Грохот в джунглях
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
В прошлом году доля инцидентов высокой критичности продолжила снижаться и составила менее 5% (слайд 11), из них доля инцидентов, связанных с обнаружением активной целевой атаки - 43% (слайд 16, там же). Если посмотреть наш аналитический отчет, то в прошлом году мы опубликовали примерно 13 000 инцидентов, т.е. примерно 13000 * 4,7% * 43,01% = 263 инцидента были связаны с активной APT на момент обнаружения, т.е. по реальной APT каждый день.
Мы в SOC не занимаемся атрибуцией и называем группировки в карточках инцидентов только если наблюдаем точное совпадение по индикаторам на основе доступного нам TI, однако, техники, процедуры и инструменты атакующих далее подхватываются внутренними экспертными подразделениями, специализирующимися на TI, а наши ребята получают достойное упоминание и благодарности в отчетах коллег (пример)
Вот и APT41, работающая по Африке (на русском), нами была обнаружена как раз в Африке. Инцидент был действительно интересный, и вам интересного изучения!
#MDR
Securelist
SOC files: an APT41 attack on government IT services in Africa
Kaspersky experts analyze an incident that saw APT41 launch a targeted attack on government IT services in Africa.
👍6🔥3
Конверсия пилотов
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
В заметке я рассказывал о том, что адаптация детектирующей логики под клиента занимает время, а степень адаптации влияет на конверсию, которую надо контролировать (про метрики можно посмотреть здесь ).
В новой статье рассуждал о важности и проблемах контроля ложных срабатываний и на стороне клиента.
#MDR
Telegram
Солдатов в Телеграм
Конверсия, Вклад и Адаптация
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
На конференции PHD я немного коснулся метрик качества правил обнаружения, будем называть их "ханты" (официальное название - IoA, Indicator of attack), - конверсии и вклада. Коротко напомню, что конверсия - это отношение количества…
👍2❤1
«Вторая зима» искусственного интеллекта…
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!Интересно, от эксперта SOC до музыканта-любителя, это как по карьерной лестнице: вверх или вниз?
#музыка #ml #MDR
Попал в подкаст "Смени пароль!", прямо в начало!
Ну а для наших подписчиков привожу немного бэкстейджа :)
Замечу, что это не первое мое участие в подкасте. Ранее (14.06.2023, эпизод "Охотники на хакеров: как ловить атаку") я уже общался про SOC-и, по-моему, было интересно (мне-то уж точно!). А в этот раз мне предложили помузицировать, ну и я, конечно же, согласился!
#музыка #ml #MDR
👍10🔥10😁3❤2
Для мониторинга важно уметь определять является ли хост десктопом или сервером, как минимум, потому что одно и то же событие безопасности может иметь разное бизнес-влияние. В случае Windows, как правило, это можно сделать по названию и версии ОС, в случае Unix/Linux - не всегда.
В новой статье я вспоминал события почти четвертвековой давности и за одно предложил пару способов отличия десктопа от сервера:
- на основе анализа тонких настроек TCP/IP
- на основе анализа характера сетевого трафика
Материал не то чтобы очень сложный, но, возможно, кому-то пригодится.
И кое-что еще...
В современных условиях популярности машобуча, когда есть возможность не просто определять десктоп, но и по характеру используемых приложений понимать чем занимается пользователь (ИТшник, бухгалтер, дизайнер, программист и т.п.),может, как-нибудь и об этом напишу, задача выглядит еще более простой.
#MDR #dev #ml
В новой статье я вспоминал события почти четвертвековой давности и за одно предложил пару способов отличия десктопа от сервера:
- на основе анализа тонких настроек TCP/IP
- на основе анализа характера сетевого трафика
Материал не то чтобы очень сложный, но, возможно, кому-то пригодится.
И кое-что еще...
В современных условиях популярности машобуча, когда есть возможность не просто определять десктоп, но и по характеру используемых приложений понимать чем занимается пользователь (ИТшник, бухгалтер, дизайнер, программист и т.п.),
#MDR #dev #ml
Дзен | Статьи
Определение сервера
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В 2002-м году я начал работать по специальности (до этого, с 2001 работал программистом на С и Perl), в области ИБ, и первыми моими...
👍5
Вышло фундаментальное исследование наших коллег из команды TI, основанное, в том числе, и на инцидентах обнаруженных в MDR и расследованных командой DFIR.
И хочетcя дополнить прекрасное интро Никиты Назарова следующими соображениями.
Разные коллеги по индустрии фиксировали разные активности, как будто, разных группировок и выпускали об этом разные отчеты. Но для того, чтобы видеть картину более-менее целиком необходимы: обширная клиентская база, широкая телеметрия и технологичные инструменты, квалифицированная экспертная команда. Перечисленное позволяет соединять точки линиями и, как точно подмечал Сергей Александрович, видеть большое "на расстоянье".
Коллеги старалиcь сделать отчет полезным для практиков, как говорится, Enjoy!
#MDR #kaspersky
И хочетcя дополнить прекрасное интро Никиты Назарова следующими соображениями.
Разные коллеги по индустрии фиксировали разные активности, как будто, разных группировок и выпускали об этом разные отчеты. Но для того, чтобы видеть картину более-менее целиком необходимы: обширная клиентская база, широкая телеметрия и технологичные инструменты, квалифицированная экспертная команда. Перечисленное позволяет соединять точки линиями и, как точно подмечал Сергей Александрович, видеть большое "на расстоянье".
Коллеги старалиcь сделать отчет полезным для практиков, как говорится, Enjoy!
#MDR #kaspersky
🔥16👍7❤5🤡1