Несмотря на то, что заметка про собеседования, в ней очень много полезного:
- как зрелые ИТ конторы понимают задачи лидера и что такое лидерство для них
- как формально можно подтвердить успешность своей менеджерской работы
- о том, что всегда полезно оценивать свое влияние на работу подразделения/компании
- есть полезные ссылки на справочники, которые, полезны и для целей собственного бенчмаркинга
#саморазвитие #управление
- как зрелые ИТ конторы понимают задачи лидера и что такое лидерство для них
- как формально можно подтвердить успешность своей менеджерской работы
- о том, что всегда полезно оценивать свое влияние на работу подразделения/компании
- есть полезные ссылки на справочники, которые, полезны и для целей собственного бенчмаркинга
#саморазвитие #управление
Telegram
Kali Novskaya
🌸FAANG собеседования. Behavioral 🌸
#собеседования
За последние года два я пособесилась в десяток компаний с сильным ML, и где-то ещё десяток не очень AI-native.
🌸Мой опыт
Прошла до конца в Meta, Snapchat, Spotify, HuggingFace, несколько стартапов.…
#собеседования
За последние года два я пособесилась в десяток компаний с сильным ML, и где-то ещё десяток не очень AI-native.
🌸Мой опыт
Прошла до конца в Meta, Snapchat, Spotify, HuggingFace, несколько стартапов.…
👍3🔥2
Относительно этого детекта немного добавлю деталей:
- основное событие телеметрии для него - Kerberos ticket metadata, присылающее информацию о сохраненных в памяти TGT и TGS. Ближайшая аналогия - klist
- детект сравнивает имя хоста из SPN с именем хоста, откуда взят билет (откуда пришло событие телеметрии). Аномалия заключается в том, что находится билет для сервиса на локальном хосте, т.е. имя хоста из SPN билета совпадает с именем хоста.
#MDR
- основное событие телеметрии для него - Kerberos ticket metadata, присылающее информацию о сохраненных в памяти TGT и TGS. Ближайшая аналогия - klist
- детект сравнивает имя хоста из SPN с именем хоста, откуда взят билет (откуда пришло событие телеметрии). Аномалия заключается в том, что находится билет для сервиса на локальном хосте, т.е. имя хоста из SPN билета совпадает с именем хоста.
#MDR
Telegram
purple shift
KRBUACBypass — это инструмент, позволяющий обходить механизм защиты User Account Control (UAC) в Windows, используя уязвимости в работе с билетами Kerberos. Атака основана на добавлении поддельной записи KERB-AD-RESTRICTION-ENTRY в сервисный билет, что позволяет…
👍5
Думаю, всем очевидно, что стандартизация имеет множество положительных сторон, но наиболее значимой, наверно, является расширение возможностей по интеграции и управлению этими интеграциями. В заметке рассмотрел простейший бенефит стандартизации имен серверов в корпорации для целей управления инцидентами.
#vCISO
#vCISO
Дзен | Статьи
Стандартизация имен
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Критичность инцидента зависит от критичности активов, затронутых инцидентом.
🔥3👍1
Теперь, когда мы разобрались с NTLM relay и как его теоретически можно обнаруживать по событию 4624, рассмотрим причины, почему на практике это работает плохо.
1. При аутентификации NTLM MS не гарантирует наличие IP-адреса, но, вроде как, обещает наличие NetBIOS имени. На практике это работает по-всякому: при аутентификации NTLM есть события в которых есть и IP и имя, где есть только IP (и нет имени!), и, конечно, где есть только имя (и нет IP). Картинки. Поскольку нам для успешного обнаружения нужны и IP и имя, для NTLM, в среднем, таких событий около 30-40%, т.е. на большей части событий предложенный детект построен быть не может.
2. В рамках логики обнаружения мы делаем резолв имени\адреса. Этот резолв может:
2.1. Ничего не вернуть, либо потому что для хоста нет записи в DNS, либо из-за какой-либо ошибки. Допустим в рамках корпоративного SOC обеспечить наличие в любой момент времени всех хостов в DNS можно, то на уровне внешнего поставщика SOC\MDR навести подобный порядок в инфраструктуре невозможно.
2.2. Вернуть другое имя\адрес, что на практике нередко, как минимум, по следующим причинам:
2.2.1. DNS-имя хоста не совпадает с NetBIOS-именем
2.2.2. Всяческие сценарии с крастерами\балансерами\шлюзами, когда на несколько нод с разными именами NetBIOS один адрес и\или одно DNS-имя
2.2.3. Иногда во внутренних сетях, видимо, для пущей безопасности, используются NAT. В этом случае хост имеет один IP-адрес, но в событии 4624, с аутентификацией с него, будет адрес после трансляции, который даже может nslookup-итья в какое-нибудь имя, сильно отличающееся от реального имени хоста-источника за NAT
2.2.4. Если у хоста несколько IP-адресов, то успех нашего детект зависит от того какие в итоге прописаны в файле DNS-зоны
Как уже отмечалось выше, если мы с вами внутренний SOC, и мы очень хотим ловить релеи менно по 4624, то при большой мотивации у нас есть возможность почистить фолсу для этого детекта, но успех составит, опять же, вынужден повториться, 30-40%, так как MS не гарантирует наличие IP-адреса в событиях аутентификаци по протоколам NTLM.
#MDR
1. При аутентификации NTLM MS не гарантирует наличие IP-адреса, но, вроде как, обещает наличие NetBIOS имени. На практике это работает по-всякому: при аутентификации NTLM есть события в которых есть и IP и имя, где есть только IP (и нет имени!), и, конечно, где есть только имя (и нет IP). Картинки. Поскольку нам для успешного обнаружения нужны и IP и имя, для NTLM, в среднем, таких событий около 30-40%, т.е. на большей части событий предложенный детект построен быть не может.
2. В рамках логики обнаружения мы делаем резолв имени\адреса. Этот резолв может:
2.1. Ничего не вернуть, либо потому что для хоста нет записи в DNS, либо из-за какой-либо ошибки. Допустим в рамках корпоративного SOC обеспечить наличие в любой момент времени всех хостов в DNS можно, то на уровне внешнего поставщика SOC\MDR навести подобный порядок в инфраструктуре невозможно.
2.2. Вернуть другое имя\адрес, что на практике нередко, как минимум, по следующим причинам:
2.2.1. DNS-имя хоста не совпадает с NetBIOS-именем
2.2.2. Всяческие сценарии с крастерами\балансерами\шлюзами, когда на несколько нод с разными именами NetBIOS один адрес и\или одно DNS-имя
2.2.3. Иногда во внутренних сетях
2.2.4. Если у хоста несколько IP-адресов, то успех нашего детект зависит от того какие в итоге прописаны в файле DNS-зоны
Как уже отмечалось выше, если мы с вами внутренний SOC, и мы очень хотим ловить релеи менно по 4624, то при большой мотивации у нас есть возможность почистить фолсу для этого детекта, но успех составит, опять же, вынужден повториться, 30-40%, так как MS не гарантирует наличие IP-адреса в событиях аутентификаци по протоколам NTLM.
#MDR
🔥8👍2
Никакая заметка и описание маршрута (основные факты приложены в комментарии к первой заметке о походе по р. Умба) не способны вместить полностью объем положительных эмоций и настроение, подаренное походом, поэтому в серии заметок я поделюсь фотографиями и видео.
Маршрут можно проследить в Strava, кроме первого дня (не заметил, что в тренировке "Рафтинг" не записывается маршрут), но далее все записано.
Далее перечислю ходовые дни, без учета дневок, которые заметны по датам)
День первый, 05.08: Стапель (мост через р. Умба, на пути из г. Апатиты) - п. Падун (сразу после прохождения)
День второй, 07.08: п. Падун - входная шевера п. Разбойник
День третий, 08.08: п. Разбойник - п. Семиверстный - Жемчужный плёс
День четвертый, 09.08: Жемчужный плёс - п. Карельский - п. Канозерский - Канозеро
День пятый, 11.08: Конец Канозера - Падун-на-Низьме
День шестой, 12.08: Падун-на-Низьме - Медвежий плес (антистапель)
По логистике:
- 03.08. Поезд Москва - Апатиты
- 04.08. Автомобиль от г. Апатиты до моста через р. Умба
- 13.08. Автомобиль от пос. Умба до г. Кандалакша
- 14.08. Поезд Кандалакша - Кемь, катер - Соловки
- 15.08. Соловки
- 16.08. Катер Соловки - Кемь, поезд Кемь - Москва
В водных походах огромное количество вещей. Компания у нас: два Рафтмастера К2, один Рафтмастер К4, три каяка. Вещей набирается на полный прицеп-фургон, поэтому основная часть (плавсредства, снаряжение) уходят транспортной компанией заблаговременно, а на поезде едет самое необходимое.
Продолжение следует...
#здоровье
Маршрут можно проследить в Strava, кроме первого дня (не заметил, что в тренировке "Рафтинг" не записывается маршрут), но далее все записано.
Далее перечислю ходовые дни, без учета дневок, которые заметны по датам)
День первый, 05.08: Стапель (мост через р. Умба, на пути из г. Апатиты) - п. Падун (сразу после прохождения)
День второй, 07.08: п. Падун - входная шевера п. Разбойник
День третий, 08.08: п. Разбойник - п. Семиверстный - Жемчужный плёс
День четвертый, 09.08: Жемчужный плёс - п. Карельский - п. Канозерский - Канозеро
День пятый, 11.08: Конец Канозера - Падун-на-Низьме
День шестой, 12.08: Падун-на-Низьме - Медвежий плес (антистапель)
По логистике:
- 03.08. Поезд Москва - Апатиты
- 04.08. Автомобиль от г. Апатиты до моста через р. Умба
- 13.08. Автомобиль от пос. Умба до г. Кандалакша
- 14.08. Поезд Кандалакша - Кемь, катер - Соловки
- 15.08. Соловки
- 16.08. Катер Соловки - Кемь, поезд Кемь - Москва
В водных походах огромное количество вещей. Компания у нас: два Рафтмастера К2, один Рафтмастер К4, три каяка. Вещей набирается на полный прицеп-фургон, поэтому основная часть (плавсредства, снаряжение) уходят транспортной компанией заблаговременно, а на поезде едет самое необходимое.
Продолжение следует...
#здоровье
👍16🔥7👏1🐳1
Старый PlugX до сих пор используется. До 2016 я не занимался атрибуцией, поэтому, если даже и встречался с проявлениями его использования, мало интересовался тем, что это как раз и есть то самое, что зовут немного маркетинговой аббревиатурой "APT". А уже в 2016, когда начал работу в ЛК, не раз с ним встречался, понимая и что это такое и какова мотивация его операторов.
В новой заметке я пособирал некоторые техники и современные индикаторы ребят, использующих PlugX, а также дал ссылки исследования других вендоров, чьи описания совпадали с тем, что мы наблюдали в своей телеметрии.
В целом, с 2016 года за операторами PlugX наблюдалось большое разнообразие техник и инструментов, поэтому атрибутировать их удалось только по используемому кастомному трояну. Даже если у операторов и были\есть излюбленные техники и процедуры (как основа для атрибуции), то нет никакой гарантии, что команда операторов на протяжении 10 лет не меняется, а люди разные: кто-то любит Cobaltstrike(кстати, наряду с PlugX-ом использование Cobalt-а тоже наблюдалось) , а кто-то предпочитает MSF, - могу предположить, что служба по контракту не длится вечно, поэтому люди точно будут меняться. Отчасти всеми этими мыслями объясняется мой небольшой скепсис к атрибуции, который просматривается в нашем обсуждении с Олегом.
Но какие краткие выводы по PlugX:
- надо детектить DLL side loading (как-нибудь обсудим)
- есть некие особенности (актуальные на сейчас): userinit с параметрами, именованные каналы, и более волатильные - C&C
- можно попробовать сделать детекты на discovery - едва ли бухгалтер будет дергать ipconfig /all или tasklist
- можно детектить переименованные бинари
- надо следить за детектами антивируса, в подобных атаках едва ли он будет совсем безмолствовать + стандартная гигиена: ставить патчи на периметре, обучать пользователей (чтобы не кликали на фишинг) и т.п.
#MDR
В новой заметке я пособирал некоторые техники и современные индикаторы ребят, использующих PlugX, а также дал ссылки исследования других вендоров, чьи описания совпадали с тем, что мы наблюдали в своей телеметрии.
В целом, с 2016 года за операторами PlugX наблюдалось большое разнообразие техник и инструментов, поэтому атрибутировать их удалось только по используемому кастомному трояну. Даже если у операторов и были\есть излюбленные техники и процедуры (как основа для атрибуции), то нет никакой гарантии, что команда операторов на протяжении 10 лет не меняется, а люди разные: кто-то любит Cobaltstrike
Но какие краткие выводы по PlugX:
- надо детектить DLL side loading (как-нибудь обсудим)
- есть некие особенности (актуальные на сейчас): userinit с параметрами, именованные каналы, и более волатильные - C&C
- можно попробовать сделать детекты на discovery - едва ли бухгалтер будет дергать ipconfig /all или tasklist
- можно детектить переименованные бинари
- надо следить за детектами антивируса, в подобных атаках едва ли он будет совсем безмолствовать + стандартная гигиена: ставить патчи на периметре, обучать пользователей (чтобы не кликали на фишинг) и т.п.
#MDR
Дзен | Статьи
PlugX... в 2024
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: PlugX - очень старый инструментарий. Мы его наблюдали у заказчиков еще в 2016, вполне возможно, появился он еще раньше.
🔥3
facct-shadow-twelve-report-2024.pdf
65.8 MB
Ребята из F.A.C.C.T. выпустили фундаментальное исследование про Shadow и Twelve и релевантные им проекты. Док крайне полезен для понимания современного ландшафта угроз для РФ, о чем, вроде бы, написано немало (1 , 2 ), но знания не бывают лишними (тем более, всегда интересно сравнивать отчеты разных поставщиков на схожие темы - это позволяет создать более объективное представление и сопоставить собственные наблюдения) ! Делюсь.
#MDR
#MDR
👍12
Пока подавляющее большинство атак на LLM строятся вокруг prompt injection, вот эта мне показалась чем-то новым, хотя, в общем-то тоже неявная инъекция промпта.
Атака направлена на фичу долгосрочной памяти ChatGPT , используемой для хранения информации о прошлых сеансах общения с пользователем. Атакующему удалось внедрить "ложные воспоминания" и таким образом скомпрометировать модель:
OpenAI, вроде, поправили, но прецедент...
#ml
Атака направлена на фичу долгосрочной памяти ChatGPT , используемой для хранения информации о прошлых сеансах общения с пользователем. Атакующему удалось внедрить "ложные воспоминания" и таким образом скомпрометировать модель:
The researcher demonstrated how he could trick ChatGPT into believing a targeted user was 102 years old, lived in the Matrix, and insisted Earth was flat and the LLM would incorporate that information to steer all future conversations. These false memories could be planted by storing files in Google Drive or Microsoft OneDrive, uploading images, or browsing a site like Bing—all of which could be created by a malicious attacker
OpenAI, вроде, поправили, но прецедент...
#ml
Ars Technica
Hacker plants false memories in ChatGPT to steal user data in perpetuity
Emails, documents, and other untrusted content can plant malicious memories.
👍2🔥1
Дефолтная реакция MDR на человекоуправляемую атаку - DFIR, однако, в ряде случаев инструментального реагирования даже на ограниченном объеме MDR может быть достаточно. Описанная в статье ситуация, при всей своей кажущейся нелогичности, отнюдь не редка и такие инфраструктуры-хонипоты я не раз видел. Могу предположить, что подобная "толерантность" заказчика к атакующему объясняется экономикой - достаточно дешево, исключительно инструментальным (автоматизированным, автоматическим) реагированием, атака держится под контролем, в рамках допустимого ущерба. Ну а для целей исследований такие инфраструктуры также бесценны, можно изучать работу атакующих.
В статье я затронул много тем: допустимый ущерб, требуемая скорость реакции и SLA, мотивация атакующих, защита бизнес-процессов, стратегия реагирования на инциденты и эффективность\себестоимость... в каждую можно углубиться более подробно, любые мысли\предложения в комментариях приветствуются.
#MDR #vCISO
В статье я затронул много тем: допустимый ущерб, требуемая скорость реакции и SLA, мотивация атакующих, защита бизнес-процессов, стратегия реагирования на инциденты и эффективность\себестоимость... в каждую можно углубиться более подробно, любые мысли\предложения в комментариях приветствуются.
#MDR #vCISO
Дзен | Статьи
Отрезание постоянно отрастающих щупальцев
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Про скорость реакции написано немало, да и про критичность инцидентов.
🔥7👍2
Интересное сравнение EDR-ов, будем следить за проектом...
Но почему-то не оставляет ощущение, что приведенные события телеметрии - далеко не полный список + интересно посмотреть на то, как выглядят события, какие у них поля и как они отображаются в интерфейсе, поэтому хотелось бы увидеть что-то типа этого... но будем думать, что ребята разовьются и все исходники своего сравнения выложат куда-нибудь в Git, а мы уже сами проведем объективный с подходящей нам точки зрения анализ и сделаем выводы
#MDR
Но почему-то не оставляет ощущение, что приведенные события телеметрии - далеко не полный список + интересно посмотреть на то, как выглядят события, какие у них поля и как они отображаются в интерфейсе, поэтому хотелось бы увидеть что-то типа этого... но будем думать, что ребята разовьются и все исходники своего сравнения выложат куда-нибудь в Git, а мы уже сами проведем объективный с подходящей нам точки зрения анализ и сделаем выводы
#MDR
👍3🔥2
Более чем 14 лет назад я рассуждал об авторском праве, и о необходимости свободного доступа к знаниям и информации. И вот сейчас, но уже под соусом машинной обработки мы обсуждаем те же проблемы
#ml
#ml
Telegram
Kali Novskaya
🌸 [ДАННЫЕ УДАЛЕНЫ] 🌸
Будущее корпусов, знаний и нас с вами в условиях лицензионной войны
#nlp #про_nlp
Наконец-то хорошие новости на конец недели:
Флибуста, самая большая русскоязычная торрент-библиотека, продолжит работу!
Создатель ресурса заявил, что…
Будущее корпусов, знаний и нас с вами в условиях лицензионной войны
#nlp #про_nlp
Наконец-то хорошие новости на конец недели:
Флибуста, самая большая русскоязычная торрент-библиотека, продолжит работу!
Создатель ресурса заявил, что…
🔥4👍2
Вся безопасность направлена в конечном счете на предотвращение неавторизованного\ несанкционированного доступа (НСД), а все наше многообразие контролей ИБ объясняется желанием делать это как можно на более ранних этапах атаки.
В частности, Управление уязвимостями - это один из множества второстепенных процессов ИБ, в конечном счете направленный на то же предотвращение НСД. Второстепенный - потому что само наличие уязвимости совсем не означает, что НСД обязательно произойдет и, что самое главное, будет какой-либо ущерб. И история нам это постоянно подтверждает - периодически находятся уязвимости, которые десятилетиями не эксплуатируются.
Так вот, в части НСД мы уже давно доросли до подхода assume breach и threat hunting-а (презентацией той поделюсь, правда ей уже скоро 10 лет), т.е. мы уже допускаем тот факт, что атакующие есть в сети (уже есть НСД, собственно, про что вся безопасность!) и считаем это допустимым, пока нет ущерба недопустимого размера.
Однако, по части управления уязвимостями мы продолжаем самоотверженно пытаться достичь их отсутствия. Я уже говорил что добиться отсутствия уязвимостей невозможно, поэтому их наличие надо принять как обстоятельство, которое следует учитывать при планировании своей СУИБ, и все свои усилия направить не на бесконечное латание дыр, а на то, чтобы существующие уязвимости были либо неэксплуатируемыми, либо их эксплуатация не приводила к ущербу, т.е. чтобы эксплуатацию уязвимости нельзя было развить в атаку, приводимую к недопустимому ущербу. Если эта концепция по-прежнему кажется не очевидной или не понятной, пишите в комментариях, обсудим (и у меня уже был доклад на эту тему, и умнейшие люди не раз об этом говорили )
Тем не менее, наши парламентеры продолжают топить за архаичное управление уязвимостями. Может, дай Бог, я неправильно понял и наказывать собираются не просто за наличие уязвимости, а именно за то, что уязвимость проэксплуатировали и компания получила ущерб, превышающий допустимый... но такого пояснения я не заметил 😢
#vCISO #управление
В частности, Управление уязвимостями - это один из множества второстепенных процессов ИБ, в конечном счете направленный на то же предотвращение НСД. Второстепенный - потому что само наличие уязвимости совсем не означает, что НСД обязательно произойдет и, что самое главное, будет какой-либо ущерб. И история нам это постоянно подтверждает - периодически находятся уязвимости, которые десятилетиями не эксплуатируются.
Так вот, в части НСД мы уже давно доросли до подхода assume breach и threat hunting-а (презентацией той поделюсь, правда ей уже скоро 10 лет), т.е. мы уже допускаем тот факт, что атакующие есть в сети (уже есть НСД, собственно, про что вся безопасность!) и считаем это допустимым, пока нет ущерба недопустимого размера.
Однако, по части управления уязвимостями мы продолжаем самоотверженно пытаться достичь их отсутствия. Я уже говорил что добиться отсутствия уязвимостей невозможно, поэтому их наличие надо принять как обстоятельство, которое следует учитывать при планировании своей СУИБ, и все свои усилия направить не на бесконечное латание дыр, а на то, чтобы существующие уязвимости были либо неэксплуатируемыми, либо их эксплуатация не приводила к ущербу, т.е. чтобы эксплуатацию уязвимости нельзя было развить в атаку, приводимую к недопустимому ущербу. Если эта концепция по-прежнему кажется не очевидной или не понятной, пишите в комментариях, обсудим (и у меня уже был доклад на эту тему, и умнейшие люди не раз об этом говорили )
Тем не менее, наши парламентеры продолжают топить за архаичное управление уязвимостями. Может, дай Бог, я неправильно понял и наказывать собираются не просто за наличие уязвимости, а именно за то, что уязвимость проэксплуатировали и компания получила ущерб, превышающий допустимый... но такого пояснения я не заметил 😢
#vCISO #управление
Парламентская Газета
«Белые хакеры»
Парламентская газета. Новости: Политика. «Белые хакеры». Дата публикации: 09.10.2024.
👍9🔥1
Солдатов в Телеграм
Так вот, в части НСД мы уже давно доросли до подхода assume breach и threat hunting-а (презентацией той поделюсь, правда ей уже скоро 10 лет),
BIS2016-Охота на угрозы-v3.pdf
2 MB
Как обещал в предыдущей заметке, делюсь старой презентацией c BIS Summit-а 2016 года. Наверно, первом на просторах RU-Net-а упоминании Threat hunting-а.
Кстати, чуть позже, по мотивам доклада вышла статья в журнале "БДИ!", правда, найти ее мне почему-то не удалось (в целом, исходный текст у меня есть, поэтому если интересны исторические публикации, могу ее опубликовать здесь)
#MDR
#MDR
👍5🔥2❤1
RMM нередко используются в реальных инцидентах и мошеннических схемах. Вот ребята опубликовали неплохой перечень с чего можно было бы начать
#MDR
#MDR
NVISO Labs
Hunting for Remote Management Tools: Detecting RMMs
In our previous blog post about RMM (Remote Management and Monitoring) tools, we highlighted the prevalence of such tooling in nearly every organization’s environment. In today’s world, where many …
🔥4
ЛК запустила функционал Threat landscape в составе своего TIP, где собрала известные кампании, разложенные по их TTP в нотации MITRE ATT&CK и целям: можно удобно выбрать интересующую индустрию и географическую локацию, и получить перечень релевантных атакующих и их ТТР.
Подробности будут на вебинаре. От нашей команды Detection engineering, а в прошлом - аналитик операционных линий, мой коллега и друг - Глеб Иванов.
#kaspersky #MDR
Подробности будут на вебинаре. От нашей команды Detection engineering, а в прошлом - аналитик операционных линий, мой коллега и друг - Глеб Иванов.
#kaspersky #MDR
Telegram
purple shift
Как многократно подтверждено на практике, атакующие не меняют свои ТТР, если они сохраняют результативность. Поэтому, в рамках активного поиска угроз (Threat hunting) разумно в первую очередь проверять техники и инструменты, которыми атакующие пользовались…
👍7🔥3
На днях на регулярном речеке (от recheck) ошибок аналитиков задумался о следующем: нужно ли, принимая решение о степени критичности ошибки аналитика, брать во внимание последствия. Простой пример: аналитик небрежно оформил карточку инцидента, и с точки зрения внутренней классификации это ошибка низкой критичности. Однако, допустим, что в результате клиент оказался сильно задет этой небрежностью, что привело к эскалации, которую далее пришлось отрабатывать улаживать с привлечением разного рода менеджеров. Как из любой эскалации, мы сделали выводы и немного подправили внутренние инструкции по оформлению карточек инцидентов, довели нововведения на стендапах, проанализировали следует ли добавить что-то в программу онбординга.
Ответ на вопрос какой, в итоге, критичности ставить ошибку аналитику, даст дельнейшее развитие событий или что мы собираемся делать с этими ошибками. Если, допустим, не дай Бог, у нас задача найти виновного и как-то наказать (об отрицательной мотивации обязательно как-нибудь поговорим, вопрос важный и актуальный, как не странно, до сих пор), то надо исходить из последствий: последствия серьезные, значит ошибка серьезная.
Но, если у нас задача - повышение качества работы аналитиков, а точнее, контроль выполнения ребятами внутренних инструкций, то оценивать ошибку следует без учета последствий. Действительно, ведь последствия вызваны особенностями восприятия действительности заказчиком или неточностями во внутренних инструкциях, которые обновили в рамках работы над ошибками после эскалации, а ошибки аналитика здесь нет. Конкретно в нашем случае есть еще одно правило: в спорных ситуациях мы считаем в пользу аналитика.
Описанная логика работает и наоборот: по фактической оценке несложно предположить истинную цель оценки. Т.е. если исполнителя оценивают исходя из последствий на которые он крайне слабо мог повлиять - явный индикатор поиска козла отпущения, и надо делать соответствующие выводы
#управление #MDR
Ответ на вопрос какой, в итоге, критичности ставить ошибку аналитику, даст дельнейшее развитие событий или что мы собираемся делать с этими ошибками. Если, допустим, не дай Бог, у нас задача найти виновного и как-то наказать (об отрицательной мотивации обязательно как-нибудь поговорим, вопрос важный и актуальный, как не странно, до сих пор), то надо исходить из последствий: последствия серьезные, значит ошибка серьезная.
Но, если у нас задача - повышение качества работы аналитиков, а точнее, контроль выполнения ребятами внутренних инструкций, то оценивать ошибку следует без учета последствий. Действительно, ведь последствия вызваны особенностями восприятия действительности заказчиком или неточностями во внутренних инструкциях, которые обновили в рамках работы над ошибками после эскалации, а ошибки аналитика здесь нет. Конкретно в нашем случае есть еще одно правило: в спорных ситуациях мы считаем в пользу аналитика.
Описанная логика работает и наоборот: по фактической оценке несложно предположить истинную цель оценки. Т.е. если исполнителя оценивают исходя из последствий на которые он крайне слабо мог повлиять - явный индикатор поиска козла отпущения, и надо делать соответствующие выводы
#управление #MDR
Дзен | Статьи
Контроль качества работы аналитиков SOC: опубликованные инциденты
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Продолжаем серию статей о практиках, сложившихся в нашем SOC, и в этой заметке коснемся темы контроля качества работы аналитиков...
🔥5
Среди техник для горизонтальных перемещений SCCM представлен только в T1072: Software Deployment Tools, однако, SCCM имеет функционал удаленного подключения к рабочей станции, и поэтому может предлагать функционал аналогичный VNC или RDP, а за счет широкого распространения SCCM в корпоративных сетях может быть вполне себе LotL-инструментом горизонтальных перемещений.
В статье ребята подробно разобрали этот сценарий:
- согласие пользователя на подключение можно отключить будучи админом на целевой системе
- клиента можно запускать где угодно, не обязательно на сервере SCCM
- каких-то специальных прав "Администратора SCCM" для организации не надо
ЗЫ: А в MITRE SCCM в таком сценарии не предусмотрен. Что и следовало ожидать: ATT&CK со своим списком техник все больше отстает от реалий ITW, а они еще носом верятят, когда им техники заносят.
Делаем ханты, ребята...
#MDR
В статье ребята подробно разобрали этот сценарий:
- согласие пользователя на подключение можно отключить будучи админом на целевой системе
- клиента можно запускать где угодно, не обязательно на сервере SCCM
- каких-то специальных прав "Администратора SCCM" для организации не надо
ЗЫ: А в MITRE SCCM в таком сценарии не предусмотрен. Что и следовало ожидать: ATT&CK со своим списком техник все больше отстает от реалий ITW, а они еще носом верятят, когда им техники заносят.
Делаем ханты, ребята...
#MDR
Netero1010-Securitylab
Abuse SCCM Remote Control as Native VNC | Netero1010 Security Lab
20 October 2024
🔥6👍3
После того, как Visa и MasteCard решили наказать граждан РФ отказом от своих обязательств, наши карты этих платежных систем стали "бессрочными". У меня самого есть кредитка Visa Signature, которая давно истекла, однако, я продолжаю ей пользоваться, так как по ней сохранились привлекательные условия по кешбеку, а полных аналогов от Мир нет.
В мире безопасности ничто не вечно, поэтому как бы "бессрочные" карты, по факту имеют технический срок работы - до момента как истекут сертификаты в чипах. Технически для нас это будет выглядеть также, как в случае физической порчи чипа или "размагничивания": пытаемся заплатить картой, а она не работает. Как узнать заранее когда протухает чип, я пока не придумал (скорее всего это можно сделать кустарными кардридерами, но надо быть аккуратнее, чтобы не создать новую тему для мошенничества), а Поддержка банка отвечает, что "если карта перестанет работать, то ее заменят бесплатно за N дней", т.е. как будто проблемы протухания чипа нет.
Итого:
- карты не "бессрочные"
- чем дальше от срока exp. date на карте, тем больше вероятность, что карта "перестанет работать"
- надо иметь бэкап-план на случай, что протухшая карта действительно откажет
#финансы
В мире безопасности ничто не вечно, поэтому как бы "бессрочные" карты, по факту имеют технический срок работы - до момента как истекут сертификаты в чипах. Технически для нас это будет выглядеть также, как в случае физической порчи чипа или "размагничивания": пытаемся заплатить картой, а она не работает. Как узнать заранее когда протухает чип, я пока не придумал (скорее всего это можно сделать кустарными кардридерами, но надо быть аккуратнее, чтобы не создать новую тему для мошенничества), а Поддержка банка отвечает, что "если карта перестанет работать, то ее заменят бесплатно за N дней", т.е. как будто проблемы протухания чипа нет.
Итого:
- карты не "бессрочные"
- чем дальше от срока exp. date на карте, тем больше вероятность, что карта "перестанет работать"
- надо иметь бэкап-план на случай, что протухшая карта действительно откажет
#финансы
👍17🔥1
Полностью согласен с Сашей: никакой неожиданности и трагедии здесь нет - кто финансирует, тот и устанавливает правила. А все эти красивые и пафосные слова: "свободное ПО", "Сообщество независимых разработчиков" и т.п. - красивая обертка, присказка к сказке про "свободу" и "демократию"
"Зри в корень!", - говорил Козьма Прутков.
"Зри в корень!", - говорил Козьма Прутков.
Telegram
Управление Уязвимостями и прочее
Ознакомился с драмой про удаление 11 российских разработчиков из списка мейнтейнеров стабильной ветки ядра Linux. Поглядел оригинальный тред, темы с обсуждением на Хабре и на OpenNet.
Так-то ничего нового, уже после скандала с Baikal Electronics было понятно…
Так-то ничего нового, уже после скандала с Baikal Electronics было понятно…
👍13💩3😢2🖕1🗿1