SecOps
Хочется ли вам, чтобы покупаемые вами продукты были результативными? Наверное, да. Всегда хочется похвастаться тем, что используемое решение дает некий результат, а значит мы не сделали ошибки, выбрав то или иное решение; Даже если оно бесплатное и open source. Но что такое результативность продукта? В чем она измеряется. Я тут готовился к выступлению, где как […
Написал я в ноябре заметку о том, как выбирать/приоритизировать события ИБ, на которые надо реагировать в SOC в первую очередь. Это был один из возможных вариантов, с которым я сталкивался в свое время. Эта заметка вызвала совсем небольшое обсуждение в одном SOCовском чатике и в ответ на мою заметку Сергей Солдатов свою. Я подумал, что […]
Помню, проходил я несколько лет назад стажировку в одном SOC, и в первый же день я задал коллегам сакраментальный вопрос — а как вы выбираете, на какие сигналы от SIEM/EDR/NTA/NDR реагировать, а какие можно отложить «на потом»? Ведь при миллионах и миллиардах событий безопасности, которые детектируют различные сенсоры и «
Раз уж вчера я обозрел один отчет сокращающей свой персонал HackerOne, то сегодня решил обратить свое внимание на другой их отчет; мало ли, вдруг больше ничего не выпустят. Новый посвящен достаточно интересному и новому понятию — «сопротивляемость атакам» (attack resistance). HackerOne его ввел непросто так —
Компания HackerOne, которая на днях объявила о сокращении 12% своего персонала из-за экономической рецессии, успела выпустить с обзором деятельности легальных хакеров и там на мой взгляд нашлось немало интересных фактов и выводов, которые мне и хотелось бы подсветить в заметке. Во-первых, 92% белых хакеров в 2022-м году смогли найти уязвимости, которых не находили сканеры безопасности!
Побуду сегодня Капитаном Очевидность, но на прошлой неделе у меня был разговор с коллегой, который планировал строить SOC, и в процессе разговора всплыла тема с Threat Intelligence. Оказалось, что TI иногда воспринимается достаточно однобоко. Как правило так — «мы получаем индикаторы компрометации и когда успеваем загружаем их в наши средства
Знаете, чем Gartner навредил рынку ИБ? Он приучил нас выбирать не решение своих задач в ИБ, а аббревиатуры классы средств защиты (NGFW, WAF, VM, DLP, EDRM, SIEM и т.п.). А ведь нам нужно не это — нам нужно предотвратить реализацию недопустимых событий или, для апологетов старой школы, бороться с актуальными для нас угрозами и нарушителями. […]
В Telegram-канале «Кибервойна» вчера появилась про атаки на web-сайты под управлением Битрикс, в которой был задан сакраментальный и риторический одновременно вопрос. Если ФСТЭК рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе (например, и ), РКН расследует факты
Ну что, пойдем дальше разбирать выступления на PHDays. Я не буду оценивать каждое видео, каждый доклад, каждую дискуссию, — это не очень интересно и неправильно. Как отдельный IOC оценивать, в отрыве от серии индикаторов, определяющих целую кампанию 🙂 Посмотрим на то, что говорилось на тему багбаунти, то есть поиска слабых мест за вознаграждение. Я про […
Этот вопрос я услышал на этой неделе трижды (а ведь сегодня только среда). Поэтому я подумал, что это знак и на этот вопрос надо ответить. Итак, есть ли какое-то магическое число, на которое надо ориентироваться, строя свой центр мониторинга ИБ? Сразу отвечу: «Нет!» И вот почему. Начну с простейшего вопроса: «