Добрый день, спасибо за комментарий, в исследовании обратная связь от центров мониторинга была исключена намерено. Полезные или не полезные отчеты каждый делает для себя сам, для нас исследование было полезным, для некоторых компаний, которые смотрят на развитие продуктового портфеля и технологий - также было полезным.
С последним прям согласна (про доклады, которые делают не технические специалисты), но все-таки отчет для тех, кто только создает SOC или выбирает, или думает как развивать продукты ИБ, что занято, что свободно. И для тех, кто думает как бы сделать так, чтобы определение инцидента было стандартным для государства, а не разным "на усмотрение команд". Когда придет время сделать отчет с участием всех SOC центров, то кто-то из маркетинговых компаний придет в компании и соберет информацию. Это разные форматы исследований, как вы знаете (аналитическое исследование/сравнительное исследование/экспресс-опрос,пилотажное исследование и тд.).
Добрый день, разница в том, что вам скажет сам поставщик услуг и о чем вам не скажет. Плюс отчет составлен за временной промежуток, вот если вы сделаете запросы осенью 2024 и сравните с тем, о чем говорилось в выступлениях осенью 2022, то вы увидите, что рывок был сделан огромный всеми. А это многое говорит о тенденциях на рынке в стране в целом. Ценность отчета в том, чтобы вы могли посмотреть, сделать свой анализ и обладая другой информацией сделать свои выводы. Мы не публиковали все свои мысли, пусть они останутся с нами, мы предоставили материал для них.
Добрый день, диссертация любого кандидата наук, если не засекречена, то лежит в открытом доступе. Вы ведь хорошо об этом знаете?
Почитайте диссертации по 05.13.19, и можно тот еще паспорт специальности, который был до 2021 года, до 2.3.6 и поймете о чем я, могу даже подборку докторских прислать, хотите? Там математики маловато, как мне кажется. Но у меня все-таки нельзя сказать, что было нулевое все, нет, я же изучала отдельно многие дисциплины. Но, конечно же, я не сидела с задачникам кудрявцева до защиты. Просто после защиты мне понадобилось гораздо больше, а для этого надо все заново систематизировать, особенно если вам уже 39-40 лет.
Да, пропущен, ведь основная задача разработать модели обнаружения, а несмотря на зоопарк шифровальщиков у них не так чтобы слишком много разных процессов на этапе шифрования. Я в следующей статье расскажу об этих признаках
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Тогда по этой логике специалисты есть только в Groub IB (FACCT)? Печаль, а мы то в РФ остались все бессильные и не опытные. Хорошо, что на вас можно всегда положиться.
Спасибо, очень развернутая аргументация. Вы правы и подходы к классификации сформировались задолго до ГОСТа, и прогнозы должны строиться на объемной аналитике. Однако не всегда объемная аналитика должна формироваться только на данных из дарквеб'а, данных T.I. Как же мы тогда будем готовить будущие кадры, экспертов? Они должны будут платить как-то за доступ к этим данным. Или тогда мы говорим, что аналитика может быть только от двух, трех компаний вендоров и все? А сотрудники в организациях, в гос органах, если они видят другую аналитику - они не видят? Они не могут строить прогнозы? по поводу 4) - соглашусь с Вами и внесу уточнение в статью, все-таки если мы начнем хотя бы сейчас что-то из классификации приводить в порядок, то в будущем и в новых ГОСТах данные обновятся
Кстати читала, и проблема в том, что в разработке моделей обнаружения, тогда когда мы выбираем признаки, нам надо на чем-то остановиться. Мы в итоге выбрали то, что выбирают многие: процессы и события. У нас с Вами разный возраст, согласна. Разная экспертиза, я не реверс-инженер и даже не претендую на это звание. Мне бы как-то пожар остановить и вот кстати отчеты Вашей компании, как и книги, мы читаем и постоянно обновляем признаковое пространство. По поводу терминологии, супер, предлагайте, у Вас есть опыт публикаций, можно сделать даже отдельный словарь, как всем можно говорить, а как нельзя. Это не всегда в итоге помогает и не все начинают использовать общую терминологию, но зато будет на что опираться.
Добрый день, пусть меня измажут, Вас не тронут, не переживайте. Спасибо за комментарий, Вы правы в утверждении (1) и не правы одновременно, есть некоторый набор определений, не мной предложенный, и Ваше - пример, часть. ФСТЭК утверждает, что
Компьютерный вирус (Computer Virus)
программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам
ГОСТ Р 51188-98 Вы правы по пункту (2), но я не говорю, про то, что это будет инновацией, я говорю в прогнозе, про то, что это станет заметно пользователям устройств, которые также увидят сообщение на своих устройствах. Более того - прогноз - Предсказание о развитии и исходе каких-нибудь событий, явлений на основании имеющихся данных. (Толковый словарь Ушакова) (3) Вам виднее, я опиралась на данные исследований, могу сделать выгрузку источников, тут даже есть одна статья, с ней можно познакомится, она не полная, но в открытом доступе (Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023. ) (4) - вопрос классификации спорный, изначально не я вайперы отнесла к вымогателям, но вообще-то я в этом пункте соглашусь с Вами, нет компонента вымогателя. Думаю в будущем будет уточнена классификация, однако же это не моя задача.
"Давайте будем хоть как-то уважать ИБ..."
Давайте, можем начать сейчас. Спасибо, что читаете хабр и делитесь мнением.
Добрый день, спасибо за комментарий, если Вы поделитесь контактами, то в следующий раз обязательно посоветуюсь с Вами. "Нельзя бороться с пожаром, дождавшись, когда он разгорится полностью" - вопрос сложный, при обнаружении шифровальщика мы учитываем жизненный цикл атаки, но его этапы пересекаются со множеством других атак и нет смысла в системе кричать об атаке шифровальщика, если это T1566, например. Вы правы, но тут вроде бы и нет противоречия, " шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки". Как бы Вы как взрослый, опытный эксперт разделили жизненный цикл такой атаки? Я опиралась на научные статьи, но возможно исследователи все не правы (список научных статьей и даже выгрузку готова прислать), давайте тогда вместе проанализируем взгляд ученых и потом предложим свою терминологию, классификацию, модель.
Я думаю, что нет, преподаватель сейчас далек от науки. Преподаватель в аспирантуре, конечно ближе. А на уровне бакалавриата, специалитета, курсов - это не про науку. Наука требует большей вовлеченности и погруженности, чем то время, которое на нее готов выделить преподаватель, занятый 40 часов в неделю лекциями и работой со студентами. Дело не в талантах, каждый преподаватель способный к науке человек, но ведь фокус внимания на других задачах...
тут вопрос не простой, чаще всего все про тензеры начинается с линейной алгебры и, если идти с начала, то надо смотреть аналитическую геометрию+линейную алгебру. У Кожевникова П.А. есть лекция 15 в курсе по линейной алгебре и она уже прям про тензоры. И ее не понять, если не смотреть 14 лекций до (наверное). Но можно посмотреть ролик про тензор, в нем дается визуальное представление (можно запустить перевод от яндекса в браузере, или смотреть в оригинале на английском). Для воспоминаний по линейной алгебре посмотрите тот плейлист, который я давала про сущность линейной алгебры (он на русском и хорошо переведен). Есть такой плейлист, он тоже на английском, но зато полностью про тензоры. Просто большинство видео все-таки уже с формулами, а эти с рисунками и с картинками. Визуализация в начале помогает сформировать "ландшафт". Вот тут как раз поясняется на 17 минуте когда появляется тензор, и это последний ролик в плейлисте про линейную алгебру.
Я, к сожалению, с ними не столкнулась в процессе. Может добавим ссылку здесь, в комментариях? Сможете? Я надеюсь, что кому то будет полезна и статья и наши комментарии. Я нашла плейлист Станислава Валерьевича Шапошникова про матанализ, это он?
Да, в статье от школы и до середина 2 курса. Все, что дальше по программе в универе, я не описывала, тк тогда в 8 месяцев никак не уложиться. Хотелось описать программу меньше, чем на год, ну максимум на год. Как некий старт для любителя и увлеченного человека.
Добрый день, спасибо за комментарий, в исследовании обратная связь от центров мониторинга была исключена намерено. Полезные или не полезные отчеты каждый делает для себя сам, для нас исследование было полезным, для некоторых компаний, которые смотрят на развитие продуктового портфеля и технологий - также было полезным.
С последним прям согласна (про доклады, которые делают не технические специалисты), но все-таки отчет для тех, кто только создает SOC или выбирает, или думает как развивать продукты ИБ, что занято, что свободно. И для тех, кто думает как бы сделать так, чтобы определение инцидента было стандартным для государства, а не разным "на усмотрение команд". Когда придет время сделать отчет с участием всех SOC центров, то кто-то из маркетинговых компаний придет в компании и соберет информацию. Это разные форматы исследований, как вы знаете (аналитическое исследование/сравнительное исследование/экспресс-опрос,пилотажное исследование и тд.).
Добрый день, разница в том, что вам скажет сам поставщик услуг и о чем вам не скажет. Плюс отчет составлен за временной промежуток, вот если вы сделаете запросы осенью 2024 и сравните с тем, о чем говорилось в выступлениях осенью 2022, то вы увидите, что рывок был сделан огромный всеми. А это многое говорит о тенденциях на рынке в стране в целом. Ценность отчета в том, чтобы вы могли посмотреть, сделать свой анализ и обладая другой информацией сделать свои выводы. Мы не публиковали все свои мысли, пусть они останутся с нами, мы предоставили материал для них.
Подождать некоторое время
Добрый день, диссертация любого кандидата наук, если не засекречена, то лежит в открытом доступе. Вы ведь хорошо об этом знаете?
Почитайте диссертации по 05.13.19, и можно тот еще паспорт специальности, который был до 2021 года, до 2.3.6 и поймете о чем я, могу даже подборку докторских прислать, хотите? Там математики маловато, как мне кажется. Но у меня все-таки нельзя сказать, что было нулевое все, нет, я же изучала отдельно многие дисциплины. Но, конечно же, я не сидела с задачникам кудрявцева до защиты. Просто после защиты мне понадобилось гораздо больше, а для этого надо все заново систематизировать, особенно если вам уже 39-40 лет.
Да, пропущен, ведь основная задача разработать модели обнаружения, а несмотря на зоопарк шифровальщиков у них не так чтобы слишком много разных процессов на этапе шифрования. Я в следующей статье расскажу об этих признаках
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Так вот тут уже интереснее, а давайте Вы и назовете компанию, в которой работаете. Я вот из Газинформсервис и не скрываю, другой комментатор к этой статье тоже не скрывается, у нее история большая на Хабре, а Вы?
Тогда по этой логике специалисты есть только в Groub IB (FACCT)? Печаль, а мы то в РФ остались все бессильные и не опытные. Хорошо, что на вас можно всегда положиться.
Спасибо, очень развернутая аргументация. Вы правы и подходы к классификации сформировались задолго до ГОСТа, и прогнозы должны строиться на объемной аналитике. Однако не всегда объемная аналитика должна формироваться только на данных из дарквеб'а, данных T.I. Как же мы тогда будем готовить будущие кадры, экспертов? Они должны будут платить как-то за доступ к этим данным. Или тогда мы говорим, что аналитика может быть только от двух, трех компаний вендоров и все? А сотрудники в организациях, в гос органах, если они видят другую аналитику - они не видят? Они не могут строить прогнозы?
по поводу 4) - соглашусь с Вами и внесу уточнение в статью, все-таки если мы начнем хотя бы сейчас что-то из классификации приводить в порядок, то в будущем и в новых ГОСТах данные обновятся
Кстати читала, и проблема в том, что в разработке моделей обнаружения, тогда когда мы выбираем признаки, нам надо на чем-то остановиться. Мы в итоге выбрали то, что выбирают многие: процессы и события. У нас с Вами разный возраст, согласна. Разная экспертиза, я не реверс-инженер и даже не претендую на это звание. Мне бы как-то пожар остановить и вот кстати отчеты Вашей компании, как и книги, мы читаем и постоянно обновляем признаковое пространство.
По поводу терминологии, супер, предлагайте, у Вас есть опыт публикаций, можно сделать даже отдельный словарь, как всем можно говорить, а как нельзя. Это не всегда в итоге помогает и не все начинают использовать общую терминологию, но зато будет на что опираться.
Добрый день, пусть меня измажут, Вас не тронут, не переживайте. Спасибо за комментарий, Вы правы в утверждении (1) и не правы одновременно, есть некоторый набор определений, не мной предложенный, и Ваше - пример, часть. ФСТЭК утверждает, что
Компьютерный вирус (Computer Virus)
программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам
ГОСТ Р 51188-98
Вы правы по пункту (2), но я не говорю, про то, что это будет инновацией, я говорю в прогнозе, про то, что это станет заметно пользователям устройств, которые также увидят сообщение на своих устройствах. Более того - прогноз - Предсказание о развитии и исходе каких-нибудь событий, явлений на основании имеющихся данных. (Толковый словарь Ушакова)
(3) Вам виднее, я опиралась на данные исследований, могу сделать выгрузку источников, тут даже есть одна статья, с ней можно познакомится, она не полная, но в открытом доступе (Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023. )
(4) - вопрос классификации спорный, изначально не я вайперы отнесла к вымогателям, но вообще-то я в этом пункте соглашусь с Вами, нет компонента вымогателя. Думаю в будущем будет уточнена классификация, однако же это не моя задача.
"Давайте будем хоть как-то уважать ИБ..."
Давайте, можем начать сейчас. Спасибо, что читаете хабр и делитесь мнением.
Добрый день, спасибо за комментарий, если Вы поделитесь контактами, то в следующий раз обязательно посоветуюсь с Вами. "Нельзя бороться с пожаром, дождавшись, когда он разгорится полностью" - вопрос сложный, при обнаружении шифровальщика мы учитываем жизненный цикл атаки, но его этапы пересекаются со множеством других атак и нет смысла в системе кричать об атаке шифровальщика, если это T1566, например. Вы правы, но тут вроде бы и нет противоречия, " шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки".
Как бы Вы как взрослый, опытный эксперт разделили жизненный цикл такой атаки? Я опиралась на научные статьи, но возможно исследователи все не правы (список научных статьей и даже выгрузку готова прислать), давайте тогда вместе проанализируем взгляд ученых и потом предложим свою терминологию, классификацию, модель.
Супер, очень интересная подборка получилась!
Согласна, мне кажется трек CISO еще только вырисовывается, сейчас больше метод проб и ошибок используется.
Я думаю, что нет, преподаватель сейчас далек от науки. Преподаватель в аспирантуре, конечно ближе. А на уровне бакалавриата, специалитета, курсов - это не про науку. Наука требует большей вовлеченности и погруженности, чем то время, которое на нее готов выделить преподаватель, занятый 40 часов в неделю лекциями и работой со студентами. Дело не в талантах, каждый преподаватель способный к науке человек, но ведь фокус внимания на других задачах...
А на карте будет учитываться наука, аспирантура, может добавим?
тут вопрос не простой, чаще всего все про тензеры начинается с линейной алгебры и, если идти с начала, то надо смотреть аналитическую геометрию+линейную алгебру. У Кожевникова П.А. есть лекция 15 в курсе по линейной алгебре и она уже прям про тензоры. И ее не понять, если не смотреть 14 лекций до (наверное).
Но можно посмотреть ролик про тензор, в нем дается визуальное представление (можно запустить перевод от яндекса в браузере, или смотреть в оригинале на английском).
Для воспоминаний по линейной алгебре посмотрите тот плейлист, который я давала про сущность линейной алгебры (он на русском и хорошо переведен). Есть такой плейлист, он тоже на английском, но зато полностью про тензоры. Просто большинство видео все-таки уже с формулами, а эти с рисунками и с картинками. Визуализация в начале помогает сформировать "ландшафт". Вот тут как раз поясняется на 17 минуте когда появляется тензор, и это последний ролик в плейлисте про линейную алгебру.
Я, к сожалению, с ними не столкнулась в процессе. Может добавим ссылку здесь, в комментариях? Сможете? Я надеюсь, что кому то будет полезна и статья и наши комментарии. Я нашла плейлист Станислава Валерьевича Шапошникова про матанализ, это он?
Да, в статье от школы и до середина 2 курса. Все, что дальше по программе в универе, я не описывала, тк тогда в 8 месяцев никак не уложиться. Хотелось описать программу меньше, чем на год, ну максимум на год. Как некий старт для любителя и увлеченного человека.