Злоумышленники, конечно, не ждут начала рабочего дня ?, поэтому подразделение по мониторингу и реагированию на инциденты работает по принципу 24/7/365??.
Но график работы от привычных всем 5/2 отличается только у аналитиков первой линии и определяется индивидуально. Как правило, это сменный график. Варианты следующие: сутки-трое (24 часа работаешь и 3 суток отдыхаешь), смены 8 часов (например, начиная с полуночи и далее), а также смены по 12 часов.
Что касается удаленной работы, то она активно применяется даже в SOC. Многое зависит от требований руководства конкретной организации. Если речь идет о сотрудниках первой линии, они, как правило, работают удаленно.
В нашей компании практикуется гибридная система, когда любые 2 дня обязательно должны быть отработаны в офисе, а другие три могут быть отработаны удаленно.
Мы не знаем, чем собирали (потому-что когда снимали дампы, за собой они уже всё подчистили). Мы наблюдали следующую последовательность : сначала на машину загружались jpg, потом на ней появлялась библиотека с вредоносной нагрузкой. Хеши у всех библиотек были разные. Процесс сборки библиотеки и что было в jpg установить не удалось.
Привет! Очень хорошие вопросы, но они тянут на курс лекций по кибербезопасности. Как это происходит в реальности - можно посмотреть например в этом отчете https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector . В целом, возможны все перечисленные вами вектора проникновения - как через прикрепленные к письму документы, так и по ссылкам на внешние сайты, даже через сообщения в месенджерах типа Discord или WhatsApp. Далее происходит или эксплуатация уязвимостей в браузере, или компонентах ОС. В случае получения почты на веб-морду, также возможен переход по ссылкам или загрузка прикрепленного файла. Также, начальное проникновение может происходить за счет эксплуатации уязвимостей сервисов, имеющих доступ к интернет, например, таких как уязвимости Exchange Server CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. Подвержены большинство операционных систем, в том числе MacOS и Linux. Например, недавно мы расследовали инцидент, связанный с поражением программой-шифровальщиком, нацеленной на виртуальные облачные машины Linux. Многое вредоносное ПО, в особенности, написанное с использованием Python - кроссплатформенное. Если говорить о защите с помощью антивирусного ПО, то все зависит от давности его появления и качества разработки. Большинство APT атак, с которыми на приходилось иметь дело не выявлялись антивирусным ПО. С другой стороны, при наличии более развернутого мониторинга, например средствами EDR или внешнего SOC, нацеленного на выявление техник и тактик, используемых злоумышленниками, подобного рода активности не остаются незамеченными.
Злоумышленники, конечно, не ждут начала рабочего дня ?, поэтому подразделение по мониторингу и реагированию на инциденты работает по принципу 24/7/365??.
Но график работы от привычных всем 5/2 отличается только у аналитиков первой линии и определяется индивидуально. Как правило, это сменный график. Варианты следующие: сутки-трое (24 часа работаешь и 3 суток отдыхаешь), смены 8 часов (например, начиная с полуночи и далее), а также смены по 12 часов.
Что касается удаленной работы, то она активно применяется даже в SOC. Многое зависит от требований руководства конкретной организации. Если речь идет о сотрудниках первой линии, они, как правило, работают удаленно.
В нашей компании практикуется гибридная система, когда любые 2 дня обязательно должны быть отработаны в офисе, а другие три могут быть отработаны удаленно.
Мы не знаем, чем собирали (потому-что когда снимали дампы, за собой они уже всё подчистили). Мы наблюдали следующую последовательность : сначала на машину загружались jpg, потом на ней появлялась библиотека с вредоносной нагрузкой. Хеши у всех библиотек были разные. Процесс сборки библиотеки и что было в jpg установить не удалось.
да)
Привет! Очень хорошие вопросы, но они тянут на курс лекций по кибербезопасности. Как это происходит в реальности - можно посмотреть например в этом отчете https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector . В целом, возможны все перечисленные вами вектора проникновения - как через прикрепленные к письму документы, так и по ссылкам на внешние сайты, даже через сообщения в месенджерах типа Discord или WhatsApp. Далее происходит или эксплуатация уязвимостей в браузере, или компонентах ОС. В случае получения почты на веб-морду, также возможен переход по ссылкам или загрузка прикрепленного файла. Также, начальное проникновение может происходить за счет эксплуатации уязвимостей сервисов, имеющих доступ к интернет, например, таких как уязвимости Exchange Server CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. Подвержены большинство операционных систем, в том числе MacOS и Linux. Например, недавно мы расследовали инцидент, связанный с поражением программой-шифровальщиком, нацеленной на виртуальные облачные машины Linux. Многое вредоносное ПО, в особенности, написанное с использованием Python - кроссплатформенное. Если говорить о защите с помощью антивирусного ПО, то все зависит от давности его появления и качества разработки. Большинство APT атак, с которыми на приходилось иметь дело не выявлялись антивирусным ПО. С другой стороны, при наличии более развернутого мониторинга, например средствами EDR или внешнего SOC, нацеленного на выявление техник и тактик, используемых злоумышленниками, подобного рода активности не остаются незамеченными.