На кого "на вас" и какое я имею отношение к Group-IB? Логику вы мою неправильно истолковали. Перечитайте ещё раз последнее моë сообщение (даже точнее последнее предложение). Не бессильные, просто есть лидеры рынка, топы и к ним всегда будут обращаться за помощью, за аналитикой, за приобретением их продуктов и услуг, за экспертизой. Что-то по мере сил могут сделать все, а топы в головном вагоне этого поезда. Так было всегда и не только в IT отрасли. Всего хорошего)
Строить прогнозы можно на чужих статьях, отчëтах, на общедоступных данных (в большинстве случаев). Это - если у вас нет своих систем, которые собирают данные (если грубо и на пальцах). Есть сенсоры/edr/почтовые фильтры/av/песочницы/данные от криминалистических исследований и. Т. Д. И прочее - собирайте оттуда. Есть аналитики по darkweb/onion/телеге, осинтеры с уклоном и прочие специалисты по ИБ - будут они добывать данные. Если у вас нет абсолютно никаких средств и ресурсов и, как следствие, самих данных, то вам придётся учиться на чужих публичных общедоступных данных. Приходящие специалисты-новички учатся на том, что имеется. К чему имеется доступ и какими ресурсами владеет организация.с кем есть каналы обмена информацией. Поставщики данных публичные и непубличные. Вне зависимости от того госструктура это или частная компания. Иногда данные приходится и покупать, такое встречается (пусть и не часто), но имеет место быть. Это уже ближе к вопросам мироздания и бытия - нет аналитиков, специалистов T.I.? Нет третхантеров, нет криминалистов/респондеров? Нет сока? Нет доступа к фидам? Нет СЗИ которые загребают данные как акула загребает ртом криль? Нет каналов взаимодействия с другими? Ну, тогда остаются только публичная инфа и поисковик) дальше не вижу смысла дискутировать. Большинство молодых специалистов, оказавшись на госслужбе или в частной организации в той или иной мере будут обеспечены ресурсами для выполнения задач/работы
1) У вас: "вирус-вымогатель и проявляется в двух видах". " Вирус блокировал компьютер". В том же определении из ГОСТ (Вы его привели сами) есть фрагмент: "внедрять их в файлы, системные области компьютера" + "копии сохраняют способность дальнейшего распространения". Если вы хотите опираться на данное определение, то приведите код условного вымогателя, который заразил файл на диске (в котором имеется код, который позволяет заражать файловые объекты) и заражение по файлам затем пошло дальше. Приведите пример кода Trojan.Winlock или MbrLocker, который заражает другие файлы, или чьи копии способны самостоятельно распространяться, заражая файловые объекты. Если бы вы сказали, что условный Win32.Virut может распространяться - проблем нет. Можно было бы даже рассмотреть фрагмент машинного кода с данной процедурой/функцией. Однако же, мы говорим про рансомварь и локеры (win/mbr), притом почему-то называя их вирусами... Среди подавляющего большинства вендоров и специалистов принято 2 подхода: относить ransomware к отдельному классу ВПО, либо же отнести его к классу троянов (второй подход мне ближе по определённым личным причинам, однако и к первому варианту я отношусь с пониманием). Подходы к классификации сформировались задолго до ГОСТа. Задателями системы тогда были не российские организации по стандартизации, а вендора СЗИ + учëные. Обратитесь к той же самой классификации CARO, которая для многих стала основой. Затем, многие стали разрабатывать свои, но ни в одной нормальной классификации я не видел ransomware/троян-шифровальщик в категории "вирус". Ради справедливости вопросами только одной классификации я занимался несколько лет.
2) Прогнозы должны строиться на объëмной аналитике. Данные из дарквеб'а, данные T.I. Общение с лицами по ту сторону баррикад. Отслеживание эксплуатации уязвимостей и их продажи. Финансовая целесообразность для применения подобных решений для киберпреступников. Изменения психологической состовляющей киберпреступных групп/кластеров активности. Распространëнность и доступность методов и инструментов для киберпреступников. И десятки (как минимум) других факторов. Есть у вас материалы/аналитика по вашему выводу "2 года"? Если всë сводится к тому, что стали распространены IOT устройства и электромобили и их будут павнить. Ну... Хорошо. Хотя, это очевидно и детям и людям лишь слегка знакомым с ИБ. Серьëзная аналитика на таком не строится
3) Я опирался на данные исследований, данные своих коллег, а ещё на свой опыт вылеченных сотен компов от винлокеров. Немалая часть из которых (десятки-сотня) были мной происследованы/разревершены лично (в них и их внутренностях было мало интересного).
4) Жаль, что кто-то отнëс их к вымогателем. Честно, сказать мне поэтому нечего.
Хотелось бы, чтобы пулемëт не называли штурмовой винтовкой, а "грязную бомбу" термоядерной :)
Ради Бога, пожалуйста, не пишите, что вы "Эксперт по информационной безопасности", иначе нас всех измажут кое-чем. Слегка по пунктам:
1) Раз и навсегда - со времён как минимум Ms-dos: Вирус - файловый инфектор. (Или файлово-загрузочный/загрузочный в то время). Вы можете называть какое-то впо вирусом только после того, как как вы увидели код, инфицирующий (заражающий чужеродным кодом) объекты файловой системы (в большинстве случаев исполняемые). Либо код, либо поведение. Всë остальное - не вирусы
2) APT- группировки уже давно атаковали и транснациональные компании и целые службы и органы разных стран. И известная группа на корейском полуострове, и Moonlight Maze (о котором мало кто помнит. Ещё в 90-ых). Это не появилось сегодня
3) Локеры появились не в 2012 году и это не новая технология. От тех же троянов-винлокеров (Trojan.Winlock) страдали пользователи и компании ещё с середины-конца нулевых
4) Вайперы - не являются вымогателями! Это разновидность троянских программ (в широкой интерпретации троянского по), которые уничтожают данные. Напрямую, они не относятся к той же категории, что и ransomware. Да, они могут использоваться совместно или заменять последний stage в killchain, но... Стоять рядом с красной машиной ! = быть непосредственно красной машиной
Давайте будем хоть как-то уважать ИБ... Профессионал от непрофессионала отличается в том числе и тем, что может сказать: "В этой области у меня недостаточно компетенций. Я не буду выдавать своë заключение/комментировать". Давайте также подумаем о том, что в Википедии не всегда всë правильно и хорошо написано. После всего этого назвать себя экспертом... Мне трудно это понять. Не превращайте эту область в сплошное инфоцыганство. Мир вам за это спасибо не скажет...
На кого "на вас" и какое я имею отношение к Group-IB? Логику вы мою неправильно истолковали. Перечитайте ещё раз последнее моë сообщение (даже точнее последнее предложение). Не бессильные, просто есть лидеры рынка, топы и к ним всегда будут обращаться за помощью, за аналитикой, за приобретением их продуктов и услуг, за экспертизой. Что-то по мере сил могут сделать все, а топы в головном вагоне этого поезда. Так было всегда и не только в IT отрасли. Всего хорошего)
Строить прогнозы можно на чужих статьях, отчëтах, на общедоступных данных (в большинстве случаев). Это - если у вас нет своих систем, которые собирают данные (если грубо и на пальцах). Есть сенсоры/edr/почтовые фильтры/av/песочницы/данные от криминалистических исследований и. Т. Д. И прочее - собирайте оттуда. Есть аналитики по darkweb/onion/телеге, осинтеры с уклоном и прочие специалисты по ИБ - будут они добывать данные. Если у вас нет абсолютно никаких средств и ресурсов и, как следствие, самих данных, то вам придётся учиться на чужих публичных общедоступных данных. Приходящие специалисты-новички учатся на том, что имеется. К чему имеется доступ и какими ресурсами владеет организация.с кем есть каналы обмена информацией. Поставщики данных публичные и непубличные. Вне зависимости от того госструктура это или частная компания. Иногда данные приходится и покупать, такое встречается (пусть и не часто), но имеет место быть. Это уже ближе к вопросам мироздания и бытия - нет аналитиков, специалистов T.I.? Нет третхантеров, нет криминалистов/респондеров? Нет сока? Нет доступа к фидам? Нет СЗИ которые загребают данные как акула загребает ртом криль? Нет каналов взаимодействия с другими? Ну, тогда остаются только публичная инфа и поисковик) дальше не вижу смысла дискутировать. Большинство молодых специалистов, оказавшись на госслужбе или в частной организации в той или иной мере будут обеспечены ресурсами для выполнения задач/работы
1) У вас: "вирус-вымогатель и проявляется в двух видах". " Вирус блокировал компьютер". В том же определении из ГОСТ (Вы его привели сами) есть фрагмент: "внедрять их в файлы, системные области компьютера" + "копии сохраняют способность дальнейшего распространения". Если вы хотите опираться на данное определение, то приведите код условного вымогателя, который заразил файл на диске (в котором имеется код, который позволяет заражать файловые объекты) и заражение по файлам затем пошло дальше. Приведите пример кода Trojan.Winlock или MbrLocker, который заражает другие файлы, или чьи копии способны самостоятельно распространяться, заражая файловые объекты. Если бы вы сказали, что условный Win32.Virut может распространяться - проблем нет. Можно было бы даже рассмотреть фрагмент машинного кода с данной процедурой/функцией. Однако же, мы говорим про рансомварь и локеры (win/mbr), притом почему-то называя их вирусами... Среди подавляющего большинства вендоров и специалистов принято 2 подхода: относить ransomware к отдельному классу ВПО, либо же отнести его к классу троянов (второй подход мне ближе по определённым личным причинам, однако и к первому варианту я отношусь с пониманием). Подходы к классификации сформировались задолго до ГОСТа. Задателями системы тогда были не российские организации по стандартизации, а вендора СЗИ + учëные. Обратитесь к той же самой классификации CARO, которая для многих стала основой. Затем, многие стали разрабатывать свои, но ни в одной нормальной классификации я не видел ransomware/троян-шифровальщик в категории "вирус". Ради справедливости вопросами только одной классификации я занимался несколько лет.
2) Прогнозы должны строиться на объëмной аналитике. Данные из дарквеб'а, данные T.I. Общение с лицами по ту сторону баррикад. Отслеживание эксплуатации уязвимостей и их продажи. Финансовая целесообразность для применения подобных решений для киберпреступников. Изменения психологической состовляющей киберпреступных групп/кластеров активности. Распространëнность и доступность методов и инструментов для киберпреступников. И десятки (как минимум) других факторов. Есть у вас материалы/аналитика по вашему выводу "2 года"? Если всë сводится к тому, что стали распространены IOT устройства и электромобили и их будут павнить. Ну... Хорошо. Хотя, это очевидно и детям и людям лишь слегка знакомым с ИБ. Серьëзная аналитика на таком не строится
3) Я опирался на данные исследований, данные своих коллег, а ещё на свой опыт вылеченных сотен компов от винлокеров. Немалая часть из которых (десятки-сотня) были мной происследованы/разревершены лично (в них и их внутренностях было мало интересного).
4) Жаль, что кто-то отнëс их к вымогателем. Честно, сказать мне поэтому нечего.
Хотелось бы, чтобы пулемëт не называли штурмовой винтовкой, а "грязную бомбу" термоядерной :)
Ради Бога, пожалуйста, не пишите, что вы "Эксперт по информационной безопасности", иначе нас всех измажут кое-чем. Слегка по пунктам:
1) Раз и навсегда - со времён как минимум Ms-dos: Вирус - файловый инфектор. (Или файлово-загрузочный/загрузочный в то время). Вы можете называть какое-то впо вирусом только после того, как как вы увидели код, инфицирующий (заражающий чужеродным кодом) объекты файловой системы (в большинстве случаев исполняемые). Либо код, либо поведение. Всë остальное - не вирусы
2) APT- группировки уже давно атаковали и транснациональные компании и целые службы и органы разных стран. И известная группа на корейском полуострове, и Moonlight Maze (о котором мало кто помнит. Ещё в 90-ых). Это не появилось сегодня
3) Локеры появились не в 2012 году и это не новая технология. От тех же троянов-винлокеров (Trojan.Winlock) страдали пользователи и компании ещё с середины-конца нулевых
4) Вайперы - не являются вымогателями! Это разновидность троянских программ (в широкой интерпретации троянского по), которые уничтожают данные. Напрямую, они не относятся к той же категории, что и ransomware. Да, они могут использоваться совместно или заменять последний stage в killchain, но... Стоять рядом с красной машиной ! = быть непосредственно красной машиной
Давайте будем хоть как-то уважать ИБ... Профессионал от непрофессионала отличается в том числе и тем, что может сказать: "В этой области у меня недостаточно компетенций. Я не буду выдавать своë заключение/комментировать". Давайте также подумаем о том, что в Википедии не всегда всë правильно и хорошо написано. После всего этого назвать себя экспертом... Мне трудно это понять. Не превращайте эту область в сплошное инфоцыганство. Мир вам за это спасибо не скажет...