В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции быстроного Ахиллеса, который, догоняя черепаху, всегда остается чуть позади.

Михаил Пименов, аналитик Security Vision

В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами специалистов Security Vision, которая базируется на экспертизе, полученной в результате десятков реальных внедрений систем класса IRP/SOAR

Алексей Баландин, архитектор продукта Security Vision

Михаил Пименов, аналитик Security Vision

Впервые слово килчейн (точнее, несколько слов: The Cyber Kill Chain) как термин появилось в далеком 2011 году, когда американская компания Lockheed-Martin впервые предложила выстроить зафиксированные в инфраструктуре события в единую цепочку атаки. Цепочка была довольно проста и включала в себя всего 7 звеньев: разведка, вооружение, доставка, эксплуатация, инсталляция, управление, действие. По сути, это было ответом на усложнившиеся хакерские атаки, которые использовали всё более изощренный инструментарий и многоходовые тактики атаки.

Подход, делящий атаку на некие этапы, оказался очень востребован, но не был лишен недостатков. Например, килчейн от Lockheed-Martin совершенно не учитывал внутреннего злоумышленника, атакующего изнутри инфраструктуры. Соответственно, другие игроки постарались развить и улучшить это метод. Так, уже в 2013 MITRE предложила свой вариант, представив последовательность из 14-ти тактик. Позже экспертом в области кибербезопасности Полом Поллзом (Paul Polls) был предложен гибридный вариант, объединяющий и расширяющий методики от Lockheed-Martin и MITRE, известный как The Unified Kill Chain.

Давайте порассуждаем о плюсах, минусах и подводных камнях килчейна как такового, а также попробуем разобрать реальный пример построения цепочки атаки.

Алексей Пешик, инженер-эксперт Security Vision

Михаил Пименов, аналитик Security Vision

В наши дни, когда благодаря интернету у каждого есть возможность высказаться, любое более-менее значимое событие, идея или продукт вызывают обсуждение с зачастую полярными точками зрения. Критики удается избежать только тем, кто ничего не делает (и то не всегда). Мнения разнятся даже относительно удобства и эффективности такого общепризнанного стандарта, как MITRE ATT&C, несмотря на то, что компания MITRE фактически создала целую область деятельности, в которой уже 10 лет удерживает лидирующие позиции. В этой статье мы представили критику, с которой сталкивались в процессе работы, и предлагаем порассуждать, насколько эта критика обоснованна и можно ли чем-то компенсировать слабые стороны фреймворка ATT&CK. С другой стороны, хотелось бы обратить внимание на альтернативные инструменты и методы решения задач.

Вступление

Одни из самых древних, обнаруженных антропологами, отчетов принадлежали инкам и представляли собой сложные верёвочные сплетения и узелки, изготовленные из шерсти альпака или ламы. За без малого пять тысяч лет человечество проделало долгий путь. Гаджеты стремительно ворвались в нашу жизнь, и теперь никого не удивит картина с человеком, изучающим диаграммы и таблицы на планшете, сидя в шезлонге на берегу моря. Давайте рассмотрим, какие же они — современные цифровые отчеты, какие новые возможности открывают, а также окунемся в специфику отчетности в сфере информационной безопасности и рассмотрим несколько реальных ситуаций с заказчиками.

Преимущества «цифры»

Электронные версии отчетов появились раньше, чем отпала необходимость в печати, и первым значительным преимуществом цифрового отчета была возможность предпросмотра. Данные можно было изучить и при необходимости подправить, прежде чем нести на стол начальнику. Но аппетит, как известно, приходит во время еды, и электронные носители стали сами подсказывать новые возможности.

К примеру, вы помните из исторических кинолент длиннющие свитки, по которым глашатаи зачитывали народу царскую волю? Такой вид документа был начисто лишен навигации: чтобы найти какое‑то конкретное место в документе, надо было пробегать его глазами, ориентируясь только на собственную память и смысл написанного. Когда люди научились резать свитки на равные куски (формата А4) и нумеровать их, появились оглавление и возможность ссылаться на определенные фрагменты текста. Так родилась навигация в документах. Электронные документы стали ещё удобнее, потому что переход по гиперссылке мгновенно переносил вас к нужной части текста.