Выходные - это время переосмысления, попыток взглянуть по-другому на понятные вещи, чтобы в новом году выйти на новый уровень. Идеи черпать следует конечно же из активностей по саморазвитию. И одной из таких запланированных задач - посмотреть что там новенького на Black Hat (несложно найти самостоятельно, но на всякий случай вот ссылочка). BH - неплохое отражение тенденций в индустрии, поэтому, если хочется идти в ногу, полезно отсматривать о чем там нынче рассказывают.
Первый доклад, который мне понравился - ну конечно же про метрики! Оценка эффективности и результативности - значимая часть моей работы, частично этим я делился здесь, а долкалд товарища Allyn Stott - отличное дополнение к рассказанному мною.
The Fault in Our Metrics: Rethinking How We Measure Detection & Response
Кто много себя посвятил разного рода оценкам, анализам и метрикам прекрасно знает проблему: если мы для принятия решений полагаемся на метрики, но используем неправильные метрики, то мы принимаем неправильные решения. Причем метрики могут быть неправильными по великому множеству причин - от будучи ошибочно выбранными, до дрейфа наших оценок во времени (аналогично, как в машобуче - дрейф данных и дрейф концепции). В докладе Allyn выделяет ключевые ошибки, приводящие к неправильным метрикам ❗️и предлагает альтернативные метрики❗️. Приведу эти ошибки, они заслуживают внимания:
Mistake #1 losing sight of the goal - теряем цель измерения, поэтому, когда придумываем метрику надо понимать в какую категорию она попадает (автор приводит эти категории для самопроверки - SAVER)
Mistake #2 Using quantities that lack controls - пытаемся измерять то, на что не можем влиять - это вообще классика, для этого придумали S.M.A.R.T.
Mistake #3 Thinking proxy metrics are bad - выбор красивых и зрелищных метрик, вместо полезных
Mistake #4 Not adjusting to the altitude - мы не объясняем бизнес-последствия от тех или иных значений показателей - N - это плохо? сильно плохо? или нормально? или, вообще, хорошо?
Mistake #5 Asking "why?" instead of "how?" - надо спрашивать себя что надо делать (how) - при такой постановке вопроса измеряемую проблему решить проще
Измерения не должны быть хаотичны, хаосом невозможно управлять, поэтому автор предлагает Treat Detection and Response Maturity Model (TDRMM), придуманной под впечатлением Threat hunting MM, ❗️и делится ею❗️. Она не гарантировано может быть взята в работу "как есть", но она точно - отличное начало для построения своей TDRMM.
Прикладываю во вложении слайды и TDRMM в виде Excel.
#mdr #vCISO #управление
Первый доклад, который мне понравился - ну конечно же про метрики! Оценка эффективности и результативности - значимая часть моей работы, частично этим я делился здесь, а долкалд товарища Allyn Stott - отличное дополнение к рассказанному мною.
The Fault in Our Metrics: Rethinking How We Measure Detection & Response
Кто много себя посвятил разного рода оценкам, анализам и метрикам прекрасно знает проблему: если мы для принятия решений полагаемся на метрики, но используем неправильные метрики, то мы принимаем неправильные решения. Причем метрики могут быть неправильными по великому множеству причин - от будучи ошибочно выбранными, до дрейфа наших оценок во времени (аналогично, как в машобуче - дрейф данных и дрейф концепции). В докладе Allyn выделяет ключевые ошибки, приводящие к неправильным метрикам ❗️и предлагает альтернативные метрики❗️. Приведу эти ошибки, они заслуживают внимания:
Mistake #1 losing sight of the goal - теряем цель измерения, поэтому, когда придумываем метрику надо понимать в какую категорию она попадает (автор приводит эти категории для самопроверки - SAVER)
Mistake #2 Using quantities that lack controls - пытаемся измерять то, на что не можем влиять - это вообще классика, для этого придумали S.M.A.R.T.
Mistake #3 Thinking proxy metrics are bad - выбор красивых и зрелищных метрик, вместо полезных
Mistake #4 Not adjusting to the altitude - мы не объясняем бизнес-последствия от тех или иных значений показателей - N - это плохо? сильно плохо? или нормально? или, вообще, хорошо?
Mistake #5 Asking "why?" instead of "how?" - надо спрашивать себя что надо делать (how) - при такой постановке вопроса измеряемую проблему решить проще
Измерения не должны быть хаотичны, хаосом невозможно управлять, поэтому автор предлагает Treat Detection and Response Maturity Model (TDRMM), придуманной под впечатлением Threat hunting MM, ❗️и делится ею❗️. Она не гарантировано может быть взята в работу "как есть", но она точно - отличное начало для построения своей TDRMM.
Прикладываю во вложении слайды и TDRMM в виде Excel.
#mdr #vCISO #управление
YouTube
The Fault in Our Metrics: Rethinking How We Measure Detection & Response
Your metrics are boring and dangerous. Recycled slides with meaningless counts of alerts, incidents, true and false positives… SNOOZE. Even worse, it's motivating your team to distort the truth and subvert progress. This talk is your wake-up call to rethink…
🔥10👍1
Рейтинги курсов
Я уже упоминал, что выходные - время что-то поизучать, и на этот раз я решил поглубже погрузиться в вопросы разного рода менеджмента, лидерства и личной эффективности. Постараюсь найти время и написать пару предложений про каждый прослушанный курс, но для целей этой заметки остановлюсь на этих двух, от одного автора и одинаковыми оценками:
1. Leadership: Practical Skills - оценка 4.7 по 5 950 отзывам
2. Efficient Time Management - оценка 4.7 по 7 277 отзывам
Исходя из оценок курсы должны быть одинаково полезны (второй по таймменеджменту имеет больше оценок, потенциально, лучше), однако, первый, про лидерство, мне очень понравился, тогда как второй - нет. Проблема не в том, что курс про управление временем дает мало пользы, а в том, что все рассказанное там мне известно, и лично для себя я не вынес из него ничего нового. Был период когда я перестал успевать все запланированное и пытался как-то проанализировать и улучшить ситуацию, - вот тогда-то я ознакомился и с книжками Глеба Архангельского, и моего бывшего коллеги Максима Дорофеева, а также ряда иностранных авторов, типа книжек Дэвида Аллена и весьма неплохого сборника статей по личной эффективности от Harvard Business Review. Почти все из когда-то изученного я внедрял в личные практики, и многое прижилось, дало ли это ожидаемого эффекта - вопрос отдельной заметки .
Имея за плечами какой-то опыт мы по-другому оцениваем, а значит, на рейтинг курса бессмысленно полагаться без понимания опыта в предметной области оценивающих: для абсолютно нулевых он будет нести много нового, а профессионалам он покажется сборником очевидных очевидностей.
Сейчас уже трудно наверняка установить автора, но будем считать, что это сказал Сократ:
Парадокс в том, что чем больше мы погружены в предметную область, тем больше мы понимаем необходимость еще большего погружения.А, может, не наблюдая ожидаемого прогресса, мы пытаемся решить проблему еще более глубоким обучением. Но курсы, ориентированные на широкую аудиторию (чем более профессиональны слушатели, тем малочисленнее они), к сожалению, не позволят углубиться. Решение, видимо, в индивидуальной программе по результатам тестирования.
Ну а пока для себя я сформировал следующие рекомендации по выбору интересных курсов:
- выбирать курсы в предметных областях, которы ранее не считал заслуживающими внимания (скорее всего, такое отношение было обусловлено непониманием - это подходящее состояние для курса, нацеленного на широкую аудиторию)
- выбирать курсы не по оценкам, а по количеству слушателей
- внимательно смотреть программу и описание целевой аудитории и перечня обещаемых навыков
#книги #саморазвитие #управление #пятница
Я уже упоминал, что выходные - время что-то поизучать, и на этот раз я решил поглубже погрузиться в вопросы разного рода менеджмента, лидерства и личной эффективности. Постараюсь найти время и написать пару предложений про каждый прослушанный курс, но для целей этой заметки остановлюсь на этих двух, от одного автора и одинаковыми оценками:
1. Leadership: Practical Skills - оценка 4.7 по 5 950 отзывам
2. Efficient Time Management - оценка 4.7 по 7 277 отзывам
Исходя из оценок курсы должны быть одинаково полезны (второй по таймменеджменту имеет больше оценок, потенциально, лучше), однако, первый, про лидерство, мне очень понравился, тогда как второй - нет. Проблема не в том, что курс про управление временем дает мало пользы, а в том, что все рассказанное там мне известно, и лично для себя я не вынес из него ничего нового. Был период когда я перестал успевать все запланированное и пытался как-то проанализировать и улучшить ситуацию, - вот тогда-то я ознакомился и с книжками Глеба Архангельского, и моего бывшего коллеги Максима Дорофеева, а также ряда иностранных авторов, типа книжек Дэвида Аллена и весьма неплохого сборника статей по личной эффективности от Harvard Business Review. Почти все из когда-то изученного я внедрял в личные практики, и многое прижилось
Имея за плечами какой-то опыт мы по-другому оцениваем, а значит, на рейтинг курса бессмысленно полагаться без понимания опыта в предметной области оценивающих: для абсолютно нулевых он будет нести много нового, а профессионалам он покажется сборником очевидных очевидностей.
Сейчас уже трудно наверняка установить автора, но будем считать, что это сказал Сократ:
Чем больше я знаю, тем больше я понимаю, что ничего не знаю
Парадокс в том, что чем больше мы погружены в предметную область, тем больше мы понимаем необходимость еще большего погружения.
Ну а пока для себя я сформировал следующие рекомендации по выбору интересных курсов:
- выбирать курсы в предметных областях, которы ранее не считал заслуживающими внимания (скорее всего, такое отношение было обусловлено непониманием - это подходящее состояние для курса, нацеленного на широкую аудиторию)
- выбирать курсы не по оценкам, а по количеству слушателей
- внимательно смотреть программу и описание целевой аудитории и перечня обещаемых навыков
#книги #саморазвитие #управление #пятница
LinkedIn
Leadership: Practical Skills Online Class | LinkedIn Learning, formerly Lynda.com
Get practical leadership skills you can use every day. Explore the qualities of a great leader, theories of motivation, leadership styles, and delegation techniques.
👍9😁1
В небольшом иследовании я показал, что в большинстве случаев даже уже пара хантов свидетельствует об атаке, поэтому элементарное правило, что если на эндпоинте почти одновременно сработали два и более разных хантов, то на этой системе происходит подозрительная активность, которая с высокой вероятностью окажется инцидентом.
Во время анализа сработавших хантов меня не покидало ощущение, что подобное исследование можно сделать просто по номенклатуре событий. И вот, в работе A Sysmon Incremental Learning System for Ransomware Analysis and Detection (pdf) ребята провели такое исследование: по номенклатуре событий Sysmon-а обнаруживали ransomware.
На мой взгляд, постановка задачи в работе спорная, так как:
- по событиям EDR распознавать малвару с помощью машинного обучения выглядит перебором: есть масса более дешевых и эффективных способов, с более ранним обнаружением (что в случае с шифровальщиками принципиально)
- современные атаки это не всегда какие-то образцы, поэтому правильнее фокусироваться на обнаружение компьютера, а еще лучше - сети\подсети, где наблюдается совокупность каких-то событий
- читая работу сложилось впечатление, что даже если описанный подход будет работать на практике, обнаружение им шифровальщика будет слишком поздно (пока там соберется критическая масса событий, чтобы ML-классификатор мог положительно распознать), когда ущерб уже будет налицо, а надо бы пораньше
Однако, как я отметил в начале этой заметки, обнаруживание на базе номенклатуры событий выглядит перспективно, но с рядом изменений:
- нужна более широкая номенклатура событий, чем у Sysmon, что в нашем случае выполняется
- по результатам экспериментов, думаю, к статистике срабатывающих событий следует добавить и статистику значимых артефактов (значимых полей событий)
- рассматривать следует события не от образца, а с эндпоинта, а затем обобщить на подсети
- надо учитывать последовательность событий - тут как раз неявно адресуется идея с теми самыми цепочками событий, о которых все много говорят, но мало демонстрируют хорошо работающие практические реализации
Описанные три пункта я планирую исследовать последовательно, так как есть ощущение, что даже первый примитивный анализ разных событий с хоста уже будет результативен для ряда сценариев. Задача здесь будет ставиться как подсветить хосты, которые следует включить в анализ нашего VSL-аналитика в рамка процесса Periodic Retro Hunting (упоминал его здесь)
Кроме того, перспективным видится использование online incremental learning (модель обучается на постоянно поступающих новых данных), как альтернативы постоянному переобучению для снижения влияния дрейфов данных и концепции модели на ее качество.
В заключении отмечу, что здесь, как будто, сразу напрашивается обнаружение по аномалиям - были такие-то события, а стали такие-то - аномалия. Здесь я выборочно смотрел визуализации по телеметрии и получил супер-очевидный ожидаемый результат - фолса на легитимную истралляцию ПО, с которой я не придумал что сделать. Есть в планах вернуться к этому исследованию тоже, но после описанного выше.
#MDR #ml
Во время анализа сработавших хантов меня не покидало ощущение, что подобное исследование можно сделать просто по номенклатуре событий. И вот, в работе A Sysmon Incremental Learning System for Ransomware Analysis and Detection (pdf) ребята провели такое исследование: по номенклатуре событий Sysmon-а обнаруживали ransomware.
На мой взгляд, постановка задачи в работе спорная, так как:
- по событиям EDR распознавать малвару с помощью машинного обучения выглядит перебором: есть масса более дешевых и эффективных способов, с более ранним обнаружением (что в случае с шифровальщиками принципиально)
- современные атаки это не всегда какие-то образцы, поэтому правильнее фокусироваться на обнаружение компьютера, а еще лучше - сети\подсети, где наблюдается совокупность каких-то событий
- читая работу сложилось впечатление, что даже если описанный подход будет работать на практике, обнаружение им шифровальщика будет слишком поздно (пока там соберется критическая масса событий, чтобы ML-классификатор мог положительно распознать), когда ущерб уже будет налицо, а надо бы пораньше
Однако, как я отметил в начале этой заметки, обнаруживание на базе номенклатуры событий выглядит перспективно, но с рядом изменений:
- нужна более широкая номенклатура событий, чем у Sysmon, что в нашем случае выполняется
- по результатам экспериментов, думаю, к статистике срабатывающих событий следует добавить и статистику значимых артефактов (значимых полей событий)
- рассматривать следует события не от образца, а с эндпоинта, а затем обобщить на подсети
- надо учитывать последовательность событий - тут как раз неявно адресуется идея с теми самыми цепочками событий, о которых все много говорят, но мало демонстрируют хорошо работающие практические реализации
Описанные три пункта я планирую исследовать последовательно, так как есть ощущение, что даже первый примитивный анализ разных событий с хоста уже будет результативен для ряда сценариев. Задача здесь будет ставиться как подсветить хосты, которые следует включить в анализ нашего VSL-аналитика в рамка процесса Periodic Retro Hunting (упоминал его здесь)
Кроме того, перспективным видится использование online incremental learning (модель обучается на постоянно поступающих новых данных), как альтернативы постоянному переобучению для снижения влияния дрейфов данных и концепции модели на ее качество.
В заключении отмечу, что здесь, как будто, сразу напрашивается обнаружение по аномалиям - были такие-то события, а стали такие-то - аномалия. Здесь я выборочно смотрел визуализации по телеметрии и получил супер-очевидный ожидаемый результат - фолса на легитимную истралляцию ПО, с которой я не придумал что сделать. Есть в планах вернуться к этому исследованию тоже, но после описанного выше.
#MDR #ml
arXiv.org
A Sysmon Incremental Learning System for Ransomware Analysis and Detection
In the face of increasing cyber threats, particularly ransomware attacks, there is a pressing need for advanced detection and analysis systems that adapt to evolving malware behaviours. Throughout...
👍5👏2🔥1
Искусственный интеллект (AI) и машинное обучение (ML)
В одном из курсов о машобуче, пройденном на выходных, обнаружил объяснение разницы между ML и AI:
Привожу соответствующую картинку (курс вот этот).
Но сегодня поговорим про интерпретируемость, для целей ИБ - это принципиальное требование (очевидный пример необходимости - Автоаналитик, которого без интерпретируемости невозможно тюнить).
И вот я для себя выяснил, что интерпретируемые ИИ есть, для них даже имеется специальная аббревиатурка - XAI, и что такие исследования крайне популярны в последнее время, а вот и пример одного из XAI, причем, независимого от модели (есть и model-specific XAI).
Будем следить за этими XAI (explainable AI), XML (explainable machine learning) или IAI (interpretable AI).
#ml
В одном из курсов о машобуче, пройденном на выходных, обнаружил объяснение разницы между ML и AI:
любое ML - это AI, но не любой AI - это ML
Привожу соответствующую картинку (курс вот этот).
Но сегодня поговорим про интерпретируемость, для целей ИБ - это принципиальное требование (очевидный пример необходимости - Автоаналитик, которого без интерпретируемости невозможно тюнить).
И вот я для себя выяснил, что интерпретируемые ИИ есть, для них даже имеется специальная аббревиатурка - XAI, и что такие исследования крайне популярны в последнее время, а вот и пример одного из XAI, причем, независимого от модели (есть и model-specific XAI).
Будем следить за этими XAI (explainable AI), XML (explainable machine learning) или IAI (interpretable AI).
#ml
🤔8👍3
Вопрос инвестиций и их сохранения непростой, так как на фондовый рынок влияет что угодно и предсказать это невозможно, особенно в РФ, особенно сейчас, когда последние 30 лет мы все свои стремления вкладывали в интеграцию в глобализм (наверно, разделение труда в мире, как и в обычной корпорации - это более эффективно, так как производственные возможности у разных стран разные), а последние несколько лет мы столь же стремительно разворачиваемся на 180 градусов. Представьте себе автобус, на полной скорости влетающий в препятствие и упруго отскакивающий в противоположном направлении, что при этом происходит с пассажирами?
Как уже отмечал, я никогда не рассматривал фондовый рынок, как инструмент заработка (зарабатывать нужно работая!), но как инструмент накопления и сохранения. Однако и в этом случае надо иметь какую-то стратегию. Если взять классические книжки по инвестированию, то все они топят за биржевые ПИФ-ы (а то и за ПИФ-ы, не торгуемые свободно на бирже), что можно понять, поскольку это существенно понижает порог входа: через ПИФ можно купить маленькую долю всей индустрии и не разбираться в показателях компании для принятия решения насколько перспективно вложиться в ее бумаги. Но история с фондами FinEx и то, что российский рынок не настолько многогранен, чтобы в нем было невозможно разобраться непрофессионалу, на мой взгляд, делает предложение о ПИФ-ах не очень подходящим для РФ. Инвестировать в зарубежные активы тоже выглядит крайне рискованно, если не сказать "безумием", даже в активы дружественных стран. Поэтому напишу свои мысли.
0. Надо понимать горизонт инвестирования. Это - самое сложное, так как "побеждают быстрые и решительные" и нам всем надо быть Agile.
1. За всю свою жизнь не видел дефляцию рубля на горизонте больше года, поэтому если мы планируем на срок более двух лет, то надо рассчитывать на обесценивание рубля. В этом случае инструменты у нас такие:
- акции российских "голубых фишек": Лукойл (LKOH), НЛМК (NLMK), Татнфеть (TATN), Сбербанк (SBER) и т.п.
- еврооблигации, номинированные в юанях (примеры: Роснефть CYN, Полюс CYN, Русал, и т.п.) или замещенные еврооблигации РФ или тех же "голубых фишек" (примеры: замещенные облигации Газпром Капитал, замещенные государственные еврооблигации РФ)
2. При планировании более чем на год акции не успеют показать достойную доходность (в сравнении с депозитом), хорошие облигации на срок до двух лет могут не найтись, а инфляция, судя по ставке ЦБ, в 2025 будет беспрецедентная(к тому же - это старый, проверенный инструмент, используемый в РФ для повышения доходов от экспорта, а доходы стране нужны...) . Если к тому же точный срок, когда понадобятся деньги, не ясен, то здесь видится вариант с БПИФ Ликвидность. Юань (CNYM), как бы я не не любил ПИФ-ы.
3. При планировании на короткий срок, здесь, как правило, точно не ясно когда нужны деньги, поэтому ни короткие облигации, ни депозиты не подходят. Здесь можно воспользоваться БПИФ Ликвидность (LQDT). В свое время я его сравнивал с депозитом, доходность по нему сравнима с лучшими предложениями на рынке, но в отличие от депозита, средства можно снимать в любое время без потери процентов.
Касательно слухов о заморозке вкладов на депозитах, я такой сценарий не считаю правдоподобным (хотя, в истории это уже было, и, как говорится, у нас все возможно), но, в целом, никогда и не использовал депозиты, так как из-за своей жесткой фиксации сроков они не удобны. Если же хочется воспользоваться именно депозитом, то вот неплохой сервис от Мосбиржы - Финуслуги.
На 2025 много кто давал прогнозы, но с моим лично мнением более-менее совпадает небольшое исследование от Елены Разговоровой. В целом, описанный Еленой прогноз, на мой взгляд, подходит не только к 2025, а вообще к любому году, его можно взять за основную стратегию инвестирования в РФ.
Все что я тут написал - мое личное мнение, в инвестициях нет ничего "100%-ного", "абсолютно точного", каждый хозяин своим деньгам и должен думать сам.
#финансы
Как уже отмечал, я никогда не рассматривал фондовый рынок, как инструмент заработка (зарабатывать нужно работая!), но как инструмент накопления и сохранения. Однако и в этом случае надо иметь какую-то стратегию. Если взять классические книжки по инвестированию, то все они топят за биржевые ПИФ-ы (а то и за ПИФ-ы, не торгуемые свободно на бирже), что можно понять, поскольку это существенно понижает порог входа: через ПИФ можно купить маленькую долю всей индустрии и не разбираться в показателях компании для принятия решения насколько перспективно вложиться в ее бумаги. Но история с фондами FinEx и то, что российский рынок не настолько многогранен, чтобы в нем было невозможно разобраться непрофессионалу, на мой взгляд, делает предложение о ПИФ-ах не очень подходящим для РФ. Инвестировать в зарубежные активы тоже выглядит крайне рискованно, если не сказать "безумием", даже в активы дружественных стран. Поэтому напишу свои мысли.
0. Надо понимать горизонт инвестирования. Это - самое сложное, так как "побеждают быстрые и решительные" и нам всем надо быть Agile.
1. За всю свою жизнь не видел дефляцию рубля на горизонте больше года, поэтому если мы планируем на срок более двух лет, то надо рассчитывать на обесценивание рубля. В этом случае инструменты у нас такие:
- акции российских "голубых фишек": Лукойл (LKOH), НЛМК (NLMK), Татнфеть (TATN), Сбербанк (SBER) и т.п.
- еврооблигации, номинированные в юанях (примеры: Роснефть CYN, Полюс CYN, Русал, и т.п.) или замещенные еврооблигации РФ или тех же "голубых фишек" (примеры: замещенные облигации Газпром Капитал, замещенные государственные еврооблигации РФ)
2. При планировании более чем на год акции не успеют показать достойную доходность (в сравнении с депозитом), хорошие облигации на срок до двух лет могут не найтись, а инфляция, судя по ставке ЦБ, в 2025 будет беспрецедентная
3. При планировании на короткий срок, здесь, как правило, точно не ясно когда нужны деньги, поэтому ни короткие облигации, ни депозиты не подходят. Здесь можно воспользоваться БПИФ Ликвидность (LQDT). В свое время я его сравнивал с депозитом, доходность по нему сравнима с лучшими предложениями на рынке, но в отличие от депозита, средства можно снимать в любое время без потери процентов.
Касательно слухов о заморозке вкладов на депозитах, я такой сценарий не считаю правдоподобным (хотя, в истории это уже было, и, как говорится, у нас все возможно), но, в целом, никогда и не использовал депозиты, так как из-за своей жесткой фиксации сроков они не удобны. Если же хочется воспользоваться именно депозитом, то вот неплохой сервис от Мосбиржы - Финуслуги.
На 2025 много кто давал прогнозы, но с моим лично мнением более-менее совпадает небольшое исследование от Елены Разговоровой. В целом, описанный Еленой прогноз, на мой взгляд, подходит не только к 2025, а вообще к любому году, его можно взять за основную стратегию инвестирования в РФ.
Все что я тут написал - мое личное мнение, в инвестициях нет ничего "100%-ного", "абсолютно точного", каждый хозяин своим деньгам и должен думать сам.
#финансы
Telegram
Семейный Банкир|Елена Разговорова
Пока все отдыхали, я изучала стратегии 2025 крупнейших инвестиционных компаний и банков.
В одном таком отчете ~ 30-50 страниц. Свела для себя воедино общим файлом рекомендации аналитиков и их видение на 2025 год.
Перевела сложный аналитический сленг на…
В одном таком отчете ~ 30-50 страниц. Свела для себя воедино общим файлом рекомендации аналитиков и их видение на 2025 год.
Перевела сложный аналитический сленг на…
👍10💩1
Простые числа - основа криптографии. Именно потому что их бесконечно много и потому что их распределение, вроде бы, случайно, мы можем полагаться на схему RSA.
В RSA выбираются два простых числа p и q, но, поскольку эти числа очень большие, на практике выбираются случайные числа, прошедшие проверку на простоту. Тестов на простоту великое множество, когда-то давно в одной из курсовых работ я брал алгоритм, списанный вот из этой замечательной книжки - Ноден, Китте, Алгебраическая алгоритмика, за которой специально ездил в издательство "Мир" где-то в район ст. Москва-3 Ярославского направления. Важно запомнить, что на практике в схеме RSA используются "примерно" (прошедшие тесты) простые числа, что, безусловно, снижает криптостойкость.
Однако, изучение простых чисел не останавливается и до сих пор. И вот достаточно свежая публикация о разных способах вычисления (== понимания распределния, т.е. нарушение условия случайности) простых чисел. Да, ряд упомянутых методов помимо простых чисел выдают "примерно" простые (в статье их называют "грубые простые", rough primes), но это не супер-проблема, поскольку, во-первых, их процент не велик, а, во-вторых, на практике используются как раз те самые "примерно" простые, поэтому для целей практического криптоанализа подойдут.
Надо следить за темой. Кстати, Let's enrypt начали выдавать TLS-сертификаты на несколько дней. Понятно, что компрометация ключа, обычно, происходит не ввиду криптоанализа, но, тем не менее, тренд в сторону короткоживущих ключей - эффективное мероприятие.
#книги #crypto
В RSA выбираются два простых числа p и q, но, поскольку эти числа очень большие, на практике выбираются случайные числа, прошедшие проверку на простоту. Тестов на простоту великое множество, когда-то давно в одной из курсовых работ я брал алгоритм, списанный вот из этой замечательной книжки - Ноден, Китте, Алгебраическая алгоритмика, за которой специально ездил в издательство "Мир" где-то в район ст. Москва-3 Ярославского направления. Важно запомнить, что на практике в схеме RSA используются "примерно" (прошедшие тесты) простые числа, что, безусловно, снижает криптостойкость.
Однако, изучение простых чисел не останавливается и до сих пор. И вот достаточно свежая публикация о разных способах вычисления (== понимания распределния, т.е. нарушение условия случайности) простых чисел. Да, ряд упомянутых методов помимо простых чисел выдают "примерно" простые (в статье их называют "грубые простые", rough primes), но это не супер-проблема, поскольку, во-первых, их процент не велик, а, во-вторых, на практике используются как раз те самые "примерно" простые, поэтому для целей практического криптоанализа подойдут.
Надо следить за темой. Кстати, Let's enrypt начали выдавать TLS-сертификаты на несколько дней. Понятно, что компрометация ключа, обычно, происходит не ввиду криптоанализа, но, тем не менее, тренд в сторону короткоживущих ключей - эффективное мероприятие.
#книги #crypto
Quanta Magazine
Mathematicians Uncover a New Way to Count Prime Numbers
To make progress on one of number theory’s most elementary questions, two mathematicians turned to an unlikely source.
👍3😱1
Atomic Red Team - широко известный фреймворк для тестирования наших с вами XDR, вокруг которого давно сложилось сообщество, и вклад которого в наше общее дело не менее значим.
В частности, попался вот такой репозиторий, который можно использовать для эмуляции известных APT - получится что-то вроде теста MITRE.
Но еще больше мне понравился вот этот - AttackRuleMap, так как здесь предложен маппинг правил Sigma и Splunk - неплохое начало для создания собственного контента обнаружения.
#mdr
В частности, попался вот такой репозиторий, который можно использовать для эмуляции известных APT - получится что-то вроде теста MITRE.
Но еще больше мне понравился вот этот - AttackRuleMap, так как здесь предложен маппинг правил Sigma и Splunk - неплохое начало для создания собственного контента обнаружения.
#mdr
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
👍4🔥3
Поход на 2025 уже запланирован, буду надеяться, что удастся вырваться, а пока продолжу делиться интересными местами на р. Умба. В предыдущей заметке я рассказывал о п. Падун, а сегодня наш герой - Жемчужный плес.
В Интернете говорят, что этот участок р. Умба получил свое название потому что когда-то здесь добывали раковины речной жемчужницы Margaritifera margaritifera, но потом производство стало нерентабельным, поэтому, вполне возможно, что в настоящее время популяция восстановилась и есть возможность найти. Мы не искали, а случайно, не помню, чтобы кто-то нашел.
Место очень приятное, не менее красивое, чем Плес на р. Волга, которым вдохновлялся Левитан, о котором я упоминал в статье о Передвижниках (в статье есть панорама с "Горы Левитана"). Река здесь широкая, прямая, глубокая, течение спокойное, высокие песчаные берега покрыты лесом из сказочно красивых сосен. Комаров и мошки здесь было немного относительно других мест. Мы стояли одну ночь на левом берегу. Если мне не изменяет память, то старший во время утренней прогулки заметил кабана.
#здоровье
В Интернете говорят, что этот участок р. Умба получил свое название потому что когда-то здесь добывали раковины речной жемчужницы Margaritifera margaritifera, но потом производство стало нерентабельным, поэтому, вполне возможно, что в настоящее время популяция восстановилась и есть возможность найти. Мы не искали, а случайно, не помню, чтобы кто-то нашел.
Место очень приятное, не менее красивое, чем Плес на р. Волга, которым вдохновлялся Левитан, о котором я упоминал в статье о Передвижниках (в статье есть панорама с "Горы Левитана"). Река здесь широкая, прямая, глубокая, течение спокойное, высокие песчаные берега покрыты лесом из сказочно красивых сосен. Комаров и мошки здесь было немного относительно других мест. Мы стояли одну ночь на левом берегу. Если мне не изменяет память, то старший во время утренней прогулки заметил кабана.
#здоровье
🔥14😍2👏1🐳1
Мы все, конечно же должны стремиться к тому, чтобы никогда не ошибаться. Но возможно ли сделать так, чтобы ошибок не было? Возможно ли, чтобы стрелок никогда не промахивался, чтобы с конвейра никогда не выходил брак, а SOC никогда не пропускал инциденты?
Наверно, это возможно, если мы зафиксируем объем и качество, но ничто не стоит на месте, и мы вынуждены придумывать новые схемы обнаружения атак, а все новое делает нас более уязвимыми к ошибкам (более хрупкими, в терминах Талеба). На мой взгляд - это разумный компромисс между работать без ошибок, но какие-то сценарии не обнаруживать вовсе, и иметь более широкие возможности по обнаружению, но с большей вероятностью ошибаться. Да это вообще, по-моему, очевидная логика, чем большего ты хочешь, тем сложнее твои методы, тем больше риск, но больше и потенциальные приобретения. Ошибка - очевидное следствие риска, а ничто не достигается без риска.
В новой заметке, может, немного и с преувеличениями, но не более, чем это необходимо для целей лучшего понимания моих аргументов, порассуждал о невозможности достижения SOC-ом целевого показателя "0 пропущенных инцидентов" и о том, что это - очевидное следствие того, что инциденты неизбежны.
#mdr #vCISO #пятница
Наверно, это возможно, если мы зафиксируем объем и качество, но ничто не стоит на месте, и мы вынуждены придумывать новые схемы обнаружения атак, а все новое делает нас более уязвимыми к ошибкам (более хрупкими, в терминах Талеба). На мой взгляд - это разумный компромисс между работать без ошибок, но какие-то сценарии не обнаруживать вовсе, и иметь более широкие возможности по обнаружению, но с большей вероятностью ошибаться. Да это вообще, по-моему, очевидная логика, чем большего ты хочешь, тем сложнее твои методы, тем больше риск, но больше и потенциальные приобретения. Ошибка - очевидное следствие риска, а ничто не достигается без риска.
В новой заметке, может, немного и с преувеличениями, но не более, чем это необходимо для целей лучшего понимания моих аргументов, порассуждал о невозможности достижения SOC-ом целевого показателя "0 пропущенных инцидентов" и о том, что это - очевидное следствие того, что инциденты неизбежны.
#mdr #vCISO #пятница
Дзен | Статьи
Целевые показатели
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Невозможно управлять тем, что невозможно измерить Питер Дрюкер Заставь дурака Богу молиться, он и лоб расшибет Русская пословица Я...
🔥5😁1
Как я отмечал книжку Драйзера Финансист следует прочитать каждому игроку на бирже инвестору. Но как бы не неоднозначно я относился к американской литературе, есть еще много хороших книжек американских авторов. И сегодня мы поговорим о книжке, которая мне тоже очень понравилась - "Щегол" Донны Тартт, и ее полезно изучить каждому любителю искусства, особенно, поклонникам голландского барокко.
"Щегол" - третий роман писательницы, опубликован в 2013 году, а уже в 2014 году получил Пулицеровскую премию. Главный герой романа - Теодор Деккер (Тео), который в 13 лет потерял мать в результате террористического акта, который на протяжении произведения переживает довольно непростую жизнь, но относительно успешно балансировать на грани пропасти герою помогает в том числе и любовь к искусству. "Щегол" - картина не самого известного голландского художника Карела Фабрициуса, написанная в 1654 году, - полноправный герой произведения. Эта картина одна из немногих уцелевших после взрыва в результате которого погиб и сам художник. Принято считать, что если бы не ранняя смерть Фабрициуса и утрата его произведений, он мог бы стать в один ряд с такими фигурами голландского золотого века, как Рембрандт и Вермеер. А на страницах романа, "Щегол" снова переживает взрыв.
Роман Тартт, неверно, можно считать детективом, но отошедшим от классических канонов этого жанра, так как мы сразу знаем кто преступник. Этот момент перекликается с "Преступлением и наказанием" Федора Михайловича, чье влияние, наверно, я уже научился чуствовать (например, у Фицджеральда). Но упоминание Достоевского явно еще не раз встретится в романе, так как второй по значимости персонаж книги, Борис Павликовский, олицетворяет собой собирательный образ всех американских стереотипов о русских: пренебрежение к закону, непомерное употребления алкоголя, благородство и верность дружбе, любовь к Достоевскому и Толстому. Именно Борис, как будто, окажет самое негативное влияние на личность Тео, но, в то же время, именно он поможет все исправить (напишу максимально аккуратно, чтобы не палить сюжет)
В 2019 году роман был экранизирован режиссером Джоном Кроули, сценарий написал Питер Строган. Фильм получил смешанные и негативные отзывы, в которых критиковались сюжет и повествование, но хвалили операторскую работу и актёрскую игру. Сообщается, что Донна Тартт была настолько недовольна экранизацией, что дала понять, что больше не будет продавать права на экранизацию своих произведений (очень жаль, поскольку я люблю сравнивать книги и экранизации). На IMDb оценка 6.4 - означает, что, не зная предыстории, я бы не выбрал этот фильм для просмотра (обычно, я не смотрю фильмы с оценкой ниже 7.0 ). Но, у меня сложные отношения с кино, и, видимо, я слабо в этом разбираюсь, может, поэтому кино мне понравилось. Я даже повелся на то, как молодой Борис (Финн Вулфхард) имитировал русский акцент, но ребята спалились во время сцены перебранки с пьяным отцом, ибо разговаривали по-русски с чудовищным акцентом, особенно весело они коверкали русский мат 😂
Кино мне понравилось тем, что оно попало в мои личные ощущения от книги (возможно, это та самая инерция сознания, и я уже подходил к фильму с готовым эмоциональным настроем) и то, как я представлял себе внешний вид героев. Единственный персонаж, обманувший мои ожидания по внешнему виду в кино - это Хобби, но сыграл он как надо. Также к минусам фильма я бы отнес то, что не удалось огромную книгу (Тартт ее писал аж 10 лет) уместить в двухчасовое кино без потери множества деталей из-за чего, вероятно, из фильма не все понятно, если не читал книгу. Однако, подобный монтаж с потерей части сюжета мы прощаем "Властилину колец", думаю, и здесь допустимо не судить строго.
#книги #кино
"Щегол" - третий роман писательницы, опубликован в 2013 году, а уже в 2014 году получил Пулицеровскую премию. Главный герой романа - Теодор Деккер (Тео), который в 13 лет потерял мать в результате террористического акта, который на протяжении произведения переживает довольно непростую жизнь, но относительно успешно балансировать на грани пропасти герою помогает в том числе и любовь к искусству. "Щегол" - картина не самого известного голландского художника Карела Фабрициуса, написанная в 1654 году, - полноправный герой произведения. Эта картина одна из немногих уцелевших после взрыва в результате которого погиб и сам художник. Принято считать, что если бы не ранняя смерть Фабрициуса и утрата его произведений, он мог бы стать в один ряд с такими фигурами голландского золотого века, как Рембрандт и Вермеер. А на страницах романа, "Щегол" снова переживает взрыв.
Роман Тартт, неверно, можно считать детективом, но отошедшим от классических канонов этого жанра, так как мы сразу знаем кто преступник. Этот момент перекликается с "Преступлением и наказанием" Федора Михайловича, чье влияние, наверно, я уже научился чуствовать (например, у Фицджеральда). Но упоминание Достоевского явно еще не раз встретится в романе, так как второй по значимости персонаж книги, Борис Павликовский, олицетворяет собой собирательный образ всех американских стереотипов о русских: пренебрежение к закону, непомерное употребления алкоголя, благородство и верность дружбе, любовь к Достоевскому и Толстому. Именно Борис, как будто, окажет самое негативное влияние на личность Тео, но, в то же время, именно он поможет все исправить (напишу максимально аккуратно, чтобы не палить сюжет)
В 2019 году роман был экранизирован режиссером Джоном Кроули, сценарий написал Питер Строган. Фильм получил смешанные и негативные отзывы, в которых критиковались сюжет и повествование, но хвалили операторскую работу и актёрскую игру. Сообщается, что Донна Тартт была настолько недовольна экранизацией, что дала понять, что больше не будет продавать права на экранизацию своих произведений (очень жаль, поскольку я люблю сравнивать книги и экранизации). На IMDb оценка 6.4 - означает, что, не зная предыстории, я бы не выбрал этот фильм для просмотра (обычно, я не смотрю фильмы с оценкой ниже 7.0 ). Но, у меня сложные отношения с кино, и, видимо, я слабо в этом разбираюсь, может, поэтому кино мне понравилось. Я даже повелся на то, как молодой Борис (Финн Вулфхард) имитировал русский акцент, но ребята спалились во время сцены перебранки с пьяным отцом, ибо разговаривали по-русски с чудовищным акцентом, особенно весело они коверкали русский мат 😂
Кино мне понравилось тем, что оно попало в мои личные ощущения от книги (возможно, это та самая инерция сознания, и я уже подходил к фильму с готовым эмоциональным настроем) и то, как я представлял себе внешний вид героев. Единственный персонаж, обманувший мои ожидания по внешнему виду в кино - это Хобби, но сыграл он как надо. Также к минусам фильма я бы отнес то, что не удалось огромную книгу (Тартт ее писал аж 10 лет) уместить в двухчасовое кино без потери множества деталей из-за чего, вероятно, из фильма не все понятно, если не читал книгу. Однако, подобный монтаж с потерей части сюжета мы прощаем "Властилину колец", думаю, и здесь допустимо не судить строго.
#книги #кино
❤7🔥3
Бурное развитие облаков в какой-то степени сдерживали риски приватности: как же, мол, мы будем в облачного провайдера передавать все наши секреты и т.д. и т.п. Теоретическое математическое решение предложено небезызвестными Ривестом и Адельманом аж в 1978 году в виде гомоморфного шифрования. В теории все почти неплохо - манипуляции с данными производятся с зашифрованными данными и, вроде как, секреты не разглашаются. Однако, на практике реализации гомоморфного шифрования вычислительно сложны, что делает их нерентабельными. Немного я касался этого в 2012 году.
Чуть позже пришло осознание, что любая безопасность - это вопрос доверия и что без доверия невозможна безопасность. И на самом деле доверие в безопасности повсюду: мы вынуждены доверять производителям железа, ОС, системного и прикладного ПО, да и самим производителям решений по безопасности, что подрядчиков, которым мы уже вынуждены доверять - великое множество, и что, добавив к этому списку доверенных облачных провайдеров какого-то катастрофического снижения ИБ не прогнозируется. В итоге, разговоры о небезопасности облаков как-то поутихли, а мы и без гомоморфного шифрования вполне себе активно используем облачные мощности.
Но на сцену выходят тяжелые схемы машинного обучения, облачные модели генеративного ИИ, которые, очевидно, несут в себе огромные функциональные возможности, которых очень хочется, но на пути снова встает та же проблема - приватность передаваемых данных: как же, мол, мы будем воблачного провайдера облачный ИИ передавать все наши секреты и т.д. и т.п. И сейчас в общем объеме исследований, лично я снова наблюдаю всплеск интереса к гомоморфному шифрованию! Статей великое множество, приведу эту в качестве примера. Здесь мы наши секреты уже прячем не только от облачного провайдера, но и от поставщика облачного машобуча.
Проблемы с производительностью здесь все те же, поэтому не удивлюсь, что спустя пару лет мы смиримся с тем, что в наш список доверенных 3rd party станет нормальным наряду с облачными провайдерами добавлять и облачные LLM, а вопросы рисков безопасности мы будем пытаться адресовать контрактными обязательствами с поставщиками.
#пятница #ml #vCISO
Чуть позже пришло осознание, что любая безопасность - это вопрос доверия и что без доверия невозможна безопасность. И на самом деле доверие в безопасности повсюду: мы вынуждены доверять производителям железа, ОС, системного и прикладного ПО, да и самим производителям решений по безопасности, что подрядчиков, которым мы уже вынуждены доверять - великое множество, и что, добавив к этому списку доверенных облачных провайдеров какого-то катастрофического снижения ИБ не прогнозируется. В итоге, разговоры о небезопасности облаков как-то поутихли, а мы и без гомоморфного шифрования вполне себе активно используем облачные мощности.
Но на сцену выходят тяжелые схемы машинного обучения, облачные модели генеративного ИИ, которые, очевидно, несут в себе огромные функциональные возможности, которых очень хочется, но на пути снова встает та же проблема - приватность передаваемых данных: как же, мол, мы будем в
Проблемы с производительностью здесь все те же, поэтому не удивлюсь, что спустя пару лет мы смиримся с тем, что в наш список доверенных 3rd party станет нормальным наряду с облачными провайдерами добавлять и облачные LLM, а вопросы рисков безопасности мы будем пытаться адресовать контрактными обязательствами с поставщиками.
#пятница #ml #vCISO
arXiv.org
A Selective Homomorphic Encryption Approach for Faster...
Federated learning (FL) has come forward as a critical approach for privacy-preserving machine learning in healthcare, allowing collaborative model training across decentralized medical datasets...
👍6😁1
Одним из прогнозов на ближайшее время было усиление контроля отрасли ИБ со стороны государства. По-моему это очевидно, однако, судя по ряду комментариев в Чате обсуждений, не всем, что и смотивировало меня пообещать написать эту заметку.
Одна из важнейших функций государства - обеспечение счастливого существования его граждан (ровно это я говорил здесь). Для счастливого существования граждан от государства требуется обеспечение определенных условий. Сильно упрощенно, но понятно, - это чтобы основные институты работали в штатном режиме - энергетика, чтобы были свет и тепло, финансы, чтобы работала экономика, ИТ, телекоммуникации и связь, чтобы обеспечивался информационный обмен.... Безопасность - это свойство работы институтов, так как небезопасность этих индустрий означает наличие уязвимостей, которые могут быть проэксплуатированы злоумышленником, а, следовательно, злоумышленники могут нарушить работу критичных для благосостояния граждан институтов, что приводит к тому, государство уже не выполняет свои обязательства перед своими гражданами.
Наличие ответственности государства перед гражданами дает основания налагать требования на критичные отрасли, работа которых влияет на благосостояние граждан. Очевидно, что для достижения хороших результатов необходимо ограничивать объем и фокусироваться в первую очередь на наиболее важным - этим и объясняется выделение КИИ. Но несложно догадаться, что, с одной стороны, ненужных институтов, в общем-то нет, а, ввиду глубокой конвергенции отраслей экономики, проблемы в одной области незамедлительно скажутся на другой, поэтому негативные последствия на неКИИ, очевидно, найдут свое отражение в КИИ, - это простое объяснение того, что понятие КИИ будет постепенно расширяться. С другой стороны, безопасности никогда не бывает достаточно, а с учетом того, что атаки эволюционируют по мере повышения нашей эффективности борьбы с ними, требования со стороны регулятора будут только ужесточаться. Будем верить, что эти требования государства будут объективно отвечать современным угрозам, а исполнители на предприятиях подойдут максимально серьезно к их реализации.
#РФ #vCISO
Одна из важнейших функций государства - обеспечение счастливого существования его граждан (ровно это я говорил здесь). Для счастливого существования граждан от государства требуется обеспечение определенных условий. Сильно упрощенно, но понятно, - это чтобы основные институты работали в штатном режиме - энергетика, чтобы были свет и тепло, финансы, чтобы работала экономика, ИТ, телекоммуникации и связь, чтобы обеспечивался информационный обмен.... Безопасность - это свойство работы институтов, так как небезопасность этих индустрий означает наличие уязвимостей, которые могут быть проэксплуатированы злоумышленником, а, следовательно, злоумышленники могут нарушить работу критичных для благосостояния граждан институтов, что приводит к тому, государство уже не выполняет свои обязательства перед своими гражданами.
Наличие ответственности государства перед гражданами дает основания налагать требования на критичные отрасли, работа которых влияет на благосостояние граждан. Очевидно, что для достижения хороших результатов необходимо ограничивать объем и фокусироваться в первую очередь на наиболее важным - этим и объясняется выделение КИИ. Но несложно догадаться, что, с одной стороны, ненужных институтов, в общем-то нет, а, ввиду глубокой конвергенции отраслей экономики, проблемы в одной области незамедлительно скажутся на другой, поэтому негативные последствия на неКИИ, очевидно, найдут свое отражение в КИИ, - это простое объяснение того, что понятие КИИ будет постепенно расширяться. С другой стороны, безопасности никогда не бывает достаточно, а с учетом того, что атаки эволюционируют по мере повышения нашей эффективности борьбы с ними, требования со стороны регулятора будут только ужесточаться. Будем верить, что эти требования государства будут объективно отвечать современным угрозам, а исполнители на предприятиях подойдут максимально серьезно к их реализации.
#РФ #vCISO
YouTube
Интервью - Сергей Солдатов. SOC-Форум 2021
Сергей Солдатов, руководитель SOC, Лаборатория Касперского
#SOC-Форум 2021
#SOC-Форум 2021
👍10🔥5