Кстати, да!
3 апреля буду рассказывать про MDR в 2024 году.
Постараюсь в театрально-художественной увлекательной форме, сравним «как у нас» с тем «как там у них» и есть ли она, «российская специфика», ландшафта угроз.
Готовьте вопросы, будем отвечать. Кстати, если не удастся задать вопрос в эфире, пишите в комментариях к этой заметке, - если знаю ответ, обязательно отвечу.
До встречи на эфире!
#MDR
3 апреля буду рассказывать про MDR в 2024 году.
Постараюсь в театрально-художественной увлекательной форме, сравним «как у нас» с тем «как там у них» и есть ли она, «российская специфика», ландшафта угроз.
Готовьте вопросы, будем отвечать. Кстати, если не удастся задать вопрос в эфире, пишите в комментариях к этой заметке, - если знаю ответ, обязательно отвечу.
До встречи на эфире!
#MDR
Telegram
purple shift
Традиционный недостаток котиков в нашей ленте мы традиционно компенсируем выпуском годовых аналитических отчётов наших команд, которые занимаются мониторингом (MDR) и реагированием на инциденты (IR).
Мы понимаем, что все вы давно ждёте от нас этих весёлых…
Мы понимаем, что все вы давно ждёте от нас этих весёлых…
👍9🔥7
Понимаете, каждый год 31 декабря мы с друзьями ходим в баню. Это у нас такая традиция
А у нас традиция каждый год в апреле обсуждать коммерческие SOC в студии AM Live, и этот год - не исключение!
2 апреля поговорим, тема на этот раз звучит так: "Коммерческий или гибридный SOC: что выбрать?"
Странный это вопрос или действительно кто-то ищет на него ответ, вместе с Вами узнаю на эфире.
Подключайтесь, пишите вопросы, будем вместе докапываться до истины!
#MDR
Telegram
Порвали два трояна
🗣 SOC-битва: коммерческий против гибридного
Когда: 2 апреля 2025 в 11:00 (МСК)
Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует…
Когда: 2 апреля 2025 в 11:00 (МСК)
Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует…
👍9😁1
2025-04-03-MDR_2024-RU.pdf
20.7 MB
Сегодня прошел вебинар на русском языке. Думаю, на следующей неделе будет видео, а пока делюсь слайдами.
В отличие от отчета, который эквивалентен оригинальному на английском языке и содержит общие статистики по всему Миру, в сегодняшнюю презентацию я добавил данные по России и СНГ, а также сравнительные картинки по Миру и СНГ, и 2023 против 2024. Кроме того, есть крайне загруженные слайды, которыеневозможно сложно озвучить на вебинаре, но рассмотреть в спокойной обстановке, с кофейком, точно можно!
Как писал и в предыдущей заметке, если будут вопросы, пишите, приложу все усилия, чтобы найти для вас ответ.
#MDR
В отличие от отчета, который эквивалентен оригинальному на английском языке и содержит общие статистики по всему Миру, в сегодняшнюю презентацию я добавил данные по России и СНГ, а также сравнительные картинки по Миру и СНГ, и 2023 против 2024. Кроме того, есть крайне загруженные слайды, которые
Как писал и в предыдущей заметке, если будут вопросы, пишите, приложу все усилия, чтобы найти для вас ответ.
#MDR
❤6👏4
На днях обсуждали с друзьями процессную модель операционного подразделения ИБ, и принципиальный вопрос:
Поток мыслей по этому вопросу записал в свежем лонгриде "Формализация"
Очень приветствуется ваш опыт решения поставленных вопросов, ваша граница красоты\баланса.
#управление #vCISO #MDR
Как выглядит идеальный баланс между инструкциями, персональными взаимодействиями/наставником, общими ретро,...?
Поток мыслей по этому вопросу записал в свежем лонгриде "Формализация"
Очень приветствуется ваш опыт решения поставленных вопросов, ваша граница красоты\баланса.
#управление #vCISO #MDR
Дзен | Статьи
Формализация
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Где начало того конца, которым оканчивается начало?
👍10
Мой старый добрый знакомый, Дэн Батранков, видимо, ввиду обостренного чувства справедливости, не на шутку озадачился вопросом сравнения XDR и SIEM, что отразилось в следующих многочисленных артефактах: заметка Отличие XDR от SIEM, а также презентация на SOC Forum 2024, доступная по ссылке.
Терминология - безграничная почва для бесконечных дискуссий, я это прекрасно понимаю, но Денис спросил мое мнение, а я стремлюсь не отказывать друзьям, чем и объясняется эта и связанные публикации.
Несмотря на то, что в следующем году уже 10 лет как я работаю в поставщике решений, все еще большую часть своей карьеры я провел в заказчике, где, как раз отвечал, в том числе, и за внедрение решений ИБ. А перед внедрением я всегда проводил сравнительный анализ, как правило, основанный на пилотировании в лабораторных условиях. Т.е. в моей картине мира выбор решения основан на степени его соответствия функциональным требованиям: соответствует - берем, не соответствует - ищем дальше, но никак не исходя из его названия (тем более, в маркетинговых листовках самого вендора). Поэтому, в общем-то, мне все равно кто что называет SIEM-ом, а что XDR-ом, в моем случае я бы выбирал исходя из функционального тестирования в лабораторных условиях, приближенных к реальной эксплуатации.
В предлагаемой вашему вниманию таблице я собрал различия SIEM и XDR, изучение которых должно навести на следующие мысли:
- и SIEM и XDR - нужные решения, так как закрывают немного разные сценарии
- XDR не является развитием SIEM, обратное тоже не верно
- идеальное решение можно достичь комбинацией
При этом, я не исключаю (более того, считаю это логичным) построение XDR на базе SIEM, так как если SIEM умеет работать с неструктурированными логами, то с предопределенной телеметрией у него точно получится. Широкие возможности по автоматизации на базе XDR как раз и обусловлены предопределенностью и структурированностью обрабтаываемой телеметрии. "Сырые" (== оригинальные, в первозданном виде) логи ИС, предназначенные для ручной обработки админами, - именно для работы с такими данными и придумывали SIEM, а необходимость корреляции событий разных ИС создала потребность в нормализации. Хранение сырых логов долго и централизовано требуется и регуляторами и для ретро (ну мы же не хотим, чтобы наша система умерла вместе со всеми своими логами, поэтому логи надо уносить) - это тоже функция SIEM. Ранее я упоминал про Log management, и эта заметка отчасти повторяет те же мысли. Больше различий я пособирал в табличке. Как всегда ваши предложения и критика приветствуются!
#пятница #vCISO #MDR
Терминология - безграничная почва для бесконечных дискуссий, я это прекрасно понимаю, но Денис спросил мое мнение, а я стремлюсь не отказывать друзьям, чем и объясняется эта и связанные публикации.
Несмотря на то, что в следующем году уже 10 лет как я работаю в поставщике решений, все еще большую часть своей карьеры я провел в заказчике, где, как раз отвечал, в том числе, и за внедрение решений ИБ. А перед внедрением я всегда проводил сравнительный анализ, как правило, основанный на пилотировании в лабораторных условиях. Т.е. в моей картине мира выбор решения основан на степени его соответствия функциональным требованиям: соответствует - берем, не соответствует - ищем дальше, но никак не исходя из его названия (тем более, в маркетинговых листовках самого вендора). Поэтому, в общем-то, мне все равно кто что называет SIEM-ом, а что XDR-ом, в моем случае я бы выбирал исходя из функционального тестирования в лабораторных условиях, приближенных к реальной эксплуатации.
В предлагаемой вашему вниманию таблице я собрал различия SIEM и XDR, изучение которых должно навести на следующие мысли:
- и SIEM и XDR - нужные решения, так как закрывают немного разные сценарии
- XDR не является развитием SIEM, обратное тоже не верно
- идеальное решение можно достичь комбинацией
При этом, я не исключаю (более того, считаю это логичным) построение XDR на базе SIEM, так как если SIEM умеет работать с неструктурированными логами, то с предопределенной телеметрией у него точно получится. Широкие возможности по автоматизации на базе XDR как раз и обусловлены предопределенностью и структурированностью обрабтаываемой телеметрии. "Сырые" (== оригинальные, в первозданном виде) логи ИС, предназначенные для ручной обработки админами, - именно для работы с такими данными и придумывали SIEM, а необходимость корреляции событий разных ИС создала потребность в нормализации. Хранение сырых логов долго и централизовано требуется и регуляторами и для ретро (ну мы же не хотим, чтобы наша система умерла вместе со всеми своими логами, поэтому логи надо уносить) - это тоже функция SIEM. Ранее я упоминал про Log management, и эта заметка отчасти повторяет те же мысли. Больше различий я пособирал в табличке. Как всегда ваши предложения и критика приветствуются!
#пятница #vCISO #MDR
Яндекс Диск
SIEM-XDR-v0.xlsx
Посмотреть и скачать с Яндекс Диска
🔥8👍3
А помните я как-то, почти год назад писал:
Где-то примерно с того времени мы начали пилотировать модельку в нашем MDR, которая находит аномальные\подозрительные загрузки DLL. Сейчас эта моделька уже давно в проде и, в целом, неплохо справляется со своей задачей. Техника старая, но до сих пор популярная в целевых кампаниях, поэтому никакие возможности по обнаружению нам, конечно же, не чужды.
Подробно написать в отдельной заметке я так и не успел, но вот на PHD будет доклад нашей коллеги, Анны Пиджаковой, из команды машобуча, Разработка ML-модели для детектирования DLL Side-Loading, где, уверен, Аня все подробненько расскажет.
#MDR #ml
- DLL Hijacking - фактически, непопулярный сценарий загрузки DLL в процесс, напишу об этом чуть более подробно в отдельной заметке
Где-то примерно с того времени мы начали пилотировать модельку в нашем MDR, которая находит аномальные\подозрительные загрузки DLL. Сейчас эта моделька уже давно в проде и, в целом, неплохо справляется со своей задачей. Техника старая, но до сих пор популярная в целевых кампаниях, поэтому никакие возможности по обнаружению нам, конечно же, не чужды.
Подробно написать в отдельной заметке я так и не успел, но вот на PHD будет доклад нашей коллеги, Анны Пиджаковой, из команды машобуча, Разработка ML-модели для детектирования DLL Side-Loading, где, уверен, Аня все подробненько расскажет.
#MDR #ml
phdays.com
Программа PHDays Fest
Positive Hack Days Fest - международный киберфестиваль для всех, кто хочет погрузиться в мир кибербезопасности и технологий. Любой желающий может узнать, как устроен цифровой мир, повысить уровень своей защищенности и круто провести время
👍3
Приятно видеть, что наш с Денисом вебинар не остался совсем не замеченным и на наиболее значимой конференции по ИБ его упоминают! Очень приятно.
Как узнаю, что появилась запись, обязательно поделюсь.
А если этот формат подкаста и наш состав собеседников (я и Денис) устраивает, то пишите в комментариях, что еще имеет смысл обсудить\прожарить\распаковать, смыть налет маркетинга и обсудить вещи как они есть.
#MDR #vCISO
Как узнаю, что появилась запись, обязательно поделюсь.
А если этот формат подкаста и наш состав собеседников (я и Денис) устраивает, то пишите в комментариях, что еще имеет смысл обсудить\прожарить\распаковать, смыть налет маркетинга и обсудить вещи как они есть.
#MDR #vCISO
Telegram
Солдатов в Телеграм
🔥 Как разобраться в разнице XDR и SIEM? Расскажем на встрече экспертов 21 мая!
После новости, что 90% XDR - фейк и таблицы сравнения SIEM и XDR, ко мне пришло много людей в личку. Давайте обсудим голосом! 😎
21 мая в 19:00 (GMT+3) приглашаю на прямой эфир…
После новости, что 90% XDR - фейк и таблицы сравнения SIEM и XDR, ко мне пришло много людей в личку. Давайте обсудим голосом! 😎
21 мая в 19:00 (GMT+3) приглашаю на прямой эфир…
Про пилоты и проекты
За счет того, что подключение в нашем случае выполняется очень просто, а текущий объем мониторинга такой, что несколько десятков тысяч эндпоинтов не создадут ощутимых ресурсных проблем, мы постоянно всем рекомендуем пилоты. Единственная проблема с новыми клиентами - профилирование, которое за время пилота в 30 дней может и не закончиться. Но конверсия с пилота в коммерческий проект - большая, поэтому сейловые подразделения активно предлагают пилоты.
Но я не работаю в Продажах, я отвечаю за delivery, однако, для меня пилот тоже очень значим и на всех мероприятиях я постоянно всех приглашаю к нам на пилоты. Основных причин - две.
Во-первых, аналитика по данным инцидентов всегда интересна, так как она в какой-то степени отражает ландшафт угроз, под который надо адаптировать и наши способности по управлению угрозами и наши ресурсные возможности. А чем больше разных клиентов мне удастся помониторить, пусть даже непродолжительное время, тем лучший TI я соберу, тем более объективны, лучше отражать действительность, будут мои прогнозы. Как раз при подготовке к Сеулу я готовил контент, где анализировал данные, представленные в наших аналитических отчетах за 2020-2024 годы, выделял тренды и проверял их на данных Q1 2025, спойлер: многие предсказания сбылись. Я не люблю повторять одни и те же слайды, но по части этого сеульского доклада я дал промах(все когда-то делается в первый раз) и эту презентацию уже успел рассказать и на русском языке. Английский вариант обязательно выложу, так как именно к нему есть скрипт, подстрочник к слайдам, его можно будет просто почитать.
Во-вторых, как delivery-команда, я максимально заинтересован своей работой попасть в ожидания заказчика. Да, заказчик на пилоте смотрит, насколько наше предложение ему подходит, однако, здесь же и мы сморим, насколько мы можем соответствовать требованиям заказчика. Несоответствие ожиданиям - нередкая причина непродления контракта. Очень часто из пилота, по результатам анализа работы с клиентом, тем более, если пилот не конвертировался в проект, мы пополняем свой бэклог на доработку.
В общем, подключайтесь на пилоты - обогатим друг друга знаниями и, таким образом, поднимем зрелость всей отечественной индустрии ИБ!
Ах вот еще что, друзья из Русского офиса шепнули, что сейчас есть еще и акция (детали по ссылке). Ну а то, что на странице акции можно посмотреть видео с вашим покорным слугой окончательно убедило меня необходимостью поделиться этой новостью.
#MDR #vCISO
За счет того, что подключение в нашем случае выполняется очень просто, а текущий объем мониторинга такой, что несколько десятков тысяч эндпоинтов не создадут ощутимых ресурсных проблем, мы постоянно всем рекомендуем пилоты. Единственная проблема с новыми клиентами - профилирование, которое за время пилота в 30 дней может и не закончиться. Но конверсия с пилота в коммерческий проект - большая, поэтому сейловые подразделения активно предлагают пилоты.
Но я не работаю в Продажах, я отвечаю за delivery, однако, для меня пилот тоже очень значим и на всех мероприятиях я постоянно всех приглашаю к нам на пилоты. Основных причин - две.
Во-первых, аналитика по данным инцидентов всегда интересна, так как она в какой-то степени отражает ландшафт угроз, под который надо адаптировать и наши способности по управлению угрозами и наши ресурсные возможности. А чем больше разных клиентов мне удастся помониторить, пусть даже непродолжительное время, тем лучший TI я соберу, тем более объективны, лучше отражать действительность, будут мои прогнозы. Как раз при подготовке к Сеулу я готовил контент, где анализировал данные, представленные в наших аналитических отчетах за 2020-2024 годы, выделял тренды и проверял их на данных Q1 2025, спойлер: многие предсказания сбылись. Я не люблю повторять одни и те же слайды, но по части этого сеульского доклада я дал промах
Во-вторых, как delivery-команда, я максимально заинтересован своей работой попасть в ожидания заказчика. Да, заказчик на пилоте смотрит, насколько наше предложение ему подходит, однако, здесь же и мы сморим, насколько мы можем соответствовать требованиям заказчика. Несоответствие ожиданиям - нередкая причина непродления контракта. Очень часто из пилота, по результатам анализа работы с клиентом
В общем, подключайтесь на пилоты - обогатим друг друга знаниями и, таким образом, поднимем зрелость всей отечественной индустрии ИБ!
Ах вот еще что, друзья из Русского офиса шепнули, что сейчас есть еще и акция (детали по ссылке). Ну а то, что на странице акции можно посмотреть видео с вашим покорным слугой окончательно убедило меня необходимостью поделиться этой новостью.
#MDR #vCISO
👍5🔥1
Обсуждаем XDR и SIEM
Для тех, кто не смог подключиться вебинару, выкладываю запись нашего общения с Денисом.
Если формат понравился, пишите, что еще интересно обсудить.
Также, конечно же, пишите если где-то не согласны с нами, обязательно обсудим!
#MDR #vCISO
Для тех, кто не смог подключиться вебинару, выкладываю запись нашего общения с Денисом.
Если формат понравился, пишите, что еще интересно обсудить.
Также, конечно же, пишите если где-то не согласны с нами, обязательно обсудим!
#MDR #vCISO
Дзен | Видео
XDR и SIEM: Конкуренты или Партнеры? | REPLY-TO-ALL Information Security Blog | Дзен
Видео автора «REPLY-TO-ALL Information Security Blog» в Дзене 🎦: Совместно с Денисом Батранковым обсуждали сценарии использования XDR и SIEM
👍11❤2🤩1🤡1🤝1