Добрый день, диссертация любого кандидата наук, если не засекречена, то лежит в открытом доступе. Вы ведь хорошо об этом знаете?
Почитайте диссертации по 05.13.19, и можно тот еще паспорт специальности, который был до 2021 года, до 2.3.6 и поймете о чем я, могу даже подборку докторских прислать, хотите? Там математики маловато, как мне кажется. Но у меня все-таки нельзя сказать, что было нулевое все, нет, я же изучала отдельно многие дисциплины. Но, конечно же, я не сидела с задачникам кудрявцева до защиты. Просто после защиты мне понадобилось гораздо больше, а для этого надо все заново систематизировать, особенно если вам уже 39-40 лет.
Да, пропущен, ведь основная задача разработать модели обнаружения, а несмотря на зоопарк шифровальщиков у них не так чтобы слишком много разных процессов на этапе шифрования. Я в следующей статье расскажу об этих признаках
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Тогда по этой логике специалисты есть только в Groub IB (FACCT)? Печаль, а мы то в РФ остались все бессильные и не опытные. Хорошо, что на вас можно всегда положиться.
Спасибо, очень развернутая аргументация. Вы правы и подходы к классификации сформировались задолго до ГОСТа, и прогнозы должны строиться на объемной аналитике. Однако не всегда объемная аналитика должна формироваться только на данных из дарквеб'а, данных T.I. Как же мы тогда будем готовить будущие кадры, экспертов? Они должны будут платить как-то за доступ к этим данным. Или тогда мы говорим, что аналитика может быть только от двух, трех компаний вендоров и все? А сотрудники в организациях, в гос органах, если они видят другую аналитику - они не видят? Они не могут строить прогнозы? по поводу 4) - соглашусь с Вами и внесу уточнение в статью, все-таки если мы начнем хотя бы сейчас что-то из классификации приводить в порядок, то в будущем и в новых ГОСТах данные обновятся
Кстати читала, и проблема в том, что в разработке моделей обнаружения, тогда когда мы выбираем признаки, нам надо на чем-то остановиться. Мы в итоге выбрали то, что выбирают многие: процессы и события. У нас с Вами разный возраст, согласна. Разная экспертиза, я не реверс-инженер и даже не претендую на это звание. Мне бы как-то пожар остановить и вот кстати отчеты Вашей компании, как и книги, мы читаем и постоянно обновляем признаковое пространство. По поводу терминологии, супер, предлагайте, у Вас есть опыт публикаций, можно сделать даже отдельный словарь, как всем можно говорить, а как нельзя. Это не всегда в итоге помогает и не все начинают использовать общую терминологию, но зато будет на что опираться.
Добрый день, пусть меня измажут, Вас не тронут, не переживайте. Спасибо за комментарий, Вы правы в утверждении (1) и не правы одновременно, есть некоторый набор определений, не мной предложенный, и Ваше - пример, часть. ФСТЭК утверждает, что
Компьютерный вирус (Computer Virus)
программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам
ГОСТ Р 51188-98 Вы правы по пункту (2), но я не говорю, про то, что это будет инновацией, я говорю в прогнозе, про то, что это станет заметно пользователям устройств, которые также увидят сообщение на своих устройствах. Более того - прогноз - Предсказание о развитии и исходе каких-нибудь событий, явлений на основании имеющихся данных. (Толковый словарь Ушакова) (3) Вам виднее, я опиралась на данные исследований, могу сделать выгрузку источников, тут даже есть одна статья, с ней можно познакомится, она не полная, но в открытом доступе (Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023. ) (4) - вопрос классификации спорный, изначально не я вайперы отнесла к вымогателям, но вообще-то я в этом пункте соглашусь с Вами, нет компонента вымогателя. Думаю в будущем будет уточнена классификация, однако же это не моя задача.
"Давайте будем хоть как-то уважать ИБ..."
Давайте, можем начать сейчас. Спасибо, что читаете хабр и делитесь мнением.
Добрый день, спасибо за комментарий, если Вы поделитесь контактами, то в следующий раз обязательно посоветуюсь с Вами. "Нельзя бороться с пожаром, дождавшись, когда он разгорится полностью" - вопрос сложный, при обнаружении шифровальщика мы учитываем жизненный цикл атаки, но его этапы пересекаются со множеством других атак и нет смысла в системе кричать об атаке шифровальщика, если это T1566, например. Вы правы, но тут вроде бы и нет противоречия, " шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки". Как бы Вы как взрослый, опытный эксперт разделили жизненный цикл такой атаки? Я опиралась на научные статьи, но возможно исследователи все не правы (список научных статьей и даже выгрузку готова прислать), давайте тогда вместе проанализируем взгляд ученых и потом предложим свою терминологию, классификацию, модель.
Я думаю, что нет, преподаватель сейчас далек от науки. Преподаватель в аспирантуре, конечно ближе. А на уровне бакалавриата, специалитета, курсов - это не про науку. Наука требует большей вовлеченности и погруженности, чем то время, которое на нее готов выделить преподаватель, занятый 40 часов в неделю лекциями и работой со студентами. Дело не в талантах, каждый преподаватель способный к науке человек, но ведь фокус внимания на других задачах...
тут вопрос не простой, чаще всего все про тензеры начинается с линейной алгебры и, если идти с начала, то надо смотреть аналитическую геометрию+линейную алгебру. У Кожевникова П.А. есть лекция 15 в курсе по линейной алгебре и она уже прям про тензоры. И ее не понять, если не смотреть 14 лекций до (наверное). Но можно посмотреть ролик про тензор, в нем дается визуальное представление (можно запустить перевод от яндекса в браузере, или смотреть в оригинале на английском). Для воспоминаний по линейной алгебре посмотрите тот плейлист, который я давала про сущность линейной алгебры (он на русском и хорошо переведен). Есть такой плейлист, он тоже на английском, но зато полностью про тензоры. Просто большинство видео все-таки уже с формулами, а эти с рисунками и с картинками. Визуализация в начале помогает сформировать "ландшафт". Вот тут как раз поясняется на 17 минуте когда появляется тензор, и это последний ролик в плейлисте про линейную алгебру.
Я, к сожалению, с ними не столкнулась в процессе. Может добавим ссылку здесь, в комментариях? Сможете? Я надеюсь, что кому то будет полезна и статья и наши комментарии. Я нашла плейлист Станислава Валерьевича Шапошникова про матанализ, это он?
Да, в статье от школы и до середина 2 курса. Все, что дальше по программе в универе, я не описывала, тк тогда в 8 месяцев никак не уложиться. Хотелось описать программу меньше, чем на год, ну максимум на год. Как некий старт для любителя и увлеченного человека.
Я в следующих двух статьях как раз расскажу как можно использовать технологии ML с обучением (на инцидентах), по мне так без ML сейчас уже не обойтись. Базовой аналитики недостаточно.
По второму вопросу соглашусь с Вами, я все таки сторонник реального импортозамещения и верю, что в наших силах создавать прекрасные решения. Можно конечно брать и базовые открытые вещи, но в России очень большая и сильные математические и инженерные школы, все можно делать гораздо лучше чем то, что перекрашивают "из коробки".
Проблема с моделированием и с созданием наборов данных очень актуальная. Брать в чистом виде то, что лежит в открытом доступе для ueba не получается. Тк в наших инфраструктурах слишком все-таки много специфических процессов, традиций работы и функций у устройств. Мы делаем наборы сами, над этой задачей работает 2 полноценных группы и есть свой киберполигон. Про студентов у меня даже были публикации в научных журналах за рубежом на эту тему. Мы с коллегами из СПб ФИЦ РАН (Лаборатория проблем компьютерной безопасности) в свое время показали как размечают наборы студенты и доказали, что вообще-то нейросеть справляется лучше ) Но это было по ботам в социальных сетях. Отдельно как нибудь расскажу, покажу результаты экспериментов. Было интересно.
Добрый день, диссертация любого кандидата наук, если не засекречена, то лежит в открытом доступе. Вы ведь хорошо об этом знаете?
Почитайте диссертации по 05.13.19, и можно тот еще паспорт специальности, который был до 2021 года, до 2.3.6 и поймете о чем я, могу даже подборку докторских прислать, хотите? Там математики маловато, как мне кажется. Но у меня все-таки нельзя сказать, что было нулевое все, нет, я же изучала отдельно многие дисциплины. Но, конечно же, я не сидела с задачникам кудрявцева до защиты. Просто после защиты мне понадобилось гораздо больше, а для этого надо все заново систематизировать, особенно если вам уже 39-40 лет.
Да, пропущен, ведь основная задача разработать модели обнаружения, а несмотря на зоопарк шифровальщиков у них не так чтобы слишком много разных процессов на этапе шифрования. Я в следующей статье расскажу об этих признаках
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Тогда по этой логике специалисты есть только в Groub IB (FACCT)? Печаль, а мы то в РФ остались все бессильные и не опытные. Хорошо, что на вас можно всегда положиться.
Спасибо, очень развернутая аргументация. Вы правы и подходы к классификации сформировались задолго до ГОСТа, и прогнозы должны строиться на объемной аналитике. Однако не всегда объемная аналитика должна формироваться только на данных из дарквеб'а, данных T.I. Как же мы тогда будем готовить будущие кадры, экспертов? Они должны будут платить как-то за доступ к этим данным. Или тогда мы говорим, что аналитика может быть только от двух, трех компаний вендоров и все? А сотрудники в организациях, в гос органах, если они видят другую аналитику - они не видят? Они не могут строить прогнозы?
по поводу 4) - соглашусь с Вами и внесу уточнение в статью, все-таки если мы начнем хотя бы сейчас что-то из классификации приводить в порядок, то в будущем и в новых ГОСТах данные обновятся
Кстати читала, и проблема в том, что в разработке моделей обнаружения, тогда когда мы выбираем признаки, нам надо на чем-то остановиться. Мы в итоге выбрали то, что выбирают многие: процессы и события. У нас с Вами разный возраст, согласна. Разная экспертиза, я не реверс-инженер и даже не претендую на это звание. Мне бы как-то пожар остановить и вот кстати отчеты Вашей компании, как и книги, мы читаем и постоянно обновляем признаковое пространство.
По поводу терминологии, супер, предлагайте, у Вас есть опыт публикаций, можно сделать даже отдельный словарь, как всем можно говорить, а как нельзя. Это не всегда в итоге помогает и не все начинают использовать общую терминологию, но зато будет на что опираться.
Добрый день, пусть меня измажут, Вас не тронут, не переживайте. Спасибо за комментарий, Вы правы в утверждении (1) и не правы одновременно, есть некоторый набор определений, не мной предложенный, и Ваше - пример, часть. ФСТЭК утверждает, что
Компьютерный вирус (Computer Virus)
программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам
ГОСТ Р 51188-98
Вы правы по пункту (2), но я не говорю, про то, что это будет инновацией, я говорю в прогнозе, про то, что это станет заметно пользователям устройств, которые также увидят сообщение на своих устройствах. Более того - прогноз - Предсказание о развитии и исходе каких-нибудь событий, явлений на основании имеющихся данных. (Толковый словарь Ушакова)
(3) Вам виднее, я опиралась на данные исследований, могу сделать выгрузку источников, тут даже есть одна статья, с ней можно познакомится, она не полная, но в открытом доступе (Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023. )
(4) - вопрос классификации спорный, изначально не я вайперы отнесла к вымогателям, но вообще-то я в этом пункте соглашусь с Вами, нет компонента вымогателя. Думаю в будущем будет уточнена классификация, однако же это не моя задача.
"Давайте будем хоть как-то уважать ИБ..."
Давайте, можем начать сейчас. Спасибо, что читаете хабр и делитесь мнением.
Добрый день, спасибо за комментарий, если Вы поделитесь контактами, то в следующий раз обязательно посоветуюсь с Вами. "Нельзя бороться с пожаром, дождавшись, когда он разгорится полностью" - вопрос сложный, при обнаружении шифровальщика мы учитываем жизненный цикл атаки, но его этапы пересекаются со множеством других атак и нет смысла в системе кричать об атаке шифровальщика, если это T1566, например. Вы правы, но тут вроде бы и нет противоречия, " шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки".
Как бы Вы как взрослый, опытный эксперт разделили жизненный цикл такой атаки? Я опиралась на научные статьи, но возможно исследователи все не правы (список научных статьей и даже выгрузку готова прислать), давайте тогда вместе проанализируем взгляд ученых и потом предложим свою терминологию, классификацию, модель.
Супер, очень интересная подборка получилась!
Согласна, мне кажется трек CISO еще только вырисовывается, сейчас больше метод проб и ошибок используется.
Я думаю, что нет, преподаватель сейчас далек от науки. Преподаватель в аспирантуре, конечно ближе. А на уровне бакалавриата, специалитета, курсов - это не про науку. Наука требует большей вовлеченности и погруженности, чем то время, которое на нее готов выделить преподаватель, занятый 40 часов в неделю лекциями и работой со студентами. Дело не в талантах, каждый преподаватель способный к науке человек, но ведь фокус внимания на других задачах...
А на карте будет учитываться наука, аспирантура, может добавим?
тут вопрос не простой, чаще всего все про тензеры начинается с линейной алгебры и, если идти с начала, то надо смотреть аналитическую геометрию+линейную алгебру. У Кожевникова П.А. есть лекция 15 в курсе по линейной алгебре и она уже прям про тензоры. И ее не понять, если не смотреть 14 лекций до (наверное).
Но можно посмотреть ролик про тензор, в нем дается визуальное представление (можно запустить перевод от яндекса в браузере, или смотреть в оригинале на английском).
Для воспоминаний по линейной алгебре посмотрите тот плейлист, который я давала про сущность линейной алгебры (он на русском и хорошо переведен). Есть такой плейлист, он тоже на английском, но зато полностью про тензоры. Просто большинство видео все-таки уже с формулами, а эти с рисунками и с картинками. Визуализация в начале помогает сформировать "ландшафт". Вот тут как раз поясняется на 17 минуте когда появляется тензор, и это последний ролик в плейлисте про линейную алгебру.
Я, к сожалению, с ними не столкнулась в процессе. Может добавим ссылку здесь, в комментариях? Сможете? Я надеюсь, что кому то будет полезна и статья и наши комментарии. Я нашла плейлист Станислава Валерьевича Шапошникова про матанализ, это он?
Да, в статье от школы и до середина 2 курса. Все, что дальше по программе в универе, я не описывала, тк тогда в 8 месяцев никак не уложиться. Хотелось описать программу меньше, чем на год, ну максимум на год. Как некий старт для любителя и увлеченного человека.
так расскажите об остальном? Может есть даже где почитать вашу систематизацию направлений? ?
Я в следующих двух статьях как раз расскажу как можно использовать технологии ML с обучением (на инцидентах), по мне так без ML сейчас уже не обойтись. Базовой аналитики недостаточно.
По второму вопросу соглашусь с Вами, я все таки сторонник реального импортозамещения и верю, что в наших силах создавать прекрасные решения. Можно конечно брать и базовые открытые вещи, но в России очень большая и сильные математические и инженерные школы, все можно делать гораздо лучше чем то, что перекрашивают "из коробки".
Проблема с моделированием и с созданием наборов данных очень актуальная. Брать в чистом виде то, что лежит в открытом доступе для ueba не получается. Тк в наших инфраструктурах слишком все-таки много специфических процессов, традиций работы и функций у устройств. Мы делаем наборы сами, над этой задачей работает 2 полноценных группы и есть свой киберполигон. Про студентов у меня даже были публикации в научных журналах за рубежом на эту тему. Мы с коллегами из СПб ФИЦ РАН (Лаборатория проблем компьютерной безопасности) в свое время показали как размечают наборы студенты и доказали, что вообще-то нейросеть справляется лучше ) Но это было по ботам в социальных сетях. Отдельно как нибудь расскажу, покажу результаты экспериментов. Было интересно.