Еще в декабре смотрела интервью Константина Сапронова, руководителя GERT (Global Emergency Response Team). Если вы не понимаете, чем мы, респондеры, занимаемся, почему важно правильно реагировать на инциденты и как вообще наша деятельность устроена - обязательно к просмотру!
Есть некоторые пункты, которые я хочу выделить отдельно. Иногда про них не знают, но они играют ключевую роль и верны для всех IR-команд в целом:
— Про важность «подписки на услуги реагирования»
Вы не представляете, как сильно выбивают из колеи вопросы подписания NDA и других бумажек, когда счет времени идет на минуты. К тому же, важно помнить, что ресурсы любой команды не бесконечны: всегда возможна ситуация, что вы придете, а команда уже завалена кейсами и просто физически не сможет вам помочь. В случае с подпиской, вы всегда в приоритете и не тратите время на формальности: мы сразу приступаем к работе
— Да, мы не можем поделиться данными одного клиента с другим, но мы видим общую картину (!), которая помогает разбираться в ряде инцидентов и вовремя на них реагировать
— Да, редко, но бывают кейсы, в которых мы не можем достоверно определить точку входа, нулевого пациента. В таком случае всегда обоснованно это аргументируем и все равно дадим рекомендации, чтобы клиент выполнил работу над ошибками
— Расследование инцидента зависит не только от нас и нашей скорости работы, но и масштабов инцидента и размеров инфраструктуры, а также клиента, то есть как скоро вы предоставляете и какие вообще можете предоставить данные
— Если вы столкнулись с атаками программ-вымогателей, смиритесь с тем, что есть буквально 1 процент из 100, когда зашифрованные данные можно восстановить (но окончательный вердикт, конечно же, вынесет специалист)
— В общем случае, при сборе данных мы не копируем никакие личные данные. Но! Если речь идет о том же образе системы или расследовании BEC-атак, где чтение почты необходимо, то без этого никак. Тем не менее, вас всегда об этом предупредят
— Мое любимое: если вы видите строки на русском во вредоносах - это не значит, что вас атакуют из России
— Самые популярные виды атак - это фишинг, утечки и компрометация учетных данных, эксплуатация публичных сервисов и шифрование данных. В сумме они составляют 80% инцидентов. Если заказчик использует правильные средства по устранению этих рисков, то он практически на 80% повышает свою защищенность
@s3Ch1n7
Есть некоторые пункты, которые я хочу выделить отдельно. Иногда про них не знают, но они играют ключевую роль и верны для всех IR-команд в целом:
— Про важность «подписки на услуги реагирования»
Вы не представляете, как сильно выбивают из колеи вопросы подписания NDA и других бумажек, когда счет времени идет на минуты. К тому же, важно помнить, что ресурсы любой команды не бесконечны: всегда возможна ситуация, что вы придете, а команда уже завалена кейсами и просто физически не сможет вам помочь. В случае с подпиской, вы всегда в приоритете и не тратите время на формальности: мы сразу приступаем к работе
— Да, мы не можем поделиться данными одного клиента с другим, но мы видим общую картину (!), которая помогает разбираться в ряде инцидентов и вовремя на них реагировать
— Да, редко, но бывают кейсы, в которых мы не можем достоверно определить точку входа, нулевого пациента. В таком случае всегда обоснованно это аргументируем и все равно дадим рекомендации, чтобы клиент выполнил работу над ошибками
— Расследование инцидента зависит не только от нас и нашей скорости работы, но и масштабов инцидента и размеров инфраструктуры, а также клиента, то есть как скоро вы предоставляете и какие вообще можете предоставить данные
— Если вы столкнулись с атаками программ-вымогателей, смиритесь с тем, что есть буквально 1 процент из 100, когда зашифрованные данные можно восстановить (но окончательный вердикт, конечно же, вынесет специалист)
— В общем случае, при сборе данных мы не копируем никакие личные данные. Но! Если речь идет о том же образе системы или расследовании BEC-атак, где чтение почты необходимо, то без этого никак. Тем не менее, вас всегда об этом предупредят
— Мое любимое: если вы видите строки на русском во вредоносах - это не значит, что вас атакуют из России
— Самые популярные виды атак - это фишинг, утечки и компрометация учетных данных, эксплуатация публичных сервисов и шифрование данных. В сумме они составляют 80% инцидентов. Если заказчик использует правильные средства по устранению этих рисков, то он практически на 80% повышает свою защищенность
@s3Ch1n7
Есть у меня набор избранных презентаций за 2023 год. Вот, например, от моих коллег из красной команды
1. Тема закрытия уязвимостей - это действительно боль! Как для специалистов по анализу защищенности, так и по реагированию на инциденты. У нас у всех одна и та же проблема: мы пишем огроменные отчеты с явным указанием дыр и как их закрыть, при чем не просто "сделайте безопасно", а даем обширные рекомендации, иногда вплоть до указания конкретной KB или параметров в реестре, но проходит год, а то и куда меньше, и опять ломают. Ровно таким же образом. И смешно, и грустно, ведь в такие моменты досадно и нам тоже
2. Просто лучшая презентация евер про отличия сканирования на уязвимости от редтима (и такое бывает), редтима от пентеста и так далее
#present #red #purple
1. Тема закрытия уязвимостей - это действительно боль! Как для специалистов по анализу защищенности, так и по реагированию на инциденты. У нас у всех одна и та же проблема: мы пишем огроменные отчеты с явным указанием дыр и как их закрыть, при чем не просто "сделайте безопасно", а даем обширные рекомендации, иногда вплоть до указания конкретной KB или параметров в реестре, но проходит год, а то и куда меньше, и опять ломают. Ровно таким же образом. И смешно, и грустно, ведь в такие моменты досадно и нам тоже
2. Просто лучшая презентация евер про отличия сканирования на уязвимости от редтима (и такое бывает), редтима от пентеста и так далее
#present #red #purple
3. Какие ошибки могут встречаться в работе утилит, например, при IoC-, yara-сканированиях или сборе артефактов с конечных устройств? Самые коварные из них - в ситуациях, когда output вполне ожидаем, но ошибочен, ведь заметить такое с набегу не всегда просто. Крайне полезный материал! Также есть видео с выступления, если хочется послушать с живыми комментариями
4. День DFIR-специалиста - синоним слова «непредсказуемость». И точно не про работу с одним и тем же стеком технологий. Более того, нужно уметь очень быстро погружаться в прикладные системы клиента и, как минимум, заведомо знать, что из них можно достать полезного. В общем, нам никогда не скучно, а вот в презе Влада можно найти сразу несколько примеров таких систем и как с ними работать
#present #video #forensics
4. День DFIR-специалиста - синоним слова «непредсказуемость». И точно не про работу с одним и тем же стеком технологий. Более того, нужно уметь очень быстро погружаться в прикладные системы клиента и, как минимум, заведомо знать, что из них можно достать полезного. В общем, нам никогда не скучно, а вот в презе Влада можно найти сразу несколько примеров таких систем и как с ними работать
#present #video #forensics
Ленивый #weekly : не сказать, что за праздники прочла кучу всего интересного, но! Много слушала. Мои открытия этой недели в виде +2 подкастов:
Breaking Badness
Если сложно слушать, можно читать саммари, например, вот
Для меня в одном из эпизодов были самые интересные предикшнс на 2024 среди всех, что я встречала до (:
DARKNET DIARIES
Тут даже есть красивенький сайт с полноценными транскрипциями
Отдельное спасибо Сергею Солдатову за эту рекомендацию и всем, кто еще накидывал варианты! Я в процессе 🎧
P.S. Можно использовать в качестве тренировки listening skills ;)
Breaking Badness
Если сложно слушать, можно читать саммари, например, вот
Для меня в одном из эпизодов были самые интересные предикшнс на 2024 среди всех, что я встречала до (:
DARKNET DIARIES
Тут даже есть красивенький сайт с полноценными транскрипциями
P.S. Можно использовать в качестве тренировки listening skills ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
Old but gold
Матрица MITRE ATT&CK уже давно является стандартом де-факто. Более того, бытует и мнение, что чем больше техник «закрыто» детектами, тем лучше и эффективнее работа того же SOC
Без лишних разговоров и утомительных споров, есть у меня в закромах один весомый контраргумент, называется
MITRE ATT&CK: Design and Philosophy
Матрица MITRE ATT&CK уже давно является стандартом де-факто. Более того, бытует и мнение, что чем больше техник «закрыто» детектами, тем лучше и эффективнее работа того же SOC
Без лишних разговоров и утомительных споров, есть у меня в закромах один весомый контраргумент, называется
MITRE ATT&CK: Design and Philosophy
Привет, это #weekly
1. MUST READ: Why We Need to Stop Panicking about Zero-Days (Katie Nickels, Red Canary, at Shmoocon January 2024)
2. Для любителей использовать ChatGPT в работе, just keep in mind: выступление с SOC Forum Артема Бачевского с темой актуальных угроз безопасности в Large Language Model Applications
3. Что-то тема буфера обмена немного прошла мимо меня, исправляюсь, читаю The Art of Clipboard Forensics
4. Ну как на этой неделе не упомянуть про взлом аккаунта Mandiant в твиттере aka Х
5. Будьте начеку, даже когда скачиваете бесплатный и уже привычный софт, - свежий пример с Advanced IP Scanner. Малвертайзинг, он такой
6. Если вы еще не знаете, как можно использовать журналы безопасности Windows для хранения полезной нагрузки, вам сюда: разобрано по полочкам, начиная с азов. По мотивам репорта от касперов за 2022
7. Что за куча процессов DismHost.exe и зачем оно такое прекрасно расписано здесь (настоятельно рекомендую хотя бы мельком пробежаться по всем заметкам в ветке)
1. MUST READ: Why We Need to Stop Panicking about Zero-Days (Katie Nickels, Red Canary, at Shmoocon January 2024)
2. Для любителей использовать ChatGPT в работе, just keep in mind: выступление с SOC Forum Артема Бачевского с темой актуальных угроз безопасности в Large Language Model Applications
3. Что-то тема буфера обмена немного прошла мимо меня, исправляюсь, читаю The Art of Clipboard Forensics
4. Ну как на этой неделе не упомянуть про взлом аккаунта Mandiant в твиттере aka Х
5. Будьте начеку, даже когда скачиваете бесплатный и уже привычный софт, - свежий пример с Advanced IP Scanner. Малвертайзинг, он такой
6. Если вы еще не знаете, как можно использовать журналы безопасности Windows для хранения полезной нагрузки, вам сюда: разобрано по полочкам, начиная с азов. По мотивам репорта от касперов за 2022
7. Что за куча процессов DismHost.exe и зачем оно такое прекрасно расписано здесь (настоятельно рекомендую хотя бы мельком пробежаться по всем заметкам в ветке)
На основе презентации маркетинг попросил меня написать более подробные рекомендации по безопасности пользователей Telegram, для публикации в канале компании. Как по мне материал получился вполне годным, но как-то затерялся в контенте и в итоге не получил должной огласки. Попробовала чуток задизайнить оригинальный текст и дать второй шанс (:
Может, вам тоже есть, что добавить?
Может, вам тоже есть, что добавить?