) подбрасывает нам подтверждения того, что далеко не все точно может предсказываться теретически. В новой заметке поделился случаями из практики, когда связка EPP-MDR вполне эффектвно защищает от state-sponsored APT и связанными с этими ситуациями рассуждениями. Пишите ваши мысли, всегда приятно видеть интерес аудитории!

https://dzen.ru/a/ZXrLaNU26CLnUp9i

Где-то летом этого года я прочитал неплохую книжку: Михаил Хазин, Сергей Щеглов. Лестница в небо.

Книжка будет крайне полезна всем карьеристам (во всех смыслах этого слова), особенно тем, кто видит себя в высших эшелонах власти. Кроме того, книга ценна описанием практических ситуаций в корпоративных взаимоотношениях, каких-то граблей, на которые лучше не наступать уже в своей  практике.
Тем, кто ранее читал другую литературу про эмоциональный интеллект, ведение переговоров, или те же "45 татуировок менеджера" от Максима Батырева, а также что-то читал\смотрел про формирование околоправительственных элит в Великобритании\США или СССР\России (ничего себе разброс?! Да, в книге затронуто много всего, в этом и ее ценность!), многое покажется знакомым, ранее где-то слышанным, но это не умаляет полезность этой книги как для расширения кругозора и своих возможностей по пониманию происходящего в мире, так и в качестве некоего источника мудрости, которая может быть полезна в ситуациях, схожих с описанными в книжке.

#книги

Часто в публикациях и на выступлениях я говорю, что человекоуправляемая атака очень похожа на пентест. На практике с этим даже были связаны веселые грустные истории, когда мы публиковали инцидент и уточняли у заказчика является ли наблюдаемое легитимной проверкой нас, или их реально поломали и надо оперативно реагировать... и заказчик ошибался! Может, оттого, что заказчик знал, что проверять будут работу всей функции, т.е. и нас и его, и как мы работаем вместе, но не знал точного времени, может даже и по времени совпало, просто пентестеры пока себя не проявили, а реальный атакующий уже, может, у заказчика плохие отношения\коммуникации с вышестоящим руководством, инициирующим подобные проверки... Как говорится в одной старой армейской шутке: «Пушка не стреляла ввиду 1017 причин. Первая из них – не было ядер»
Однако, если понаблюдать за такой человекоуправляемой атакой достаточно непродолжительное время, есть одно очень простое отличие: реальный атакующий на каждом шаге закрепляется: прописывает себя в автозапуски, создает задачи планировщика, ставит службы и т.п., пентестер же может вообще не закрепляться на протяжении всей своей работы!

#пятница

Сегодня с младшими детьми ездили в Георгиевск, несостоявшуюся столицу Ставрополья. По пути мы, традиционно, слушали аудиокнигу, сегодня выбор выпал на «Странная история доктора Джекила и мистера Хайда», Р.Л. Стивенсона. Не будем здесь много останавливаться на том, насколько многогранен Стивенсон, написавший, такие разные, и «Черную стрелу», и «Остров сокровищ», и готического «Джекила и Хайда», которого я читал еще в школе, а относительно недавно, уже взрослым дядькой, переслушивал уже на английском языке, чтобы, изучая испанский, не забывать английский.

И сегодня снова поймал себя на мысли, что, очевидно, в каждом из нас живут одновременно и Джекил, и Хайд, в этом и есть основной замысел автора, но, верно и далее, как и в сюжете книги, если мы будем многое позволять Хайду, рано или поздно он окончательно возьмет верх над нашим Джекилом. Очень просто падать, но крайне сложно подниматься, поэтому нам всем лучше оставаться на высоте и, по возможности, никогда не давать волю нашему внутреннему Хайду, иначе это приведет к непоправимым последствиями

Мы все всегда в чем-то заказчики, а в чем-то поставщики. Как заказчики мы всегда интересуемся референсами и историями успеха - это вполне нормально работает при бронировании апартаментов на отпуск, но значительно хуже работает в случае инцидентов безопасности. Ну а нам, заказчикам, действительно просто подчиняться стадному инстинкту и повторять то же, что уже сделали похожие на нас. В заметке порассуждал на эту тему, и о том, что публикуемый TI - те же истории успеха, которые можно брать за основу при выборе поставщика, как альтернативу архаичным персонализированным референсам

https://dzen.ru/a/ZX7VPhtTQE497NEj

Последнее время то там, то тут слышишь про "Фиолетовые команды", видимо, "Красными" и\или "Синими" уже никого не удивишь 😁 Вот попался неплохой BOK по превращению "фиолетового движения" из ad-hoc в системную работу:
https://github.com/scythe-io/purple-team-exercise-framework

Читатели спрашивали про запись и слайды. Ловите!
https://youtu.be/jomLRu4UAjs?si=T0aPPv7Ph0Ow_8RT

Так и не удалось услышать ответа на простой вопрос: «Когда заканчивается расследование?», вроде, конкретный вопрос, требующий конкретного ответа. Возможно, расплывчивый ответ объясняется неправильным определением скоупа, а, может, я сам чего-то не понимаю, поправьте меня тогда в комментариях, я фанат обучения и всегда рад чему-то новому.

Вообще, расследование инцидента очень похоже на процесс работы с IoC-ами, который я описывал здесь: на вход нам подается инцидент, в нем есть поломанные системы, из этих систем мы средствами DFIRMA извлекаем IoC-и, затем эти IoC-и ищем по всей сети, находим новые поломанные системы, из них тоже извлекаем IoC-и, которые потом снова ищем везде и т.п. Расследование заканчивается, когда в результате поиска всех известных на данный момент IoC-ов (как извлеченных из систем в рамках данного расследования, так и найденных связанных во всем доступном TI) мы не находим новых систем из которых можно было бы извлечь новые IoC-и, поискать другие связанные в TI, и по ним поискать новые системы.

Кстати, для любителей чтения полезных книжек, ровно этот же, описанный мной, процесс расследования инцидента описан в замечательной, ставшей классикой, Incident Response Кевина Мандиа, с которой всем обязательно рекомендую ознакомиться!

#книги