20.02 выйдет наш ежегодный отчет по результатам работы MDR в 2024 (пока на английском языке, по-русски будет попозже).
По сложившейся традиции хочется в достаточно скучную тему вдохнуть немного искусства... в общем, по части оформления мы тоже пытались креативить и очень старались. Но, не все о чем хотелось бы сказать на страницах отчета, удалось в него вместить, поэтому буду потихоньку выпускать небольшие заметки о моментах, которые мне кажутся важными.
И в сегодняшей статье я расскажу о временных параметрах, учитываемых в метриках SLA, и фактических временах по ходу работы над инцидентом. Одной из целей статьи было желание объяснить некорректность попыток сравнения представленных в отчете времен обработки инцидента и метрик SLA. В целом, мне казалось, что это очевидно, ибо наши коллеги по индустрии, да и родственное подразделение DFIR, постоянно публикуют средние dwell time, измеряемые неделями и месяцами, едва ли умещающиеся в минутные и часовые TTD(и вы напрасно думаете, что у всех, кого ломают, нет SOC с SLA) , однако, вопросы о том, почему время реакции в час такое большое, и что кто-то у себя в SLA с гордостью указал 15 мин и, вроде как, его выполняет, продолжают возникать, что и послужило причиной для сегодняшней заметки.
#MDR
По сложившейся традиции хочется в достаточно скучную тему вдохнуть немного искусства... в общем, по части оформления мы тоже пытались креативить и очень старались. Но, не все о чем хотелось бы сказать на страницах отчета, удалось в него вместить, поэтому буду потихоньку выпускать небольшие заметки о моментах, которые мне кажутся важными.
И в сегодняшей статье я расскажу о временных параметрах, учитываемых в метриках SLA, и фактических временах по ходу работы над инцидентом. Одной из целей статьи было желание объяснить некорректность попыток сравнения представленных в отчете времен обработки инцидента и метрик SLA. В целом, мне казалось, что это очевидно, ибо наши коллеги по индустрии, да и родственное подразделение DFIR, постоянно публикуют средние dwell time, измеряемые неделями и месяцами, едва ли умещающиеся в минутные и часовые TTD
#MDR
Дзен | Статьи
Время обработки инцидента
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В ежегодном отчете MDR (пример, 2023, стр. 9) мы публикуем время обработки инцидента.
👍7🔥4
В воскресенье выбрался в музей русского импрессионизма!
Возможно, для профессионалов, словосочетание "русский импрессионизм" покажется странным, ибо классический импрессионизм, ну конечно же, французский, но для меня, далекого от хрестоматийного искусства любителя, и любителя все обобщать, очевидны параллели, как по части сюжетов и техники исполнения, так и по части настроения, создаваемого работами (ну конечно же, это ж импрессионизм!). В небольшой статье о Передвижниках я уже отмечал очевидные элементы импрессионизма в работах Коровина и Серова, так вот, на выставке "Изображая воздух" они, и многие другие, широко известные, как Илья Репин или Василий Поленов, и не очень, как Антонина Ржевская или Николай Харитонов, раскрылись в полной мере!
Я очень надеюсь, что у меня найдется время написать небольшую статью именно о русских импрессионистах, а пока, делюсь фото картин, которые заставили меня задуматься (~ понравились).
И кое-что еще, - импрессионистов нельзя смотреть на репродукциях в альбомах, нужно именно смотреть оригинал, - только так заметны техники и приемы письма, а, вспоминая, что цель - не сюжет, а передача настроения, эти технические особенности создания картины очень важны для полноты восприятия.
#искусство
Возможно, для профессионалов, словосочетание "русский импрессионизм" покажется странным, ибо классический импрессионизм, ну конечно же, французский, но для меня, далекого от хрестоматийного искусства любителя, и любителя все обобщать, очевидны параллели, как по части сюжетов и техники исполнения, так и по части настроения, создаваемого работами (ну конечно же, это ж импрессионизм!). В небольшой статье о Передвижниках я уже отмечал очевидные элементы импрессионизма в работах Коровина и Серова, так вот, на выставке "Изображая воздух" они, и многие другие, широко известные, как Илья Репин или Василий Поленов, и не очень, как Антонина Ржевская или Николай Харитонов, раскрылись в полной мере!
Я очень надеюсь, что у меня найдется время написать небольшую статью именно о русских импрессионистах, а пока, делюсь фото картин, которые заставили меня задуматься (~ понравились).
И кое-что еще, - импрессионистов нельзя смотреть на репродукциях в альбомах, нужно именно смотреть оригинал, - только так заметны техники и приемы письма, а, вспоминая, что цель - не сюжет, а передача настроения, эти технические особенности создания картины очень важны для полноты восприятия.
#искусство
www.rusimp.su
Главная - Музей русского импрессионизма
🔥9
На своем маршруте от Пушкина до Лермонтова (из SVO в MRV) листал интересный документ. Спасибо другу и коллеге Игорю, что поделился.
В документе, стандартно, перечислены наиболее популярные техники, к ним притянутыза уши контроли из 53-его NIST и рекомендации по обнаружению из той же MITRE.
Но наиболее интересное, на мой взгляд, начинается на странице 35, разделе Technique Sightings Co-Occurrence Analysis. В документе не содержится много информации, и
Стремления MITRE полностью пересекаются с моими последними увлечениями. В прошлом году я уже писал про анализ комбинаций, в этом году я поисследую последовательности событий, что, в общем-то, ровно то же, что делает MITRE со своими flow.
#MDR
В документе, стандартно, перечислены наиболее популярные техники, к ним притянуты
Но наиболее интересное, на мой взгляд, начинается на странице 35, разделе Technique Sightings Co-Occurrence Analysis. В документе не содержится много информации, и
Co-occurrence analysis is an emerging area of ATT&CK analysis that begins to address the defenders’ need for sequence information. The Center is currently working on a related project called Attack Flow to develop a shareable data format, visualization tools, and examples to represent sequences (flows) of attacks. Stay tuned for more to come on that project
Стремления MITRE полностью пересекаются с моими последними увлечениями. В прошлом году я уже писал про анализ комбинаций, в этом году я поисследую последовательности событий, что, в общем-то, ровно то же, что делает MITRE со своими flow.
#MDR
🔥5👍2
На прошлой неделе вышел отчет по статистикам работы MDR в 2024. Как отмечал, не все наблюдения получается вместить в отчет, поэтому позволю себе ряд заметок по отсутствующим в отчете интересным статистикам. Сегодня поговорим про типы High severity инцидентов.
Итак, мы различаем следующие типы инцидентов критичности High:
- inc_apt - целевые атаки или в общем случае любая активность, где заметно непсредственное участие человека (human driven)
- inc_apt_trace - артефакты прошлых человекоуправляемых атак, но на момент обнаружения атака не была в активной фаза
- inc_rt - тоже человекоуправляемая атака, однако, заказчик подтвердил, что активность легитимная, что это - какие-либо киберучения
- inc_sec_policy_h - обнаружена подозрительная активность, выполненная от учетных записей, для которых не оснований считать, что они были скомпрометированы
- inc_insider_impact - такая же активность, выполненная от легитимных нескомпрометированных УЗ, но заказчик явно подтвердил, что имеет место работа внутреннего злоумышленника
- inc_mw_impact - инцидент, связанный с работой ВПО без непосредственного участия человека-атакующего, но потенциальный или фактический ущерб большой
- inc_se_impact - успешная социальная инженерия с развитием, с потенциальным или фактическим большим ущербом, возможно, атрибутированная к известным целевым кампаниям
- inc_vuln_impact - обнаружение критической уязвимости, эксплуатация которой очень вероятна
- inc_dos_impact - обнаружение [D]DOS атаки с потенциальным или фактическим большим ущербом
Ежегодно мы даем статистику распределения high severity инцидентов по этим типам, обычные лидеры - inc_apt, inc_mw_impact, inc_apt_trace, inc_rt. С прошлого года была введена inc_sec_policy_h, как возможность уточнения inc_insider, который также нередко занимал значимую долю.
Но всегда интересно оглянуться назад и сравнить статистики прошлых лет, что и предлагаю в этой заметке.
21-ый год был выдающимся по количеству high severity инцидентов (14,34%) но в том же 2021 наблюдалась и наибольшая доля человекоуправляемых атак - 40,66% от общего количества критичных инцидентов (инцидентов с severity High). 2024 был не менее интересным: не смотря на малую долю high инцидентов (4,69%), процент inc_apt был наибольший за историю наблюдения с 2020 - 43,01%.
#MDR
Итак, мы различаем следующие типы инцидентов критичности High:
- inc_apt - целевые атаки или в общем случае любая активность, где заметно непсредственное участие человека (human driven)
- inc_apt_trace - артефакты прошлых человекоуправляемых атак, но на момент обнаружения атака не была в активной фаза
- inc_rt - тоже человекоуправляемая атака, однако, заказчик подтвердил, что активность легитимная, что это - какие-либо киберучения
- inc_sec_policy_h - обнаружена подозрительная активность, выполненная от учетных записей, для которых не оснований считать, что они были скомпрометированы
- inc_insider_impact - такая же активность, выполненная от легитимных нескомпрометированных УЗ, но заказчик явно подтвердил, что имеет место работа внутреннего злоумышленника
- inc_mw_impact - инцидент, связанный с работой ВПО без непосредственного участия человека-атакующего, но потенциальный или фактический ущерб большой
- inc_se_impact - успешная социальная инженерия с развитием, с потенциальным или фактическим большим ущербом, возможно, атрибутированная к известным целевым кампаниям
- inc_vuln_impact - обнаружение критической уязвимости, эксплуатация которой очень вероятна
- inc_dos_impact - обнаружение [D]DOS атаки с потенциальным или фактическим большим ущербом
Ежегодно мы даем статистику распределения high severity инцидентов по этим типам, обычные лидеры - inc_apt, inc_mw_impact, inc_apt_trace, inc_rt. С прошлого года была введена inc_sec_policy_h, как возможность уточнения inc_insider, который также нередко занимал значимую долю.
Но всегда интересно оглянуться назад и сравнить статистики прошлых лет, что и предлагаю в этой заметке.
21-ый год был выдающимся по количеству high severity инцидентов (14,34%) но в том же 2021 наблюдалась и наибольшая доля человекоуправляемых атак - 40,66% от общего количества критичных инцидентов (инцидентов с severity High). 2024 был не менее интересным: не смотря на малую долю high инцидентов (4,69%), процент inc_apt был наибольший за историю наблюдения с 2020 - 43,01%.
#MDR
❤2👍1
В блоге Бизона увидел ссылку на прекрасную статью Виталия Моргунова о EDR. Мне статья очень понравилась, да и Виталий - замечательный эксперт, чьи публикации нечасты, но их крайне полезно просматривать, а экспертиза Бизона не вызывает сомнений - это замечательная компания, одна из немногих на нашем рынке, которой на месте заказчика я бы доверился (после ЛК, конечно же 😁 ).
Но как раз потому, что мне далеко небезразлично что пишет Бизон вообще и Виталий в частности, позволю себе не согласиться с идеей выделения EDR из состава EPP, так как это, на мой взгляд, формирует некорректное понимание рынка решений по безопасности как потребителями, так и производителями. Поток сознания на эту тему я изложил в небольшой статье.
Я не претендую на истину и никого ни в чем не убеждаю, просто делюсь собственным мнением - это относится ко всем моим публикациям.
#MDR
Но как раз потому, что мне далеко небезразлично что пишет Бизон вообще и Виталий в частности, позволю себе не согласиться с идеей выделения EDR из состава EPP, так как это, на мой взгляд, формирует некорректное понимание рынка решений по безопасности как потребителями, так и производителями. Поток сознания на эту тему я изложил в небольшой статье.
Я не претендую на истину и никого ни в чем не убеждаю, просто делюсь собственным мнением - это относится ко всем моим публикациям.
#MDR
Дзен | Статьи
Снова про EDR
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: На днях на внутреннем Конвенте, где инициативные коллеги из нашего подразделения делятся результатами своих исследований, выступали...
👍8🔥3
Мой коллега и друг, Доменико, прекрасный аналитик SOC, исключительный профессионал, для кого работа в операционке - не только рутина, но и возможность поисследовать интересные атаки, коих немало, действительно, каждый видит мир ровно так, как желает его видеть , сегодня стартовал серию статей по мотивом реальных инцидентов MDR.
Сегодня вышла первая статья
#MDR
Сегодня вышла первая статья
#MDR
Securelist
Kaspersky SOC analyzes an incident involving a web shell used as a backdoor
Kaspersky SOC analysts discuss a recent incident where the well-known Behinder web shell was used as a post-exploitation backdoor, showing how web shells have evolved.
👍4🔥4🗿1