На днях обсуждали с друзьями процессную модель операционного подразделения ИБ, и принципиальный вопрос:

Как выглядит идеальный баланс между инструкциями, персональными взаимодействиями/наставником, общими ретро,...?

Поток мыслей по этому вопросу записал в свежем лонгриде "Формализация"

Очень приветствуется ваш опыт решения поставленных вопросов, ваша граница красоты\баланса.

#управление #vCISO #MDR

Я уже писал про лекции Ангелины Дроновой и физически был на мероприятиях с ее участием. И вот, с 15 по 18 мая Ангелина снова будет в Кисловодске!

Наша память так устроена, что мы лучше запоминаем эмоции и действия. Поэтому одно дело - прочитать или услышать, но совсем другое - это проделать самостоятельно!

В период с 15 по 18 мая участники получат возможность прожить историю самостоятельно:
- пройтись по улицам, зайти в Нарзанную Галерею, подобно Маршаку, Зощенко, Тэффи, Мережковскому и Гиппиус, Рахманинову... да вообще, всем!
- вспоминая азартную Матильду Феликсовну - сыграть в казино, а за одно, ознакомиться с прекрасными экземплярами местных вин;
- попробовать настоящую кавказскую кухню, как точно делал Чехов;
- испытать свои художественные таланты в гостях у Передвижника Николая Ярошенко.

Кто меня читает, может заметить, что подобное путешествие во времени я уже делал (по ссылке - коротенький видео-отчет о том, как это было), и с удовольствием повторил бы, если бы не необходимость участия в мероприятии.

А у вас, если, вдруг, есть возможность, обязательно присоединяйтесь, не пожалеете!
(по-моему места еще есть, но это не точно, уточнить можно здесь)

#искусство #история

Мой старый добрый знакомый, Дэн Батранков, видимо, ввиду обостренного чувства справедливости, не на шутку озадачился вопросом сравнения XDR и SIEM, что отразилось в следующих многочисленных артефактах: заметка Отличие XDR от SIEM, а также презентация на SOC Forum 2024, доступная по ссылке.

Терминология - безграничная почва для бесконечных дискуссий, я это прекрасно понимаю, но Денис спросил мое мнение, а я стремлюсь не отказывать друзьям, чем и объясняется эта и связанные публикации.

Несмотря на то, что в следующем году уже 10 лет как я работаю в поставщике решений, все еще большую часть своей карьеры я провел в заказчике, где, как раз отвечал, в том числе, и за внедрение решений ИБ. А перед внедрением я всегда проводил сравнительный анализ, как правило, основанный на пилотировании в лабораторных условиях. Т.е. в моей картине мира выбор решения основан на степени его соответствия функциональным требованиям: соответствует - берем, не соответствует - ищем дальше, но никак не исходя из его названия (тем более, в маркетинговых листовках самого вендора). Поэтому, в общем-то, мне все равно кто что называет SIEM-ом, а что XDR-ом, в моем случае я бы выбирал исходя из функционального тестирования в лабораторных условиях, приближенных к реальной эксплуатации.

В предлагаемой вашему вниманию таблице я собрал различия SIEM и XDR, изучение которых должно навести на следующие мысли:
- и SIEM и XDR - нужные решения, так как закрывают немного разные сценарии
- XDR не является развитием SIEM, обратное тоже не верно
- идеальное решение можно достичь комбинацией

При этом, я не исключаю (более того, считаю это логичным) построение XDR на базе SIEM, так как если SIEM умеет работать с неструктурированными логами, то с предопределенной телеметрией у него точно получится. Широкие возможности по автоматизации на базе XDR как раз и обусловлены предопределенностью и структурированностью обрабтаываемой телеметрии. "Сырые" (== оригинальные, в первозданном виде) логи ИС, предназначенные для ручной обработки админами, - именно для работы с такими данными и придумывали SIEM, а необходимость корреляции событий разных ИС создала потребность в нормализации. Хранение сырых логов долго и централизовано требуется и регуляторами и для ретро (ну мы же не хотим, чтобы наша система умерла вместе со всеми своими логами, поэтому логи надо уносить) - это тоже функция SIEM. Ранее я упоминал про Log management, и эта заметка отчасти повторяет те же мысли. Больше различий я пособирал в табличке. Как всегда ваши предложения и критика приветствуются!


#пятница #vCISO #MDR

16 мая в 11:00 (MSK) мой коллега Алексей Пешик из команды SOC Consulting обсудит тему ИИ в кибербезе.

Есть огромный разрыв.... нет не так, систему мало спроектировать, разработать и внедрить, а надо еще внедренную систему оттюнить тонко настроить под конкретную инфраструктуру и запустить операционные процессы вокруг, чтобы в, конечном счете, эта система начала приносить ту самую ценность, на которую рассчитывали до начала всей этой истории с проектированием и разработкой. А чем шире наши потребности, тем сложнее нам нужны системы, а чем сложнее системы мы используем, тем выше трудоемкость и продолжительность их адаптации. Подавляющее большинство случаев непопадания в ожидания связаны как раз с недостаточной кастомизацией и тонкой настройкой, а не с тем, что выбранное решение - плохое, их просто не умеют готовить. Таким приземлением лучших практик и технологий на конкретного заказчика и занимается команда SOC Consulting, а Алексей - архитектор таких проектных решений.

ИИ - это сложное решение, а Алексей - эксперт по доведению сложных решений до получени ценности заказчиком.

Регистрируйтесь!

#ml #vCISO

Долгий перелет из Москвы в Сеул (слайды и комментарии к ним, а также заметки при поготовке к панельной дискуссии, еще выложу) позволил прочитать книжку, и она - не заслуживает упоминания в этом блоге, но данные обещания надо выполнять, поэтому пишу эту заметку.

Как и ожидалось книжка очень предвзята и смотрит на вещи однобоко:
- США, Британия и Израиль представлены как "жертвы" или\и "защитники", а Россия, Китай и Иран – как главные злодеи. Она настолько пропитана пропагандой, что нередко вызывала улыбку умиления, а, порой, и смех в полный голос (действительно, наиболее смешные шутки произносятся с серьезным лицом);
- очевидные киберпреступления – Stuxnet (атака на Иран), EternalBlue и прочие (утечка Shadow Brokers, приведшая к WannaCry), Doqu, Duqu 2.0, Equation Group (связанная с NSA) – всё это либо подаётся как "необходимая защита", либо откровенно оправдывается без капли сомнения, типа, так и надо 😂;
- несмотря на то, что книга издана в 2020, продолжение традиции Equation - Project Sauron (Remsec), вообще не упоминается в книге. А это принципиальное событие на рынке ИБ, ибо, есть мнение, что ровно после этой публикации антивирус Symantec перестал существовать на B2B рынке, видимо, нельзя было им это детектить...., но не будем множить слухи 😁

В конце книги приведены Acknowledgments и Notes, беглый просмотр которых объясняет столь низкую объективность изложения: Перлрот опирается на интервью с бывшими сотрудниками американских спецслужб и кибербезопасности, которые, естественно, всячески оправдывают свои действия. Книга рассчитана на американского читателя, чьи чувства оскорблять не хочется (а можно и в бан попасть, демократия - она такая) и которому проще думать, что "мы хорошие, а они - плохие".

Краткий вывод из первой части моей заметки (сразу следом будет продолжение, более предметное), что книга полезна для понимания западного взгляда на кибервойны, но её нельзя считать объективной, так как она полностью игнорирует гипокризию США, которые сами создают в огромных количествах самые опасные образцы кибероружия, и первые начали это делать, но при этом обвиняют всех вокруг.

#мир #книги

Прямо с пролога Перлрот начинает излагать правильные нарративы, поэтому очень быстро (уже к первой главе) вырабатывается способность фильтровать всю эту пропаганду, читать между строк и связывать изложенные факты (благо, откровенного вранья в книге я не встретил, но есть слухи и домыслы авторов). Для примера приведу лишь одну из историй, но она хорошо иллюстрирует то, что я хочу сказать. На картинке - страница, где автор рассказывает об Operation Shotgiant, когда NSA взломало Huawei. "Официальная" версия этого влома - Huawei представляет угрозу из-за связей с китайскими властями и потенциальных бэкдоров в её оборудовании, однако, сама Перлрот пишет, что цель NSA - внедрить свои бэкдоры в оборудование Huawei. Факт того, что NSA допускает, что китайская компания шпионит в пользу китайского правительства означает, что с точки зрения NSA шпионаж американского вендора в пользу США - абсолютная норма. Это действительно так, поскольку Microsoft, Google, Apple – участвуют в программах слежки (FISA 702, CLOUD Act), поэтому в продукцию этих вендоров даже бэкдоры, как будто, не надо ставить, они и так обязаны сливать данные спецслужбам США, чтобы соответствовать. Но несложно догадаться, что бэкдоры там тоже точно есть, ибо, как мы знаем из истории, вскоре после скандала с Operation Shotgiant Huawei оказалась под санкциями 🙈 Действительно, отказ от внедрения американских бэкдоров - это неCompliance!

И Перлрот в своей книжке пишет и мы все знаем, что потом эти бэкдоры утекают (не могу исключить, что и умышленно), попадают к кибертеррористам.... а чем это отличатся от разбрасывания оружия массового поражения ?!

Все, приведенные в книге, ящики Пандоры открыты именно США (с ужасом вспоминаю историю Хиросимы и Нагасаки, при очевидном отсутствии военной обоснованности), и это явно следует из книги, а нелепые оправдания таких действий вызывают улыбку и смех, что делает чтение для тех, кто видит лес за деревьями, еще более увлекательным. Как отмечал в первой части этой заметки, книгу не рекомендую 😂

#мир #книги

А помните я как-то, почти год назад писал:

- DLL Hijacking - фактически, непопулярный сценарий загрузки DLL в процесс, напишу об этом чуть более подробно в отдельной заметке

Где-то примерно с того времени мы начали пилотировать модельку в нашем MDR, которая находит аномальные\подозрительные загрузки DLL. Сейчас эта моделька уже давно в проде и, в целом, неплохо справляется со своей задачей. Техника старая, но до сих пор популярная в целевых кампаниях, поэтому никакие возможности по обнаружению нам, конечно же, не чужды.

Подробно написать в отдельной заметке я так и не успел, но вот на PHD будет доклад нашей коллеги, Анны Пиджаковой, из команды машобуча, Разработка ML-модели для детектирования DLL Side-Loading, где, уверен, Аня все подробненько расскажет.

#MDR #ml

Если ваш SOC хорошо знает источники данных в организации, вы легко сможете автоматизировать оценку потенциальных угроз и приоритизировать задачи по разработке детектов — как мы уже рассказывали, для этого есть целый ряд полезных инструментов.

Но что если SOC нашел legacy-систему без документации? Надо проанализировать архитектуру, выявить возможные вектора атак, покрыть релевантными детектами. А если таких нестандартных систем — не одна, а десять? Правильный подход к мониторингу источников известен, но на практике он требует много времени и глубокого понимая системы.

Альтернативный вариант: проводим экспресс-анализ по применимости универсальных тактик атак и релевантных детектов для них. Вот основные события, которые можно покрыть универсальными правилами даже в нестандартной системе:

Аномалии аутенификации:
— Brute Force
— Password spraying
— Sharing creds
— The first logon to host (+ неуспешные попытки)
— The first logon from host (+ неуспешные попытки)
— Отслеживание профиля приложения клиента, которое использовалось для логина: отпечаток браузера для web, SQL-клиент для БД, толстый клиент для приложений и т.д. (вне профиля = алерт).

Манипуляции с привилегиями:
— Добавление/исключение в группу/из группы
— Изменение прав доступа
— Массовая блокировка/отключение администраторов
— Создание УЗ

Сеть:
— Изменение количества peer-ов
— Использование нетипичных для системы сетевых сервисов

Процессы и настройки:
— Выгрузка защищаемых ресурсов вне профиля
— Резервное копирование вне профиля
— Управление резервным копированием вне профиля
— Администрирование функций безопасности
— Удаление журналов аудита безопасности

Используя подобный подход, можно покрыть 11 из 14 тактик атак MITRE, что очень неплохо для незнакомой системы.

Более подробно о таких универсальных приемах Threat Hunting — слушайте завтра в докладе нашего эксперта Николая Советкина «Стандартные правила для нестандартных источников» на конференции PHDays (23 мая, 12:15). Для тех, кто не сможет присутствовать – обещают и трансляцию, и запись.

Приятно видеть, что наш с Денисом вебинар не остался совсем не замеченным и на наиболее значимой конференции по ИБ его упоминают! Очень приятно.

Как узнаю, что появилась запись, обязательно поделюсь.
А если этот формат подкаста и наш состав собеседников (я и Денис) устраивает, то пишите в комментариях, что еще имеет смысл обсудить\прожарить\распаковать, смыть налет маркетинга и обсудить вещи как они есть.

#MDR #vCISO

Про пилоты и проекты

За счет того, что подключение в нашем случае выполняется очень просто, а текущий объем мониторинга такой, что несколько десятков тысяч эндпоинтов не создадут ощутимых ресурсных проблем, мы постоянно всем рекомендуем пилоты. Единственная проблема с новыми клиентами - профилирование, которое за время пилота в 30 дней может и не закончиться. Но конверсия с пилота в коммерческий проект - большая, поэтому сейловые подразделения активно предлагают пилоты.

Но я не работаю в Продажах, я отвечаю за delivery, однако, для меня пилот тоже очень значим и на всех мероприятиях я постоянно всех приглашаю к нам на пилоты. Основных причин - две.

Во-первых, аналитика по данным инцидентов всегда интересна, так как она в какой-то степени отражает ландшафт угроз, под который надо адаптировать и наши способности по управлению угрозами и наши ресурсные возможности. А чем больше разных клиентов мне удастся помониторить, пусть даже непродолжительное время, тем лучший TI я соберу, тем более объективны, лучше отражать действительность, будут мои прогнозы. Как раз при подготовке к Сеулу я готовил контент, где анализировал данные, представленные в наших аналитических отчетах за 2020-2024 годы, выделял тренды и проверял их на данных Q1 2025, спойлер: многие предсказания сбылись. Я не люблю повторять одни и те же слайды, но по части этого сеульского доклада я дал промах (все когда-то делается в первый раз) и эту презентацию уже успел рассказать и на русском языке. Английский вариант обязательно выложу, так как именно к нему есть скрипт, подстрочник к слайдам, его можно будет просто почитать.

Во-вторых, как delivery-команда, я максимально заинтересован своей работой попасть в ожидания заказчика. Да, заказчик на пилоте смотрит, насколько наше предложение ему подходит, однако, здесь же и мы сморим, насколько мы можем соответствовать требованиям заказчика. Несоответствие ожиданиям - нередкая причина непродления контракта. Очень часто из пилота, по результатам анализа работы с клиентом, тем более, если пилот не конвертировался в проект, мы пополняем свой бэклог на доработку.

В общем, подключайтесь на пилоты - обогатим друг друга знаниями и, таким образом, поднимем зрелость всей отечественной индустрии ИБ!

Ах вот еще что, друзья из Русского офиса шепнули, что сейчас есть еще и акция (детали по ссылке). Ну а то, что на странице акции можно посмотреть видео с вашим покорным слугой окончательно убедило меня необходимостью поделиться этой новостью.

#MDR #vCISO

Отличники

В кино, книгах и анекдотах отличник часто предстаёт либо занудным ботаном, либо хитрым карьеристом, который "протирает штаны" вместо "реальных дел". Этот стереотип возник не на пустом месте:
- Школьная среда поощряет конформизм, а тот, кто выделяется (в том числе успехами), часто становится предметом насмешек,
- Миф о "гениях-самоучках" (типа Билла Гейтса, Стива Джобса или Марка Цукерберга, бросивших учёбу) создаёт иллюзию, что образование - не нужно,
- Ошибка выжившего: истории двоечников-миллионеров запоминаются, а тысячи тех, кто не смог устроиться без диплома, - нет, так как это - подавляющее большинство, т.е. обычно.

Но реальность сложнее. Да, есть таланты, прорвавшиеся без формального образования, но для 99% людей учёба - это тренировка критически важных навыков: умения анализировать, работать в срок, преодолевать рутину, доводить начатое до конца, делать хорошо и с отдачей.

Об отличниках рассуждал в новом лонгриде.

#управление

Обсуждаем XDR и SIEM

Для тех, кто не смог подключиться вебинару, выкладываю запись нашего общения с Денисом.

Если формат понравился, пишите, что еще интересно обсудить.

Также, конечно же, пишите если где-то не согласны с нами, обязательно обсудим!

#MDR #vCISO

В статье про креативность я рассуждал, что наши новые идеи берут сове начало в прошлом опыте. Несложно догадаться, что наш прошлый опыт во многом определяется родом деятельности, и как бы я не старался отвлекаться, рассматривая картины, разучивая и пытаясь исполнить песни, я все равно остаюсь "пробитым ИТшником", так как провожу на работе 10-12 часов в день, а свободное время так или иначе все равно связано с ИТ и ИБ, в общем, с work-life balance у меня ровно наоборот, чем рекомендуется в модных книжках.

Как рыбак рыбака видит издалека, так и креативные идеи пробитых ИТшников удивительным образом совпадают! Ну какие же еще идеи можно предложить на тему оперативного мониторинга?! Ну конечно же мужик, стоящий на башне и смотрящий вдаль. А что же еще?!

Но ситуация, видимо, еще хуже! Когда затык с креативностью, можно спросить у LLM, да и сами картинки уже едва ли рисуются художниками - их также генерит какой-нибудь MidJourney или Kandinsky. Поэтому, что люди, прокаченные на одной предметной области, и GPT, обученные на одних и тех же данных, не удивительно, что создают одинаковые шедевры: если SOC, то человекообразный, стоящий на башне, смотрящий вдаль.

Это - первые побеги неспособности предложить что-то оригинальное, мы обложили себя таким количеством помощников, что теряем способность к самостоятельности, а любая зависимость - это и есть несвобода, свобода Человечества под угрозой!

Отчеты с картинок:
Kaspersky
Positive Technologies

#пятница #MDR