REPLY-TO-ALL Information Security Blog

В нашем арсенале есть методики оценки рисков, ущерба от инцидентов, критичности активов, уязвимостей и много еще чего, однако оценки возможностей злоумышленника (да хоть даже по CMM!) я что-то не припомнил, а значит, порассуждать об этом не будет бесполезным. Едва ли удастся выкристаллизовать универсальную методику, но придумать подход и перечислить что стоит учесть, думаю, удастся, а уже их комбинацией можно попытаться воспользоваться на практике. На бытовом уровне мы часто используем, наверно, самую простую классификацию, однако, в публикациях нередко прослеживается путаница, поэтому, приведенная здесь не претендует на истинность...

Человек - эмоционален. И поэтому на его продуктивность влияет множество факторов. Едва ли я могу перечислить все, но некоторые, для объяснения: корпоративная культура, обустройство офиса и его расположение, инфраструктура офиса - кухни, спортзалы, игровые комнаты, коллектив и все то, что делает работу для сотрудника максимально комфортной. В комфортных условиях коллега работает максимально эффективно. Эффективную работу хочется продлить, так как сама продолжительность работы тоже имеет только плюсы - вопросы значительно проще решаются с теми коллегами, которых знаешь уже много лет. Наверно, я снова...

В 2002-м году я начал работать по специальности (до этого, с 2001 работал программистом на С и Perl), в области ИБ, и первыми моими задачами были - администрирование систем ИБ и их использование (ссылки на мои переписки с форумов того времени, закешированные Всемирной паутиной, я давал в этой заметке). Одним из продуктов в области моей ответственности был ISS Internet Scanner (вот попалась древняя статья с описанием). Ставился IS на ОС Windows, в то время это была Windows 2000. Десктопная W2000 тогда не отличалась выдающейся стабильностью, а сканер был развернут у меня на сервере, к которому я подключался удаленно...

В старой статье я рассказывал о том, что причина ложного срабатывания может быть совсем разной, а, следовательно, обрабатывать его надо по-разному: в общем случае, либо необходимо дорабатывать детектирующую логику, либо заниматься адаптацией под конкретного клиента, последний случай значительно более частый. Оба описанных "зафолсения", т.е. признание алерта ложным срабатыванием, происходит на линии поставщика решения. Однако, опубликованный клиенту инцидент, классифицированный командой SOC как True positive, может вернуться как False positive (FP) уже от клиента...

В 1956 году американский писатель Филип Дик опубликовал антиутопию "Особое мнение" (The Minority Report), а в 2002 году вдохновленный сюжетом рассказа Дика Стивен Спилберг снял одноименный фильм. В рассказе описывается мир, в котором существует система "Прекрайм" (Precrime), которая с помощью трёх мутантов-"прекогов" (предвидящих) может предсказывать убийства ещё до их совершения. Полиция арестовывает будущих преступников на основе этих предсказаний, не давая им совершить преступление. Доказательством эффективности такой системы считают отсутствие убийств за последние несколько лет. Главный герой...

Раз я позволил себе написать про гитары, о которых я могу судить исключительно с позиции любителя, то было бы несправедливо обделить вниманием балалайку, которой я отдал годы в музыкальной школе на закате СССР. У нас было принято идти в первый класс и сразу идти куда-то - либо в спорт, либо в школу искусств. Тем, кто никуда не ходил, рекомендовали продленку, чтобы дети "не шатались бесцельно на улице". В Школе искусств можно было заниматься танцами, петь и играть на музыкальных инструментах. Мама очень хотела отдать меня на танцы, но я, чудак, на отрез отказывался...

В подавляющем большинстве классификаций инцидентов, что мне попадались, можно встретить тип инцидента "вирусное заражение". Едва ли классификация делается ради самой себя, обычно имеется явная цель - в зависимости от типа инцидента по-разному его обрабатывать. Наличие одного типа "вирусное заражение", видимо, предполагает, что все вирусные заражения будут обрабатываться одинаково, поэтому вопрос, который сначала показался мне нелепым: "Какой у вас плейбук на срабатывание антивируса?", с учетом изложенного выше, по логике его задающего становится понимаем. В этой заметке попробую объяснить почему вопрос мне показался нелепым, и почему это действительно так...

В этом году с 16 июня начнется "Нежелезный человек" в котором я традиционно участвую в составе нашей корпоративной сборной. Не раз писал, что в школе я занимался плаванием, вот заметка про дыхание, а за плавание засчитывают наиболее щедрые баллы, что дает прекрасную возможность быть полезным для своей команды. Обычно, когда я просто плаваю в бассейне купаюсь, темп получается 2.10-2.25 на 100 м в длинной воде, что, в условиях соревнований, конечно же, хочется улучшить. И в этой заметке я поделюсь своим планом по улучшению этого показателя до 1...

Эта новость, в целом, не новость - многие вендоры купили сервисные компании: история Google и Mandiant, Microsoft и RiskIQ, Palo Alto Networks и Crypsis. В целом, это развитие отмеченного ранее тренда на то, что специализирующиеся на ИБ компании были куплены ИТ-шными - IBM и ISS, BT и Counterpane. Но я следил за Red Canary, так как их бизнес-модель близка тому, к чему я лично причастен в текущей позиции, поэтому и решил в очередной раз посотрясать воздух на тему зачем вендору приобретать сервисные компании. 1. Операционная история. Чем более современные и эффективные решения хочет выпускать вендор, тем по факту эти решения сложнее...

Я сам из тех... Константин Никольский Почему-то в отечественной популярной культуре за отличниками закреплен скорее негативный образ, ну за очень нечастым исключением. Я был школьником, был студентом ВУЗа, я был внутри ситуации, поэтому не думаю, что мои суждения как-то значительно искривлены субъективизмом. Я был абсолютно обычным учащимся, звезд с неба не хватал, но мне хватало объективности взгляда на вещи, чтобы прекрасно понимать превосходство одноклассников\одногруппников в тех или иных дисциплинах и обоснованно оценивать свои способности именно как средние - не выдающиеся, но и не на дне коллектива...

Где начало того конца, которым оканчивается начало? Козьма Прутков Работа аналитика SOC должна быть формализована, чтобы гарантировать идентичную интерпретацию идентичных ситуаций разными аналитиками. Однако, ситуаций может быть великое множество, не исключая тех, которые не известны на момент подготовки руководств и инструкций, что приводит к огромному количеству документации, которую, во-первых, невозможно поддерживать в актуальном состоянии (ну или трудоемкость будет неадекватна решаемой задаче), а, во-вторых, огромное количество разнородных инструкций создаст необоснованную когнитивную нагрузку...

На днях я занимался придумыванием сценария для одного из мероприятий, и, поскольку, мне для этой работы надо было вспомнить много классической литературы и классической музыки, которе я просто физически не помню, я спрашивал у ИИ. В целом, это уже почти сложившаяся практика, когда ChatGPT или DeepSeek заменили собой Яндекс и Google, поскольку пользоваться ими удобнее, а результат выдается в куда более подходящем для конкретной задачи виде (однако, "факты", выданные ИИ все-таки рекомендую перепроверять). В процессе этой работы я задумался о том, что такое креативность, поскольку, ранее полагал,...