В статье про креативность я рассуждал, что наши новые идеи берут сове начало в прошлом опыте. Несложно догадаться, что наш прошлый опыт во многом определяется родом деятельности, и как бы я не старался отвлекаться, рассматривая картины, разучивая и пытаясь исполнить песни, я все равно остаюсь "пробитым ИТшником", так как провожу на работе 10-12 часов в день, а свободное время так или иначе все равно связано с ИТ и ИБ, в общем, с work-life balance у меня ровно наоборот, чем рекомендуется в модных книжках.
Как рыбак рыбака видит издалека, так и креативные идеи пробитых ИТшников удивительным образом совпадают! Ну какие же еще идеи можно предложить на тему оперативного мониторинга?! Ну конечно же мужик, стоящий на башне и смотрящий вдаль. А что же еще?!
Но ситуация, видимо, еще хуже! Когда затык с креативностью, можно спросить у LLM, да и сами картинки уже едва ли рисуются художниками - их также генерит какой-нибудь MidJourney или Kandinsky. Поэтому, что люди, прокаченные на одной предметной области, и GPT, обученные на одних и тех же данных, не удивительно, что создают одинаковые шедевры: если SOC, то человекообразный, стоящий на башне, смотрящий вдаль.
Это - первые побеги неспособности предложить что-то оригинальное, мы обложили себя таким количеством помощников, что теряем способность к самостоятельности, а любая зависимость - это и есть несвобода, свобода Человечества под угрозой!
Отчеты с картинок:
Kaspersky
Positive Technologies
#пятница #MDR
Как рыбак рыбака видит издалека, так и креативные идеи пробитых ИТшников удивительным образом совпадают! Ну какие же еще идеи можно предложить на тему оперативного мониторинга?! Ну конечно же мужик, стоящий на башне и смотрящий вдаль. А что же еще?!
Но ситуация, видимо, еще хуже! Когда затык с креативностью, можно спросить у LLM, да и сами картинки уже едва ли рисуются художниками - их также генерит какой-нибудь MidJourney или Kandinsky. Поэтому, что люди, прокаченные на одной предметной области, и GPT, обученные на одних и тех же данных, не удивительно, что создают одинаковые шедевры: если SOC, то человекообразный, стоящий на башне, смотрящий вдаль.
Это - первые побеги неспособности предложить что-то оригинальное, мы обложили себя таким количеством помощников, что теряем способность к самостоятельности, а любая зависимость - это и есть несвобода, свобода Человечества под угрозой!
Отчеты с картинок:
Kaspersky
Positive Technologies
#пятница #MDR
👍6🔥5🤣3
Google ADK и MCP - ближе к автономному SOC
Ну действительно, если современные LLM умеют играть в CTF почему они не могут заменить SOC?! И все идет к тому, что могут!
Например, Google предлагает свой Agent Development Kit (ADK) для разработки автономных агентов, не зависимых ни от используемой LLM, ни от инфраструктуры развертывания. Агенты могут быть разными, как работающими по алгоритму, так и c ML/AI внутри, т.е. способными принимать решения на основе анализа входных данных и выполнять действия. Для того, чтобы LLM, выдающая, например, текст, смогла выполнять действия, служит Model Context Protocol (MCP) (вот видео "на пальцах" , вот чуть подлиннее, но еще проще).
Отвечающими за действия компонентами являются MCP-клиент и -сервер. Google предоставляет набор готовых MCP-серверов, позволяющих агентам удобно работать с Google SecOps и TI сервисами. Фактически MCP-сервер - де-факто стандартный интерфейс для использования инструментов AI-агентами (я люблю аналогии и упрощения, поэтому MCP-сервер функционально напоминает REST API). Видео о том, как сделать подходящего агента можно посмотреть здесь.
Но ни что не мешает пойти дальше, и решения о том, какие SecOps-сервисы дергать через MCP, отдать на решение LLM-агенту, который, фактически будет реализовывать некий playbook. Поскольку сам по себе LLM-агент - автоматизация, то подходит и термин runbook. Демо таких ранбуков доступно здесь - AI Runbooks for Google Cloud Security MCP Servers, а сами ранбуки можно почитать здесь.
С помощью Google ADK можно создать агентов, выполняющих функции различных ролей в SOC, которые буду работать по описанным выше ранбуам, на это тоже есть демо - Agentic Incident Response.
Если спуститься ближе к земеле, то вот Игорь на PHD2025 рассказывал практический пример, все наработки выложил в Git. По-моему отличный PoC для движения в сторону автоматизации на базе LLM.
#MDR #ml
Ну действительно, если современные LLM умеют играть в CTF почему они не могут заменить SOC?! И все идет к тому, что могут!
Например, Google предлагает свой Agent Development Kit (ADK) для разработки автономных агентов, не зависимых ни от используемой LLM, ни от инфраструктуры развертывания. Агенты могут быть разными, как работающими по алгоритму, так и c ML/AI внутри, т.е. способными принимать решения на основе анализа входных данных и выполнять действия. Для того, чтобы LLM, выдающая, например, текст, смогла выполнять действия, служит Model Context Protocol (MCP) (вот видео "на пальцах" , вот чуть подлиннее, но еще проще).
Отвечающими за действия компонентами являются MCP-клиент и -сервер. Google предоставляет набор готовых MCP-серверов, позволяющих агентам удобно работать с Google SecOps и TI сервисами. Фактически MCP-сервер - де-факто стандартный интерфейс для использования инструментов AI-агентами (я люблю аналогии и упрощения, поэтому MCP-сервер функционально напоминает REST API). Видео о том, как сделать подходящего агента можно посмотреть здесь.
Но ни что не мешает пойти дальше, и решения о том, какие SecOps-сервисы дергать через MCP, отдать на решение LLM-агенту, который, фактически будет реализовывать некий playbook. Поскольку сам по себе LLM-агент - автоматизация, то подходит и термин runbook. Демо таких ранбуков доступно здесь - AI Runbooks for Google Cloud Security MCP Servers, а сами ранбуки можно почитать здесь.
С помощью Google ADK можно создать агентов, выполняющих функции различных ролей в SOC, которые буду работать по описанным выше ранбуам, на это тоже есть демо - Agentic Incident Response.
Если спуститься ближе к земеле, то вот Игорь на PHD2025 рассказывал практический пример, все наработки выложил в Git. По-моему отличный PoC для движения в сторону автоматизации на базе LLM.
#MDR #ml
google.github.io
Agent Development Kit
Build powerful multi-agent systems with Agent Development Kit
🔥6👍4
Готовить презентации и рассказывать их на конференциях - далеко не основная моя работа, хотя рассказать, конечно же есть о чем, отчасти поэтому я веду этот блог. Но ситуация еще хуже: я не люблю один и тот же контент рассказывать несколько раз - последующие разы уже что-то не то, не позволяет совесть акцентировать претензию на новизну, и как-то немного не удобно перед слушателями, так как они не первые (хотя, вполне возможно, это какие-то мои личные заморочки)
Но всегда есть исключения и всегда что-то делается впервые, - так получилось и с контентом, что я подготовил на конфренцию в Сеуле, который я уже успел рассказать несколько раз и по-английски, и по-русски, только, вот, на испанском, не было возможности 😁, причем, во всех случаях будет запись, обязательно поделюсь.
В презентации я посмотрел на статистику инцидентов MDR с 2020 года (самих данных уже нет, но есть статистики, используемые для аналитических отчетов), заметил какие-то закономерности и попытался их проверить на первом квартале 2025. Вообще, если считать будущее следствием настоящего, то подобные упражнения по анализу трендов очень полезны. Даже то, насколько наши оценки ошибочны, дает косвенное понимание насколько искажены или не полны наши данные, на которых мы строим прогноз. Ну, а если прогнозы сбываются, то, мы на правильном пути и профессиональны.
У меня синдром отличника, имея достаточный опыт публичных выступлений, я все равно готовлю себе речь, независимо от того будет ли возможность ее прочесть (даже если она есть, я крайне редко читаю, так как не умею это делать и считаю это неуважением к аудитории). Однако, эта речь всегда очень полезна последователям, кто желает мои слайды вставить в какие-то свои материалы, ибо есть текст, способный справиться даже с полным отсутствием понимания.
Во вложении я делюсь и слайдами и текстом. Текст писался для себя, там куча ошибок и ввиду того, что английский - не мой родной, и ввиду того, что исправлять их сейчас лень, да и их наличие не влияет на смысл.
Вообще, статистик и аналитики можно построить множество, это, так сказать, первый блин комом, поэтому продолжу искать тенденции и делиться ими. Да и к этим слайдам, думаю, буду еще не раз возвращаться.
#MDR #мир #vCISO
Но всегда есть исключения и всегда что-то делается впервые, - так получилось и с контентом, что я подготовил на конфренцию в Сеуле, который я уже успел рассказать несколько раз и по-английски, и по-русски, только, вот, на испанском, не было возможности 😁, причем, во всех случаях будет запись, обязательно поделюсь.
В презентации я посмотрел на статистику инцидентов MDR с 2020 года (самих данных уже нет, но есть статистики, используемые для аналитических отчетов), заметил какие-то закономерности и попытался их проверить на первом квартале 2025. Вообще, если считать будущее следствием настоящего, то подобные упражнения по анализу трендов очень полезны. Даже то, насколько наши оценки ошибочны, дает косвенное понимание насколько искажены или не полны наши данные, на которых мы строим прогноз. Ну, а если прогнозы сбываются, то, мы на правильном пути и профессиональны.
У меня синдром отличника, имея достаточный опыт публичных выступлений, я все равно готовлю себе речь, независимо от того будет ли возможность ее прочесть (даже если она есть, я крайне редко читаю, так как не умею это делать и считаю это неуважением к аудитории). Однако, эта речь всегда очень полезна последователям, кто желает мои слайды вставить в какие-то свои материалы, ибо есть текст, способный справиться даже с полным отсутствием понимания.
Во вложении я делюсь и слайдами и текстом. Текст писался для себя, там куча ошибок и ввиду того, что английский - не мой родной, и ввиду того, что исправлять их сейчас лень, да и их наличие не влияет на смысл.
Вообще, статистик и аналитики можно построить множество, это, так сказать, первый блин комом, поэтому продолжу искать тенденции и делиться ими. Да и к этим слайдам, думаю, буду еще не раз возвращаться.
#MDR #мир #vCISO
Telegram
Солдатов в Телеграм
Кстати, если, вдруг, вы будете в Сеуле в период с 14 по 17 мая, то я здесь.
Слайды уже подготовил. Если кратко, то я буду рассказывать о том, как оглядываясь назад мы можем предсказывать будущее.
Пишите, если будете на мероприятии, точно найдем возможность…
Слайды уже подготовил. Если кратко, то я буду рассказывать о том, как оглядываясь назад мы можем предсказывать будущее.
Пишите, если будете на мероприятии, точно найдем возможность…
👍7❤6
Гибридный SOC 2025
В прошлом году мы много говорили о том, что все SOC - гибридные (видео , статья , Gartner в тему ) и, видимо, наши аргументы показались Сообществу убедительными, так что уже в этом году гибридные SOC обсуждали на ежегодных посиделках Anti-Malware.
А 26.06 в 11.00 МСК на CISO Club будет вебинар - Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы , где будет принимать участие мой друг и коллега - Алексей Пешик.
Темы заявлены мне небезразличные, и мы их касались, поэтому интересно послушать мнения уважаемых коллег.
Я зарегистрировался...
#MDR #ml #vCISO
В прошлом году мы много говорили о том, что все SOC - гибридные (видео , статья , Gartner в тему ) и, видимо, наши аргументы показались Сообществу убедительными, так что уже в этом году гибридные SOC обсуждали на ежегодных посиделках Anti-Malware.
А 26.06 в 11.00 МСК на CISO Club будет вебинар - Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы , где будет принимать участие мой друг и коллега - Алексей Пешик.
Темы заявлены мне небезразличные, и мы их касались, поэтому интересно послушать мнения уважаемых коллег.
Я зарегистрировался...
#MDR #ml #vCISO
👍4
Плейбук на срабатывание антивируса
Положительные стороны унификации процессов ИБ понятны, наверно, так как все это делают(не может же это происходить исключительно по инерции или из-за стадного инстинкта) . Но у всего есть и оборотная сторона, которая, судя по задаваемым вопросам, не всегда очевидна. В новой статье я попытался объяснить почему не может быть одного плейбука на все детекты антивируса.
В общем-то, логика очень простая: плейбук - это план реагирования на инцидент, а детект антивируса - это один из артефактов, по которому далеко не всегда можно сразу восстановить всю картину инцидента. Представляете себе доктора, который по одному симптому сразу назначает вам курс лечения? Только ситуация еще даже хуже. Поскольку разные детекты антивируса означают абсолютно разное, а плейбук почему-то один, то в предложенной аналогии, наш горе-доктор на любой симптом назначал бы одно и то же лечение: насморк - Амоксиклав, болит голова - Амоксиклав, диарея - Амоксиклав.... И это не смешно!
#vCISO #MDR
Положительные стороны унификации процессов ИБ понятны, наверно, так как все это делают
В общем-то, логика очень простая: плейбук - это план реагирования на инцидент, а детект антивируса - это один из артефактов, по которому далеко не всегда можно сразу восстановить всю картину инцидента. Представляете себе доктора, который по одному симптому сразу назначает вам курс лечения? Только ситуация еще даже хуже. Поскольку разные детекты антивируса означают абсолютно разное, а плейбук почему-то один, то в предложенной аналогии, наш горе-доктор на любой симптом назначал бы одно и то же лечение: насморк - Амоксиклав, болит голова - Амоксиклав, диарея - Амоксиклав.... И это не смешно!
#vCISO #MDR
Дзен | Статьи
Плейбук на срабатывание антивируса
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В подавляющем большинстве классификаций инцидентов, что мне попадались, можно встретить тип инцидента "вирусное заражение".
👍5
Kaspersky Cyber Insights 2025
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
BrightTALK
APAC Cyber Insights 2025 - BrightTALK
Next-Gen SOC: Intelligence in Action
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
👍8
Понятно очевидное желание обнаружения атаки на как можно более ранних стадиях. Но принципиальная проблема в том, что для того, чтобы вредоносную активность обнаружить она должна проявиться. Т.е. сначала мы наблюдаем какие-то техники атакующего, а затем, собственно, за эти самые техники мы его детектим. При этом, не умаляется возможность предотвращения атак на ранних стадиях, поскольку мы не стремимся к полному отсутствию вредоносной активности, но к тому, чтобы эта вредоносная активность не успевала нам нанести ущерб прежде чем мы ее обнаружим, локализуем и остановим.
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Дзен | Статьи
"Упреждающая киберзащита" от Gartner
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В 1956 году американский писатель Филип Дик опубликовал антиутопию "Особое мнение" (The Minority Report), а в 2002 году вдохновленный
👍7❤1
Top Use Cases in Preemptive.pdf
503 KB
Gartner
Emerging Tech: Top Use Cases in Preemptive Cyber Defense
После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.
Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии, но, видимо, пережеванные LLM с целью придания им ощущения революционности.
Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.
#MDR
Emerging Tech: Top Use Cases in Preemptive Cyber Defense
После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.
Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии
Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.
#MDR
👍7
Грохот в джунглях
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
Securelist
SOC files: an APT41 attack on government IT services in Africa
Kaspersky experts analyze an incident that saw APT41 launch a targeted attack on government IT services in Africa.
👍6🔥3
Конверсия пилотов
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
Telegram
Солдатов в Телеграм
Конверсия, Вклад и Адаптация
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
👍2❤1
«Вторая зима» искусственного интеллекта…
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!Интересно, от эксперта SOC до музыканта-любителя, это как по карьерной лестнице: вверх или вниз?
#музыка #ml #MDR
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!
#музыка #ml #MDR
👍10🔥10😁3❤2
Для мониторинга важно уметь определять является ли хост десктопом или сервером, как минимум, потому что одно и то же событие безопасности может иметь разное бизнес-влияние. В случае Windows, как правило, это можно сделать по названию и версии ОС, в случае Unix/Linux - не всегда.
В новой статье я вспоминал события почти четвертвековой давности и за одно предложил пару способов отличия десктопа от сервера:
- на основе анализа тонких настроек TCP/IP
- на основе анализа характера сетевого трафика
Материал не то чтобы очень сложный, но, возможно, кому-то пригодится.
И кое-что еще...
В современных условиях популярности машобуча, когда есть возможность не просто определять десктоп, но и по характеру используемых приложений понимать чем занимается пользователь (ИТшник, бухгалтер, дизайнер, программист и т.п.),может, как-нибудь и об этом напишу, задача выглядит еще более простой.
#MDR #dev #ml
В новой статье я вспоминал события почти четвертвековой давности и за одно предложил пару способов отличия десктопа от сервера:
- на основе анализа тонких настроек TCP/IP
- на основе анализа характера сетевого трафика
Материал не то чтобы очень сложный, но, возможно, кому-то пригодится.
И кое-что еще...
В современных условиях популярности машобуча, когда есть возможность не просто определять десктоп, но и по характеру используемых приложений понимать чем занимается пользователь (ИТшник, бухгалтер, дизайнер, программист и т.п.),
#MDR #dev #ml
Дзен | Статьи
Определение сервера
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В 2002-м году я начал работать по специальности (до этого, с 2001 работал программистом на С и Perl), в области ИБ, и первыми моими...
👍5