Kaspersky Cyber Insights 2025
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
BrightTALK
APAC Cyber Insights 2025 - BrightTALK
Next-Gen SOC: Intelligence in Action
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
👍8
Понятно очевидное желание обнаружения атаки на как можно более ранних стадиях. Но принципиальная проблема в том, что для того, чтобы вредоносную активность обнаружить она должна проявиться. Т.е. сначала мы наблюдаем какие-то техники атакующего, а затем, собственно, за эти самые техники мы его детектим. При этом, не умаляется возможность предотвращения атак на ранних стадиях, поскольку мы не стремимся к полному отсутствию вредоносной активности, но к тому, чтобы эта вредоносная активность не успевала нам нанести ущерб прежде чем мы ее обнаружим, локализуем и остановим.
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Дзен | Статьи
"Упреждающая киберзащита" от Gartner
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В 1956 году американский писатель Филип Дик опубликовал антиутопию "Особое мнение" (The Minority Report), а в 2002 году вдохновленный
👍7❤1
Top Use Cases in Preemptive.pdf
503 KB
Gartner
Emerging Tech: Top Use Cases in Preemptive Cyber Defense
После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.
Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии, но, видимо, пережеванные LLM с целью придания им ощущения революционности.
Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.
#MDR
Emerging Tech: Top Use Cases in Preemptive Cyber Defense
После сегодняшней публикации об Упреждающей безопасности ко мне обратился ряд читателей с просьбой прислать им, по дружбе, сам документ. Я подумал, что это нехорошо по отношению к читателям, кто не написал в ЛС, и что правильнее нам всем считаться друзьями.
Документ во вложении. Краткое резюме - ничего нового, описываются уже давно используемые на практике сценарии
Зрелым SOC-ам док полезен для "сверки часов", что в том или ином виде описанные ноухау применяются.
#MDR
👍7
Грохот в джунглях
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
Securelist
SOC files: an APT41 attack on government IT services in Africa
Kaspersky experts analyze an incident that saw APT41 launch a targeted attack on government IT services in Africa.
👍6🔥3
Конверсия пилотов
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
Telegram
Солдатов в Телеграм
Конверсия, Вклад и Адаптация
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
👍2❤1
«Вторая зима» искусственного интеллекта…
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!Интересно, от эксперта SOC до музыканта-любителя, это как по карьерной лестнице: вверх или вниз?
#музыка #ml #MDR
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!
#музыка #ml #MDR
👍10🔥10😁3❤2
Для мониторинга важно уметь определять является ли хост десктопом или сервером, как минимум, потому что одно и то же событие безопасности может иметь разное бизнес-влияние. В случае Windows, как правило, это можно сделать по названию и версии ОС, в случае Unix/Linux - не всегда.
В новой статье я вспоминал события почти четвертвековой давности и за одно предложил пару способов отличия десктопа от сервера:
- на основе анализа тонких настроек TCP/IP
- на основе анализа характера сетевого трафика
Материал не то чтобы очень сложный, но, возможно, кому-то пригодится.
И кое-что еще...
В современных условиях популярности машобуча, когда есть возможность не просто определять десктоп, но и по характеру используемых приложений понимать чем занимается пользователь (ИТшник, бухгалтер, дизайнер, программист и т.п.),может, как-нибудь и об этом напишу, задача выглядит еще более простой.
#MDR #dev #ml
В новой статье я вспоминал события почти четвертвековой давности и за одно предложил пару способов отличия десктопа от сервера:
- на основе анализа тонких настроек TCP/IP
- на основе анализа характера сетевого трафика
Материал не то чтобы очень сложный, но, возможно, кому-то пригодится.
И кое-что еще...
В современных условиях популярности машобуча, когда есть возможность не просто определять десктоп, но и по характеру используемых приложений понимать чем занимается пользователь (ИТшник, бухгалтер, дизайнер, программист и т.п.),
#MDR #dev #ml
Дзен | Статьи
Определение сервера
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В 2002-м году я начал работать по специальности (до этого, с 2001 работал программистом на С и Perl), в области ИБ, и первыми моими...
👍5
Вышло фундаментальное исследование наших коллег из команды TI, основанное, в том числе, и на инцидентах обнаруженных в MDR и расследованных командой DFIR.
И хочетcя дополнить прекрасное интро Никиты Назарова следующими соображениями.
Разные коллеги по индустрии фиксировали разные активности, как будто, разных группировок и выпускали об этом разные отчеты. Но для того, чтобы видеть картину более-менее целиком необходимы: обширная клиентская база, широкая телеметрия и технологичные инструменты, квалифицированная экспертная команда. Перечисленное позволяет соединять точки линиями и, как точно подмечал Сергей Александрович, видеть большое "на расстоянье".
Коллеги старалиcь сделать отчет полезным для практиков, как говорится, Enjoy!
#MDR #kaspersky
И хочетcя дополнить прекрасное интро Никиты Назарова следующими соображениями.
Разные коллеги по индустрии фиксировали разные активности, как будто, разных группировок и выпускали об этом разные отчеты. Но для того, чтобы видеть картину более-менее целиком необходимы: обширная клиентская база, широкая телеметрия и технологичные инструменты, квалифицированная экспертная команда. Перечисленное позволяет соединять точки линиями и, как точно подмечал Сергей Александрович, видеть большое "на расстоянье".
Коллеги старалиcь сделать отчет полезным для практиков, как говорится, Enjoy!
#MDR #kaspersky
🔥15👍6❤4🤡1