Многие процессы, статьи и корпоративные легенды апеллируют к понятию «security champion», иногда утверждая, что человек с такой ролью способен сделать невозможное (как говорили и мы в статье о противостоянии разработки и безопасности). Но кто же на самом деле скрывается за этим понятием, какие задачи решает и каков в целом смысл его существования?

Алексей Пешик, инженер-эксперт Security Vision

Михаил Пименов, аналитик Security Vision

В наши дни, когда благодаря интернету у каждого есть возможность высказаться, любое более-менее значимое событие, идея или продукт вызывают обсуждение с зачастую полярными точками зрения. Критики удается избежать только тем, кто ничего не делает (и то не всегда). Мнения разнятся даже относительно удобства и эффективности такого общепризнанного стандарта, как MITRE ATT&C, несмотря на то, что компания MITRE фактически создала целую область деятельности, в которой уже 10 лет удерживает лидирующие позиции. В этой статье мы представили критику, с которой сталкивались в процессе работы, и предлагаем порассуждать, насколько эта критика обоснованна и можно ли чем-то компенсировать слабые стороны фреймворка ATT&CK. С другой стороны, хотелось бы обратить внимание на альтернативные инструменты и методы решения задач.

Иллюстратор: Ольга Фурман специально для Security Vision

Когда‑то народы разработчиков и безопасников жили в мире, но все изменилось, когда регулятор решил прорегулировать и их процессы тоже.

Алексей Пешик, инженер-эксперт Security Vision

Михаил Пименов, аналитик Security Vision

С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные, многоэтапные атаки. В связи с этим в методиках защиты информации за последние десять лет сильно возросла актуальность поведенческого анализа злоумышленников. Это, конечно, не означает, что поиск опасных сигнатур следует полностью списать со счетов — этот метод является прекрасной защитой от массовых и распространенных атак (когда, например, зараженное вирусом письмо рассылается по максимально большому количеству адресов), но в современных условиях это лишь первый барьер на пути злоумышленника. Если преступники будут достаточно мотивированы, настойчивы и изобретательны — они найдут способ проникнуть в вашу инфраструктуру, но даже в этом случае им можно помешать завладеть ценной информацией или уничтожить её. 

Пирамида боли

Давайте взглянем на диаграмму, очень хорошо знакомую всем аналитикам в сфере информационной безопасности, — пирамиду боли (злоумышленника). Смысл в том, что чем выше злоумышленник поднимается по ней, тем ему труднее продолжать атаку.

Например, в код вируса достаточно внести малейшие модификации, чтобы изменился хэш. Нет никаких сложностей в том, чтобы поменять IP-адрес, а при использовании VPN это происходит автоматически. Доменное имя заменить чуть сложнее, но провайдеры чаще всего не контролируют, кто регистрирует доменные имена, не говоря о том, что есть масса способов получить домен и вовсе бесплатно. С артефактами сети и хоста всё немного сложнее: если жертва выявила триггеры атаки и заблокировала подозрительный процесс, command line или url (чаще всего автоматически, исходя из настроек политик безопасности ИБ-софта), то преступник не сможет продолжать атаку, пока не перенастроит инструменты. Когда же жертва выявила, каким именно инструментом пользуется атакующий, для возобновления атаки придется видоизменить поведение инструмента. Например, когда используется инструмент с настройками по умолчанию, поведенческие индикаторы которого хорошо известны, злоумышленнику придется внести изменения в конфигурацию инструмента. Однако самым болезненным для преступника является ситуация, в которой защищающийся распознал технику и тактику атаки (TTP). 

OpenAI был основан 7 лет назад. На тот момент времени уже возникало понимание, что в сфере искусственного интеллекта происходит нечто важное, качественный прорыв. И создатели OpenAI (не более сотни человек в исследовательской лаборатории) поставили перед собой цель катализировать знания, использовав технологию языковых моделей для создания позитивного управляемого инструмента массового применения.

Прогресс в технологии machine learning радует, беспокоит и вызывает эти два чувства одновременно: сейчас весь мир определяет возможности технологии, которая в будущем будет одной из неотъемлемых частей нашей жизни. Хочется верить, что мы сможем использовать искусственный интеллект правильно, но встречаются совершенно разные кейсы его применения как на светлой, так и на темной стороне ИБ. Давайте посмотрим, что представляет собой ChatGPT сегодня и какие основополагающие принципы лежат в основе технологии.

Нередко в потоке рабочей рутины и при постоянном погружении в процесс опытный руководитель может сразу подметить первые признаки усталости и выгорания среди аналитиков и операторов SOC. С еще большей частотой команды, непрерывно, замотивированно и с энтузиазмом работающие над сложными или однообразными задачами, замечают свое «нерабочее» состояние уже по факту.

В сухом остатке получается, что команда преобразилась в группу бесконечно уставших людей, которым не помогают ни отпуск, ни деньги, и которые готовы прямо завтра «бросить это ваше ИБ» и уйти в закат. Казалось бы, работа в целом и не связана с помогающими профессиями, однако постоянный интеллектуальный труд, отягощаемый переработками, все же сказывается на состоянии работников вопреки отрицанию проблемы.

Вступление

Одни из самых древних, обнаруженных антропологами, отчетов принадлежали инкам и представляли собой сложные верёвочные сплетения и узелки, изготовленные из шерсти альпака или ламы. За без малого пять тысяч лет человечество проделало долгий путь. Гаджеты стремительно ворвались в нашу жизнь, и теперь никого не удивит картина с человеком, изучающим диаграммы и таблицы на планшете, сидя в шезлонге на берегу моря. Давайте рассмотрим, какие же они — современные цифровые отчеты, какие новые возможности открывают, а также окунемся в специфику отчетности в сфере информационной безопасности и рассмотрим несколько реальных ситуаций с заказчиками.

Преимущества «цифры»

Электронные версии отчетов появились раньше, чем отпала необходимость в печати, и первым значительным преимуществом цифрового отчета была возможность предпросмотра. Данные можно было изучить и при необходимости подправить, прежде чем нести на стол начальнику. Но аппетит, как известно, приходит во время еды, и электронные носители стали сами подсказывать новые возможности.

К примеру, вы помните из исторических кинолент длиннющие свитки, по которым глашатаи зачитывали народу царскую волю? Такой вид документа был начисто лишен навигации: чтобы найти какое‑то конкретное место в документе, надо было пробегать его глазами, ориентируясь только на собственную память и смысл написанного. Когда люди научились резать свитки на равные куски (формата А4) и нумеровать их, появились оглавление и возможность ссылаться на определенные фрагменты текста. Так родилась навигация в документах. Электронные документы стали ещё удобнее, потому что переход по гиперссылке мгновенно переносил вас к нужной части текста.

Злоумышленники постоянно развивают тактики и методы атак для проникновения в инфраструктуру компаний. Подразделения, отвечающие за информационную безопасность, чаще всего занимаются аналитикой угроз на основе корреляции индикаторов TI и данных инфраструктуры. Но не каждый IOC обогащен CVE и MITRE ATT&CK, что является большим упущением с точки зрения контекста обнаруженного индикатора. В этой статье мы выявим преимущества объединения решений Threat Intelligence Platform, CVE и MITRE ATT&CK для эффективного устранения угроз и улучшения киберзащиты.

Дорогие друзья, в предыдущей публикации мы рассмотрели первую часть стратегий, описанных в документе MITRE «11 стратегий SOC-центра мирового уровня». Двигаясь далее, разберем сегодня следующий набор рекомендаций MITRE: Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников», Стратегия №5 «Приоритизируйте реагирование на киберинциденты», Стратегия №6 «Используйте киберразведку для борьбы с атакующими», Стратегия №7 «Выбирайте и собирайте правильные данные». Начнем!

Дорогие друзья, этой статьей мы начинаем мини-цикл из нескольких постов, посвященных обзору публикации MITRE «11 стратегий SOC-центра мирового уровня». Данный документ является международно признанным сборником лучших практик по построению и управлению SOC-центрами, мониторингу и реагированию на кибератаки, обеспечению слаженной работы персонала, процессов и технологий SOC. В нем излагаются практические рекомендации на основе многолетнего опыта работы различных центров мониторинга и широкой экспертизы авторов публикации. В нашем сегодняшнем посте - обзор введения (условная «Стратегия №0») и первых трех стратегий из указанной публикации (Стратегия №1 «Знайте, что вы защищаете и почему», Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач», Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании»). Приступим!

Для начала спросим себя, зачем нам вообще оформлять права?

ООО «Восьмая заповедь» и еще несколько компаний ежедневно предъявляют исковые требования о нарушении прав на фотографии. В картотеке арбитражных дел зарегистрировано более 5000 исковых заявлений. Общая сумма исков более 100 млн рублей. Выигрывается 95% дел. Неужели ничего нельзя сделать?

Друзья, предлагаю вашему вниманию статью о Security Vision Threat Intelligence Platform (TIP)— обновленном продукте нашей компании. Рассказываем в ней о продуктах класса TIP, а также о том, что представляет собой решение Security Vision TIP и какие возможности оно дает бизнесу. Хочу подчеркнуть, что статья – плод командной работы Security Vision. Постарались рассказать подробно и по делу.

Добрый день Хабр. Сегодня, мы с вами окунемся в «О дивный мир» форензики. В данной статье Мы решили собрать программы, которые помогут Вам в проведении расследований и, что немаловажно, будут при этом бесплатными.

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.

Скорость развития и изменения киберпространства в последние годы поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд. Эволюция современного киберпространства и ландшафта киберугроз обусловлена в том числе и развитием инструментов создания новых, более совершенных технологий, что, в свою очередь, влечет за собой дальнейшее ускорение создания уже следующих поколений технологий и инструментов. Широкое использование высокоуровневых и сверхвысокоуровневых языков программирования, мощных фреймворков и сред разработки, развитие облачных инфраструктур и технологий виртуализации и контейнеризации позволяет выпустить новое приложение или сервис в беспрецедентно короткие сроки. С такой же скоростью множатся и киберугрозы, поскольку злоумышленники используют те же высокоэффективные инструменты разработки, но в своих целях. Это выводит уровень киберпротиводействия на новую ступень: если раньше противостояние со злоумышленниками можно было описать как борьбу умов и настроенных средств защиты информации, то теперь это уже можно назвать полноценной «войной машин», в которой сражаются искусственные киберинтеллекты. В этой статье мы поговорим про актуальные тренды кибербезопасности в 2021 году: атаки на цепочки поставок и на третьих лиц (3rd parties), атаки на элементы «интернета вещей» и вопросы защиты облачных инфраструктур, безопасность персональных данных (в т.ч. биометрических), противодействие ransomware и криптомайнерам, применение искусственного интеллекта в ИБ. Поехали!

Работая в SOC, я постоянно сталкивалась с закрытием однотипных кейсов из SIEM, с шаблонными действиями, например, проанализировать файл на Virus Total, заблокировать учетную запись в Active Directory, собрать информацию об активности хоста с межсетевого экрана и т.д.

Уважаемые друзья, в предыдущих публикациях мы говорили об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также провели анализ основных стандартов по управлению рисками информационной безопасности и обсудили системы класса IRP, предназначенные для автоматизации реагирования на инциденты ИБ. Как мы знаем, при обработке инцидентов детальный анализ событий безопасности с устройств является одним из ключевых этапов. В данной публикации мы рассмотрим настройку подсистемы аудита ОС Windows, принципы анализа и централизованного сбора журналов аудита с Windows-устройств и их пересылку в SIEM-систему IBM QRadar, а также покажем, как можно с помощью штатных средств Windows и утилиты Sysmon настроить простейшую систему реагирования на инциденты ИБ. Вперед!