Гоц LLM.pdf
9.8 MB
Игорь Гоц, Яндекс. Как приручить LLM в SOC.
Этой заметкой я открываю серию публикаций об интересных докладах с прошедшей конференции Positive Hack Days, с моей точки зрения.
Этот доклад смотивировал меня вернуться к тестированию возможности перевода нашего Автоаналитика с CatBoost на LLM (ребятам из Бизона тоже можно об этом подумать).
Я уже упражнялся в этом, как только у нас появилась лаба с локальной LLaMA от Meta, однако результат был не очень воодушевляющий. Игорь утверждает, что начинать подобные эксперементы следует с самой лучшей модели, чтобы сразу получить результаты, мотивирующие продолжать, а лучшей является именно ChatGPT. Но этот вариант не подходит, ибо ChatGPT облачная. Однако, наши ребята-датасайнтисты заверили, что новая LLaMA много лучше... что ж, посмотрим...
#mdr #phd2
Этой заметкой я открываю серию публикаций об интересных докладах с прошедшей конференции Positive Hack Days, с моей точки зрения.
Этот доклад смотивировал меня вернуться к тестированию возможности перевода нашего Автоаналитика с CatBoost на LLM (ребятам из Бизона тоже можно об этом подумать).
Я уже упражнялся в этом, как только у нас появилась лаба с локальной LLaMA от Meta, однако результат был не очень воодушевляющий. Игорь утверждает, что начинать подобные эксперементы следует с самой лучшей модели, чтобы сразу получить результаты, мотивирующие продолжать, а лучшей является именно ChatGPT. Но этот вариант не подходит, ибо ChatGPT облачная. Однако, наши ребята-датасайнтисты заверили, что новая LLaMA много лучше... что ж, посмотрим...
#mdr #phd2
👍10🔥5
Солдатов_ed 25_n1_s1.pdf
5.7 MB
Работа в SOC
Как обещал, делюсь слайдами.
Выступление происходило 25 мая в 12:55 на сцене "Спутник", в секции Научпоп, ссылка на трансляцию, очень надеюсь, что будет запись, где-нибудь здесь (если найду, обязательно поделюсь в этой же заметке).
Моей целью на выступление было рассказать о работе аналитика так, чтобы слушателям захотелось прийти на работу в SOC
#phd2 #mdr
Как обещал, делюсь слайдами.
Выступление происходило 25 мая в 12:55 на сцене "Спутник", в секции Научпоп, ссылка на трансляцию, очень надеюсь, что будет запись, где-нибудь здесь (если найду, обязательно поделюсь в этой же заметке).
Моей целью на выступление было рассказать о работе аналитика так, чтобы слушателям захотелось прийти на работу в SOC
#phd2 #mdr
👍15🔥4🥰1🤣1
Алиса Кулишенко. ЛК. Погружение в разработку ботнетов
В замечательном коротеньком докладе моя коллега Алиса рассказала о том, как построена подпольная экономика ботнетов. Узкая специализация и обилие предложений на рынке повышают качество итогового продукта, а множество участников сбивает атрибуцию.
В целом, теми же преимуществами конкурентного рынка ВПО и его запчастей вполне могут пользоваться и прочие малварщики/группировки, с учетом наблюдаемой коммодизации, скорее всего, так и есть, что сбивает атрибуцию и снижает результативность работы команд TI.
Интересно, если сегодня я покупаю зубную щетку "President", можно ли меня по ней как-то атрибутировать? А если завтра я начну пользоваться щеткой "Oral-B", а послезавтра - "SPLAT"? Что мне мешает постоянно менять свои зубные щетки? Ничего, кроме пользы, в этом не вижу. Понятно, что если бы я самостоятельно делал себе зубные щетки, они были бы уникальны и по ним можно было бы понять, что ее пользователь - я (ну, если я их никому не дарю и не продаю). Но специализация, разделение труда и широкое предложение - характеристики зрелого рынка, и на зрелом рынке ВПО и запчастей, атрибуция, видимо, постепенно будет терять смысл... ну, разве что, только state-sponsored, которые будут предпочитать собственную разработку... хотя, не понятно, зачем, если использование "стандартных" предложений затрудняет расследование, что, собственно, и требуется...
#mdr #phd2
В замечательном коротеньком докладе моя коллега Алиса рассказала о том, как построена подпольная экономика ботнетов. Узкая специализация и обилие предложений на рынке повышают качество итогового продукта, а множество участников сбивает атрибуцию.
В целом, теми же преимуществами конкурентного рынка ВПО и его запчастей вполне могут пользоваться и прочие малварщики/группировки, с учетом наблюдаемой коммодизации, скорее всего, так и есть, что сбивает атрибуцию и снижает результативность работы команд TI.
Интересно, если сегодня я покупаю зубную щетку "President", можно ли меня по ней как-то атрибутировать? А если завтра я начну пользоваться щеткой "Oral-B", а послезавтра - "SPLAT"? Что мне мешает постоянно менять свои зубные щетки? Ничего, кроме пользы, в этом не вижу. Понятно, что если бы я самостоятельно делал себе зубные щетки, они были бы уникальны и по ним можно было бы понять, что ее пользователь - я (ну, если я их никому не дарю и не продаю). Но специализация, разделение труда и широкое предложение - характеристики зрелого рынка, и на зрелом рынке ВПО и запчастей, атрибуция, видимо, постепенно будет терять смысл... ну, разве что, только state-sponsored, которые будут предпочитать собственную разработку... хотя, не понятно, зачем, если использование "стандартных" предложений затрудняет расследование, что, собственно, и требуется...
#mdr #phd2
YouTube
Погружение в разработку ботнетов: Комплексный анализ
👍6🔥5🤣1
Геннадий Сазонов, Антон Каргин. Солар. Распутываем змеиный клубок: по следам атак Shedding Zmiy
Невозможно ловить атаки без представления о том, как они выглядят. На PHD был ряд докладов по мотивам расследования деятельности группировок: какие техники и инструменты используются, интересные детали, за что можно попытаться атрибутировать. Особенно хочу выделить ребят из Солара(не только потому что один из докладчиков КМС по плаванию, а я так и не доплавал до Первого) , в докладе перечисляется много техник и инструментов, может быть полезно проверить свою готовность к их обнаружению.
Подобных докладов было много, например:
Олег Скулкин. Бизон. Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации
Дмитрий Купин. FACCT. Сквозь туман кибервойны: обзор атак APT Cloud Atlas
Остальные доклады из которых можно натаскать идей для Detection Engineering-а буду добавлять в комментариях к этой заметке
#mdr #phd2
Невозможно ловить атаки без представления о том, как они выглядят. На PHD был ряд докладов по мотивам расследования деятельности группировок: какие техники и инструменты используются, интересные детали, за что можно попытаться атрибутировать. Особенно хочу выделить ребят из Солара
Подобных докладов было много, например:
Олег Скулкин. Бизон. Не самые типичные методы и инструменты, которые использовали злоумышленники в атаках на российские организации
Дмитрий Купин. FACCT. Сквозь туман кибервойны: обзор атак APT Cloud Atlas
Остальные доклады из которых можно натаскать идей для Detection Engineering-а буду добавлять в комментариях к этой заметке
#mdr #phd2
YouTube
Распутываем змеиный клубок: по следам атак Shedding Zmei
В 2022 году мировая геополитическая обстановка накалилась до предела, что не могло не оказать влияния на активность крупнейших APT-группировок в регионе. Одна из ключевых группировок, известная команде Solar 4RAYS как Shedding Zmiy, не только участила свои…
🔥9👍1
Солдатов в Телеграм
Солдатов_ed 25_n1_s1.pdf
Для тех, кто не любит смотреть видео, предпочитает читать статьи, по мотивам этого доклада вышла статья на Хабре:
https://habr.com/p/833260/
#mdr #phd2
https://habr.com/p/833260/
#mdr #phd2
Habr
Можно ли стать Blue Team тимлидом за пять лет, или Работа в SOC: мифы и реальность
Нет повести печальнее на свете, чем повесть о слухах про работу в мониторинге ИБ-инцидентов. Публичные спикеры и авторы книг часто поддерживают разные заблуждения о SOC: что он скучный, лишен...
👍13🔥4❤1👏1