2025-04-03-MDR_2024-RU.pdf
20.7 MB
Сегодня прошел вебинар на русском языке. Думаю, на следующей неделе будет видео, а пока делюсь слайдами.
В отличие от отчета, который эквивалентен оригинальному на английском языке и содержит общие статистики по всему Миру, в сегодняшнюю презентацию я добавил данные по России и СНГ, а также сравнительные картинки по Миру и СНГ, и 2023 против 2024. Кроме того, есть крайне загруженные слайды, которыеневозможно сложно озвучить на вебинаре, но рассмотреть в спокойной обстановке, с кофейком, точно можно!
Как писал и в предыдущей заметке, если будут вопросы, пишите, приложу все усилия, чтобы найти для вас ответ.
#MDR
В отличие от отчета, который эквивалентен оригинальному на английском языке и содержит общие статистики по всему Миру, в сегодняшнюю презентацию я добавил данные по России и СНГ, а также сравнительные картинки по Миру и СНГ, и 2023 против 2024. Кроме того, есть крайне загруженные слайды, которые
Как писал и в предыдущей заметке, если будут вопросы, пишите, приложу все усилия, чтобы найти для вас ответ.
#MDR
❤6👏4
На днях обсуждали с друзьями процессную модель операционного подразделения ИБ, и принципиальный вопрос:
Поток мыслей по этому вопросу записал в свежем лонгриде "Формализация"
Очень приветствуется ваш опыт решения поставленных вопросов, ваша граница красоты\баланса.
#управление #vCISO #MDR
Как выглядит идеальный баланс между инструкциями, персональными взаимодействиями/наставником, общими ретро,...?
Поток мыслей по этому вопросу записал в свежем лонгриде "Формализация"
Очень приветствуется ваш опыт решения поставленных вопросов, ваша граница красоты\баланса.
#управление #vCISO #MDR
Дзен | Статьи
Формализация
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Где начало того конца, которым оканчивается начало?
👍10
Мой старый добрый знакомый, Дэн Батранков, видимо, ввиду обостренного чувства справедливости, не на шутку озадачился вопросом сравнения XDR и SIEM, что отразилось в следующих многочисленных артефактах: заметка Отличие XDR от SIEM, а также презентация на SOC Forum 2024, доступная по ссылке.
Терминология - безграничная почва для бесконечных дискуссий, я это прекрасно понимаю, но Денис спросил мое мнение, а я стремлюсь не отказывать друзьям, чем и объясняется эта и связанные публикации.
Несмотря на то, что в следующем году уже 10 лет как я работаю в поставщике решений, все еще большую часть своей карьеры я провел в заказчике, где, как раз отвечал, в том числе, и за внедрение решений ИБ. А перед внедрением я всегда проводил сравнительный анализ, как правило, основанный на пилотировании в лабораторных условиях. Т.е. в моей картине мира выбор решения основан на степени его соответствия функциональным требованиям: соответствует - берем, не соответствует - ищем дальше, но никак не исходя из его названия (тем более, в маркетинговых листовках самого вендора). Поэтому, в общем-то, мне все равно кто что называет SIEM-ом, а что XDR-ом, в моем случае я бы выбирал исходя из функционального тестирования в лабораторных условиях, приближенных к реальной эксплуатации.
В предлагаемой вашему вниманию таблице я собрал различия SIEM и XDR, изучение которых должно навести на следующие мысли:
- и SIEM и XDR - нужные решения, так как закрывают немного разные сценарии
- XDR не является развитием SIEM, обратное тоже не верно
- идеальное решение можно достичь комбинацией
При этом, я не исключаю (более того, считаю это логичным) построение XDR на базе SIEM, так как если SIEM умеет работать с неструктурированными логами, то с предопределенной телеметрией у него точно получится. Широкие возможности по автоматизации на базе XDR как раз и обусловлены предопределенностью и структурированностью обрабтаываемой телеметрии. "Сырые" (== оригинальные, в первозданном виде) логи ИС, предназначенные для ручной обработки админами, - именно для работы с такими данными и придумывали SIEM, а необходимость корреляции событий разных ИС создала потребность в нормализации. Хранение сырых логов долго и централизовано требуется и регуляторами и для ретро (ну мы же не хотим, чтобы наша система умерла вместе со всеми своими логами, поэтому логи надо уносить) - это тоже функция SIEM. Ранее я упоминал про Log management, и эта заметка отчасти повторяет те же мысли. Больше различий я пособирал в табличке. Как всегда ваши предложения и критика приветствуются!
#пятница #vCISO #MDR
Терминология - безграничная почва для бесконечных дискуссий, я это прекрасно понимаю, но Денис спросил мое мнение, а я стремлюсь не отказывать друзьям, чем и объясняется эта и связанные публикации.
Несмотря на то, что в следующем году уже 10 лет как я работаю в поставщике решений, все еще большую часть своей карьеры я провел в заказчике, где, как раз отвечал, в том числе, и за внедрение решений ИБ. А перед внедрением я всегда проводил сравнительный анализ, как правило, основанный на пилотировании в лабораторных условиях. Т.е. в моей картине мира выбор решения основан на степени его соответствия функциональным требованиям: соответствует - берем, не соответствует - ищем дальше, но никак не исходя из его названия (тем более, в маркетинговых листовках самого вендора). Поэтому, в общем-то, мне все равно кто что называет SIEM-ом, а что XDR-ом, в моем случае я бы выбирал исходя из функционального тестирования в лабораторных условиях, приближенных к реальной эксплуатации.
В предлагаемой вашему вниманию таблице я собрал различия SIEM и XDR, изучение которых должно навести на следующие мысли:
- и SIEM и XDR - нужные решения, так как закрывают немного разные сценарии
- XDR не является развитием SIEM, обратное тоже не верно
- идеальное решение можно достичь комбинацией
При этом, я не исключаю (более того, считаю это логичным) построение XDR на базе SIEM, так как если SIEM умеет работать с неструктурированными логами, то с предопределенной телеметрией у него точно получится. Широкие возможности по автоматизации на базе XDR как раз и обусловлены предопределенностью и структурированностью обрабтаываемой телеметрии. "Сырые" (== оригинальные, в первозданном виде) логи ИС, предназначенные для ручной обработки админами, - именно для работы с такими данными и придумывали SIEM, а необходимость корреляции событий разных ИС создала потребность в нормализации. Хранение сырых логов долго и централизовано требуется и регуляторами и для ретро (ну мы же не хотим, чтобы наша система умерла вместе со всеми своими логами, поэтому логи надо уносить) - это тоже функция SIEM. Ранее я упоминал про Log management, и эта заметка отчасти повторяет те же мысли. Больше различий я пособирал в табличке. Как всегда ваши предложения и критика приветствуются!
#пятница #vCISO #MDR
Яндекс Диск
SIEM-XDR-v0.xlsx
Посмотреть и скачать с Яндекс Диска
🔥8👍3
А помните я как-то, почти год назад писал:
Где-то примерно с того времени мы начали пилотировать модельку в нашем MDR, которая находит аномальные\подозрительные загрузки DLL. Сейчас эта моделька уже давно в проде и, в целом, неплохо справляется со своей задачей. Техника старая, но до сих пор популярная в целевых кампаниях, поэтому никакие возможности по обнаружению нам, конечно же, не чужды.
Подробно написать в отдельной заметке я так и не успел, но вот на PHD будет доклад нашей коллеги, Анны Пиджаковой, из команды машобуча, Разработка ML-модели для детектирования DLL Side-Loading, где, уверен, Аня все подробненько расскажет.
#MDR #ml
- DLL Hijacking - фактически, непопулярный сценарий загрузки DLL в процесс, напишу об этом чуть более подробно в отдельной заметке
Где-то примерно с того времени мы начали пилотировать модельку в нашем MDR, которая находит аномальные\подозрительные загрузки DLL. Сейчас эта моделька уже давно в проде и, в целом, неплохо справляется со своей задачей. Техника старая, но до сих пор популярная в целевых кампаниях, поэтому никакие возможности по обнаружению нам, конечно же, не чужды.
Подробно написать в отдельной заметке я так и не успел, но вот на PHD будет доклад нашей коллеги, Анны Пиджаковой, из команды машобуча, Разработка ML-модели для детектирования DLL Side-Loading, где, уверен, Аня все подробненько расскажет.
#MDR #ml
phdays.com
Программа PHDays Fest
Positive Hack Days Fest - международный киберфестиваль для всех, кто хочет погрузиться в мир кибербезопасности и технологий. Любой желающий может узнать, как устроен цифровой мир, повысить уровень своей защищенности и круто провести время
👍3
Приятно видеть, что наш с Денисом вебинар не остался совсем не замеченным и на наиболее значимой конференции по ИБ его упоминают! Очень приятно.
Как узнаю, что появилась запись, обязательно поделюсь.
А если этот формат подкаста и наш состав собеседников (я и Денис) устраивает, то пишите в комментариях, что еще имеет смысл обсудить\прожарить\распаковать, смыть налет маркетинга и обсудить вещи как они есть.
#MDR #vCISO
Как узнаю, что появилась запись, обязательно поделюсь.
А если этот формат подкаста и наш состав собеседников (я и Денис) устраивает, то пишите в комментариях, что еще имеет смысл обсудить\прожарить\распаковать, смыть налет маркетинга и обсудить вещи как они есть.
#MDR #vCISO
Telegram
Солдатов в Телеграм
🔥 Как разобраться в разнице XDR и SIEM? Расскажем на встрече экспертов 21 мая!
После новости, что 90% XDR - фейк и таблицы сравнения SIEM и XDR, ко мне пришло много людей в личку. Давайте обсудим голосом! 😎
21 мая в 19:00 (GMT+3) приглашаю на прямой эфир…
После новости, что 90% XDR - фейк и таблицы сравнения SIEM и XDR, ко мне пришло много людей в личку. Давайте обсудим голосом! 😎
21 мая в 19:00 (GMT+3) приглашаю на прямой эфир…
Про пилоты и проекты
За счет того, что подключение в нашем случае выполняется очень просто, а текущий объем мониторинга такой, что несколько десятков тысяч эндпоинтов не создадут ощутимых ресурсных проблем, мы постоянно всем рекомендуем пилоты. Единственная проблема с новыми клиентами - профилирование, которое за время пилота в 30 дней может и не закончиться. Но конверсия с пилота в коммерческий проект - большая, поэтому сейловые подразделения активно предлагают пилоты.
Но я не работаю в Продажах, я отвечаю за delivery, однако, для меня пилот тоже очень значим и на всех мероприятиях я постоянно всех приглашаю к нам на пилоты. Основных причин - две.
Во-первых, аналитика по данным инцидентов всегда интересна, так как она в какой-то степени отражает ландшафт угроз, под который надо адаптировать и наши способности по управлению угрозами и наши ресурсные возможности. А чем больше разных клиентов мне удастся помониторить, пусть даже непродолжительное время, тем лучший TI я соберу, тем более объективны, лучше отражать действительность, будут мои прогнозы. Как раз при подготовке к Сеулу я готовил контент, где анализировал данные, представленные в наших аналитических отчетах за 2020-2024 годы, выделял тренды и проверял их на данных Q1 2025, спойлер: многие предсказания сбылись. Я не люблю повторять одни и те же слайды, но по части этого сеульского доклада я дал промах(все когда-то делается в первый раз) и эту презентацию уже успел рассказать и на русском языке. Английский вариант обязательно выложу, так как именно к нему есть скрипт, подстрочник к слайдам, его можно будет просто почитать.
Во-вторых, как delivery-команда, я максимально заинтересован своей работой попасть в ожидания заказчика. Да, заказчик на пилоте смотрит, насколько наше предложение ему подходит, однако, здесь же и мы сморим, насколько мы можем соответствовать требованиям заказчика. Несоответствие ожиданиям - нередкая причина непродления контракта. Очень часто из пилота, по результатам анализа работы с клиентом, тем более, если пилот не конвертировался в проект, мы пополняем свой бэклог на доработку.
В общем, подключайтесь на пилоты - обогатим друг друга знаниями и, таким образом, поднимем зрелость всей отечественной индустрии ИБ!
Ах вот еще что, друзья из Русского офиса шепнули, что сейчас есть еще и акция (детали по ссылке). Ну а то, что на странице акции можно посмотреть видео с вашим покорным слугой окончательно убедило меня необходимостью поделиться этой новостью.
#MDR #vCISO
За счет того, что подключение в нашем случае выполняется очень просто, а текущий объем мониторинга такой, что несколько десятков тысяч эндпоинтов не создадут ощутимых ресурсных проблем, мы постоянно всем рекомендуем пилоты. Единственная проблема с новыми клиентами - профилирование, которое за время пилота в 30 дней может и не закончиться. Но конверсия с пилота в коммерческий проект - большая, поэтому сейловые подразделения активно предлагают пилоты.
Но я не работаю в Продажах, я отвечаю за delivery, однако, для меня пилот тоже очень значим и на всех мероприятиях я постоянно всех приглашаю к нам на пилоты. Основных причин - две.
Во-первых, аналитика по данным инцидентов всегда интересна, так как она в какой-то степени отражает ландшафт угроз, под который надо адаптировать и наши способности по управлению угрозами и наши ресурсные возможности. А чем больше разных клиентов мне удастся помониторить, пусть даже непродолжительное время, тем лучший TI я соберу, тем более объективны, лучше отражать действительность, будут мои прогнозы. Как раз при подготовке к Сеулу я готовил контент, где анализировал данные, представленные в наших аналитических отчетах за 2020-2024 годы, выделял тренды и проверял их на данных Q1 2025, спойлер: многие предсказания сбылись. Я не люблю повторять одни и те же слайды, но по части этого сеульского доклада я дал промах
Во-вторых, как delivery-команда, я максимально заинтересован своей работой попасть в ожидания заказчика. Да, заказчик на пилоте смотрит, насколько наше предложение ему подходит, однако, здесь же и мы сморим, насколько мы можем соответствовать требованиям заказчика. Несоответствие ожиданиям - нередкая причина непродления контракта. Очень часто из пилота, по результатам анализа работы с клиентом
В общем, подключайтесь на пилоты - обогатим друг друга знаниями и, таким образом, поднимем зрелость всей отечественной индустрии ИБ!
Ах вот еще что, друзья из Русского офиса шепнули, что сейчас есть еще и акция (детали по ссылке). Ну а то, что на странице акции можно посмотреть видео с вашим покорным слугой окончательно убедило меня необходимостью поделиться этой новостью.
#MDR #vCISO
👍5🔥1
Обсуждаем XDR и SIEM
Для тех, кто не смог подключиться вебинару, выкладываю запись нашего общения с Денисом.
Если формат понравился, пишите, что еще интересно обсудить.
Также, конечно же, пишите если где-то не согласны с нами, обязательно обсудим!
#MDR #vCISO
Для тех, кто не смог подключиться вебинару, выкладываю запись нашего общения с Денисом.
Если формат понравился, пишите, что еще интересно обсудить.
Также, конечно же, пишите если где-то не согласны с нами, обязательно обсудим!
#MDR #vCISO
Дзен | Видео
XDR и SIEM: Конкуренты или Партнеры? | REPLY-TO-ALL Information Security Blog | Дзен
Видео автора «REPLY-TO-ALL Information Security Blog» в Дзене 🎦: Совместно с Денисом Батранковым обсуждали сценарии использования XDR и SIEM
👍11❤2🤩1🤡1🤝1
В статье про креативность я рассуждал, что наши новые идеи берут сове начало в прошлом опыте. Несложно догадаться, что наш прошлый опыт во многом определяется родом деятельности, и как бы я не старался отвлекаться, рассматривая картины, разучивая и пытаясь исполнить песни, я все равно остаюсь "пробитым ИТшником", так как провожу на работе 10-12 часов в день, а свободное время так или иначе все равно связано с ИТ и ИБ, в общем, с work-life balance у меня ровно наоборот, чем рекомендуется в модных книжках.
Как рыбак рыбака видит издалека, так и креативные идеи пробитых ИТшников удивительным образом совпадают! Ну какие же еще идеи можно предложить на тему оперативного мониторинга?! Ну конечно же мужик, стоящий на башне и смотрящий вдаль. А что же еще?!
Но ситуация, видимо, еще хуже! Когда затык с креативностью, можно спросить у LLM, да и сами картинки уже едва ли рисуются художниками - их также генерит какой-нибудь MidJourney или Kandinsky. Поэтому, что люди, прокаченные на одной предметной области, и GPT, обученные на одних и тех же данных, не удивительно, что создают одинаковые шедевры: если SOC, то человекообразный, стоящий на башне, смотрящий вдаль.
Это - первые побеги неспособности предложить что-то оригинальное, мы обложили себя таким количеством помощников, что теряем способность к самостоятельности, а любая зависимость - это и есть несвобода, свобода Человечества под угрозой!
Отчеты с картинок:
Kaspersky
Positive Technologies
#пятница #MDR
Как рыбак рыбака видит издалека, так и креативные идеи пробитых ИТшников удивительным образом совпадают! Ну какие же еще идеи можно предложить на тему оперативного мониторинга?! Ну конечно же мужик, стоящий на башне и смотрящий вдаль. А что же еще?!
Но ситуация, видимо, еще хуже! Когда затык с креативностью, можно спросить у LLM, да и сами картинки уже едва ли рисуются художниками - их также генерит какой-нибудь MidJourney или Kandinsky. Поэтому, что люди, прокаченные на одной предметной области, и GPT, обученные на одних и тех же данных, не удивительно, что создают одинаковые шедевры: если SOC, то человекообразный, стоящий на башне, смотрящий вдаль.
Это - первые побеги неспособности предложить что-то оригинальное, мы обложили себя таким количеством помощников, что теряем способность к самостоятельности, а любая зависимость - это и есть несвобода, свобода Человечества под угрозой!
Отчеты с картинок:
Kaspersky
Positive Technologies
#пятница #MDR
👍6🔥5🤣3
Google ADK и MCP - ближе к автономному SOC
Ну действительно, если современные LLM умеют играть в CTF почему они не могут заменить SOC?! И все идет к тому, что могут!
Например, Google предлагает свой Agent Development Kit (ADK) для разработки автономных агентов, не зависимых ни от используемой LLM, ни от инфраструктуры развертывания. Агенты могут быть разными, как работающими по алгоритму, так и c ML/AI внутри, т.е. способными принимать решения на основе анализа входных данных и выполнять действия. Для того, чтобы LLM, выдающая, например, текст, смогла выполнять действия, служит Model Context Protocol (MCP) (вот видео "на пальцах" , вот чуть подлиннее, но еще проще).
Отвечающими за действия компонентами являются MCP-клиент и -сервер. Google предоставляет набор готовых MCP-серверов, позволяющих агентам удобно работать с Google SecOps и TI сервисами. Фактически MCP-сервер - де-факто стандартный интерфейс для использования инструментов AI-агентами (я люблю аналогии и упрощения, поэтому MCP-сервер функционально напоминает REST API). Видео о том, как сделать подходящего агента можно посмотреть здесь.
Но ни что не мешает пойти дальше, и решения о том, какие SecOps-сервисы дергать через MCP, отдать на решение LLM-агенту, который, фактически будет реализовывать некий playbook. Поскольку сам по себе LLM-агент - автоматизация, то подходит и термин runbook. Демо таких ранбуков доступно здесь - AI Runbooks for Google Cloud Security MCP Servers, а сами ранбуки можно почитать здесь.
С помощью Google ADK можно создать агентов, выполняющих функции различных ролей в SOC, которые буду работать по описанным выше ранбуам, на это тоже есть демо - Agentic Incident Response.
Если спуститься ближе к земеле, то вот Игорь на PHD2025 рассказывал практический пример, все наработки выложил в Git. По-моему отличный PoC для движения в сторону автоматизации на базе LLM.
#MDR #ml
Ну действительно, если современные LLM умеют играть в CTF почему они не могут заменить SOC?! И все идет к тому, что могут!
Например, Google предлагает свой Agent Development Kit (ADK) для разработки автономных агентов, не зависимых ни от используемой LLM, ни от инфраструктуры развертывания. Агенты могут быть разными, как работающими по алгоритму, так и c ML/AI внутри, т.е. способными принимать решения на основе анализа входных данных и выполнять действия. Для того, чтобы LLM, выдающая, например, текст, смогла выполнять действия, служит Model Context Protocol (MCP) (вот видео "на пальцах" , вот чуть подлиннее, но еще проще).
Отвечающими за действия компонентами являются MCP-клиент и -сервер. Google предоставляет набор готовых MCP-серверов, позволяющих агентам удобно работать с Google SecOps и TI сервисами. Фактически MCP-сервер - де-факто стандартный интерфейс для использования инструментов AI-агентами (я люблю аналогии и упрощения, поэтому MCP-сервер функционально напоминает REST API). Видео о том, как сделать подходящего агента можно посмотреть здесь.
Но ни что не мешает пойти дальше, и решения о том, какие SecOps-сервисы дергать через MCP, отдать на решение LLM-агенту, который, фактически будет реализовывать некий playbook. Поскольку сам по себе LLM-агент - автоматизация, то подходит и термин runbook. Демо таких ранбуков доступно здесь - AI Runbooks for Google Cloud Security MCP Servers, а сами ранбуки можно почитать здесь.
С помощью Google ADK можно создать агентов, выполняющих функции различных ролей в SOC, которые буду работать по описанным выше ранбуам, на это тоже есть демо - Agentic Incident Response.
Если спуститься ближе к земеле, то вот Игорь на PHD2025 рассказывал практический пример, все наработки выложил в Git. По-моему отличный PoC для движения в сторону автоматизации на базе LLM.
#MDR #ml
google.github.io
Agent Development Kit
Build powerful multi-agent systems with Agent Development Kit
🔥6👍4
Готовить презентации и рассказывать их на конференциях - далеко не основная моя работа, хотя рассказать, конечно же есть о чем, отчасти поэтому я веду этот блог. Но ситуация еще хуже: я не люблю один и тот же контент рассказывать несколько раз - последующие разы уже что-то не то, не позволяет совесть акцентировать претензию на новизну, и как-то немного не удобно перед слушателями, так как они не первые (хотя, вполне возможно, это какие-то мои личные заморочки)
Но всегда есть исключения и всегда что-то делается впервые, - так получилось и с контентом, что я подготовил на конфренцию в Сеуле, который я уже успел рассказать несколько раз и по-английски, и по-русски, только, вот, на испанском, не было возможности 😁, причем, во всех случаях будет запись, обязательно поделюсь.
В презентации я посмотрел на статистику инцидентов MDR с 2020 года (самих данных уже нет, но есть статистики, используемые для аналитических отчетов), заметил какие-то закономерности и попытался их проверить на первом квартале 2025. Вообще, если считать будущее следствием настоящего, то подобные упражнения по анализу трендов очень полезны. Даже то, насколько наши оценки ошибочны, дает косвенное понимание насколько искажены или не полны наши данные, на которых мы строим прогноз. Ну, а если прогнозы сбываются, то, мы на правильном пути и профессиональны.
У меня синдром отличника, имея достаточный опыт публичных выступлений, я все равно готовлю себе речь, независимо от того будет ли возможность ее прочесть (даже если она есть, я крайне редко читаю, так как не умею это делать и считаю это неуважением к аудитории). Однако, эта речь всегда очень полезна последователям, кто желает мои слайды вставить в какие-то свои материалы, ибо есть текст, способный справиться даже с полным отсутствием понимания.
Во вложении я делюсь и слайдами и текстом. Текст писался для себя, там куча ошибок и ввиду того, что английский - не мой родной, и ввиду того, что исправлять их сейчас лень, да и их наличие не влияет на смысл.
Вообще, статистик и аналитики можно построить множество, это, так сказать, первый блин комом, поэтому продолжу искать тенденции и делиться ими. Да и к этим слайдам, думаю, буду еще не раз возвращаться.
#MDR #мир #vCISO
Но всегда есть исключения и всегда что-то делается впервые, - так получилось и с контентом, что я подготовил на конфренцию в Сеуле, который я уже успел рассказать несколько раз и по-английски, и по-русски, только, вот, на испанском, не было возможности 😁, причем, во всех случаях будет запись, обязательно поделюсь.
В презентации я посмотрел на статистику инцидентов MDR с 2020 года (самих данных уже нет, но есть статистики, используемые для аналитических отчетов), заметил какие-то закономерности и попытался их проверить на первом квартале 2025. Вообще, если считать будущее следствием настоящего, то подобные упражнения по анализу трендов очень полезны. Даже то, насколько наши оценки ошибочны, дает косвенное понимание насколько искажены или не полны наши данные, на которых мы строим прогноз. Ну, а если прогнозы сбываются, то, мы на правильном пути и профессиональны.
У меня синдром отличника, имея достаточный опыт публичных выступлений, я все равно готовлю себе речь, независимо от того будет ли возможность ее прочесть (даже если она есть, я крайне редко читаю, так как не умею это делать и считаю это неуважением к аудитории). Однако, эта речь всегда очень полезна последователям, кто желает мои слайды вставить в какие-то свои материалы, ибо есть текст, способный справиться даже с полным отсутствием понимания.
Во вложении я делюсь и слайдами и текстом. Текст писался для себя, там куча ошибок и ввиду того, что английский - не мой родной, и ввиду того, что исправлять их сейчас лень, да и их наличие не влияет на смысл.
Вообще, статистик и аналитики можно построить множество, это, так сказать, первый блин комом, поэтому продолжу искать тенденции и делиться ими. Да и к этим слайдам, думаю, буду еще не раз возвращаться.
#MDR #мир #vCISO
Telegram
Солдатов в Телеграм
Кстати, если, вдруг, вы будете в Сеуле в период с 14 по 17 мая, то я здесь.
Слайды уже подготовил. Если кратко, то я буду рассказывать о том, как оглядываясь назад мы можем предсказывать будущее.
Пишите, если будете на мероприятии, точно найдем возможность…
Слайды уже подготовил. Если кратко, то я буду рассказывать о том, как оглядываясь назад мы можем предсказывать будущее.
Пишите, если будете на мероприятии, точно найдем возможность…
👍7❤5
Гибридный SOC 2025
В прошлом году мы много говорили о том, что все SOC - гибридные (видео , статья , Gartner в тему ) и, видимо, наши аргументы показались Сообществу убедительными, так что уже в этом году гибридные SOC обсуждали на ежегодных посиделках Anti-Malware.
А 26.06 в 11.00 МСК на CISO Club будет вебинар - Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы , где будет принимать участие мой друг и коллега - Алексей Пешик.
Темы заявлены мне небезразличные, и мы их касались, поэтому интересно послушать мнения уважаемых коллег.
Я зарегистрировался...
#MDR #ml #vCISO
В прошлом году мы много говорили о том, что все SOC - гибридные (видео , статья , Gartner в тему ) и, видимо, наши аргументы показались Сообществу убедительными, так что уже в этом году гибридные SOC обсуждали на ежегодных посиделках Anti-Malware.
А 26.06 в 11.00 МСК на CISO Club будет вебинар - Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы , где будет принимать участие мой друг и коллега - Алексей Пешик.
Темы заявлены мне небезразличные, и мы их касались, поэтому интересно послушать мнения уважаемых коллег.
Я зарегистрировался...
#MDR #ml #vCISO
👍4
Плейбук на срабатывание антивируса
Положительные стороны унификации процессов ИБ понятны, наверно, так как все это делают(не может же это происходить исключительно по инерции или из-за стадного инстинкта) . Но у всего есть и оборотная сторона, которая, судя по задаваемым вопросам, не всегда очевидна. В новой статье я попытался объяснить почему не может быть одного плейбука на все детекты антивируса.
В общем-то, логика очень простая: плейбук - это план реагирования на инцидент, а детект антивируса - это один из артефактов, по которому далеко не всегда можно сразу восстановить всю картину инцидента. Представляете себе доктора, который по одному симптому сразу назначает вам курс лечения? Только ситуация еще даже хуже. Поскольку разные детекты антивируса означают абсолютно разное, а плейбук почему-то один, то в предложенной аналогии, наш горе-доктор на любой симптом назначал бы одно и то же лечение: насморк - Амоксиклав, болит голова - Амоксиклав, диарея - Амоксиклав.... И это не смешно!
#vCISO #MDR
Положительные стороны унификации процессов ИБ понятны, наверно, так как все это делают
В общем-то, логика очень простая: плейбук - это план реагирования на инцидент, а детект антивируса - это один из артефактов, по которому далеко не всегда можно сразу восстановить всю картину инцидента. Представляете себе доктора, который по одному симптому сразу назначает вам курс лечения? Только ситуация еще даже хуже. Поскольку разные детекты антивируса означают абсолютно разное, а плейбук почему-то один, то в предложенной аналогии, наш горе-доктор на любой симптом назначал бы одно и то же лечение: насморк - Амоксиклав, болит голова - Амоксиклав, диарея - Амоксиклав.... И это не смешно!
#vCISO #MDR
Дзен | Статьи
Плейбук на срабатывание антивируса
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В подавляющем большинстве классификаций инцидентов, что мне попадались, можно встретить тип инцидента "вирусное заражение".
👍5
Kaspersky Cyber Insights 2025
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
BrightTALK
APAC Cyber Insights 2025 - BrightTALK
Next-Gen SOC: Intelligence in Action
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
👍8
Понятно очевидное желание обнаружения атаки на как можно более ранних стадиях. Но принципиальная проблема в том, что для того, чтобы вредоносную активность обнаружить она должна проявиться. Т.е. сначала мы наблюдаем какие-то техники атакующего, а затем, собственно, за эти самые техники мы его детектим. При этом, не умаляется возможность предотвращения атак на ранних стадиях, поскольку мы не стремимся к полному отсутствию вредоносной активности, но к тому, чтобы эта вредоносная активность не успевала нам нанести ущерб прежде чем мы ее обнаружим, локализуем и остановим.
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Дзен | Статьи
"Упреждающая киберзащита" от Gartner
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В 1956 году американский писатель Филип Дик опубликовал антиутопию "Особое мнение" (The Minority Report), а в 2002 году вдохновленный
👍7
Top Use Cases in Preemptive.pdf
503 KB
Gartner
Emerging Tech: Top Use Cases in Preemptive Cyber Defense
После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.
Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии, но, видимо, пережеванные LLM с целью придания им ощущения революционности.
Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.
#MDR
Emerging Tech: Top Use Cases in Preemptive Cyber Defense
После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.
Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии
Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.
#MDR
👍7
Грохот в джунглях
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
Securelist
SOC files: an APT41 attack on government IT services in Africa
Kaspersky experts analyze an incident that saw APT41 launch a targeted attack on government IT services in Africa.
👍6🔥3
Конверсия пилотов
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
Telegram
Солдатов в Телеграм
Конверсия, Вклад и Адаптация
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
👍2
«Вторая зима» искусственного интеллекта…
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!Интересно, от эксперта SOC до музыканта-любителя, это как по карьерной лестнице: вверх или вниз?
#музыка #ml #MDR
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!
#музыка #ml #MDR
👍9🔥4😁3