REPLY-TO-ALL Information Security Blog

В заметке в перечне важных фич приводится "Мониторинг Identity", что, как я понял, вызывает уже вопросики, но я наброшу еще больше, если скажу, что принципы Zero Trust надо сделать частью логики обнаружеиня MDR. Об этом пишет Gartner в документе "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (21 May 2025 ID G00830314): Traditional network-centric security models are proving inadequate against threats that leverage compromised credentials and insider activity. MDR services, tasked with detecting and responding to advanced threats, must evolve to incorporate robust identity-centric security principles...

Как это нередко бывает, фантастика о контакте с иными цивилизациями затрагивает фундаментальные вопросы нашего бытия. Примеров - масса: и Ефремов со своим "Часом", и Стругацкие с "Пикником", и, еще более напоминающим "Час Быка", "Трудно быть богом", однако, поднимаемые в этих книжках проблемы настолько многогранны, что никакое повторение идеи контакта с неземной цивилизацией не будет плагиатом, а очередное переосмысление себя никогда не будет лишним. "Задача трех тел" Лю Цысиня - очередная интерпретация контакта, высоко оцененная и критиками, и читателями, по моему мнению, не превосходящая все...

И был последний день Помпеи Для русской кисти первый день! Евгений Абрамович Баратынский Карл Павлович Брюллов - художник-праздник, умница, гений, отличник, медалист, вундеркинд с детства, имел невероятный успех еще при жизни (тот нечастый случай, когда гений замечен при жизни, видимо, настолько он был гениален). Брюллов разный для всех и каждый в нам находит что-то для себя, а в этой заметке поделюсь своими непрофессиональными наблюдениями во время прогулки по выставке "Карл Брюллов. Рим - Москва - Петербург" в Москве...

Полюби нас чёрненькими, а беленькими нас всякий полюбит М.С. Щепкин Антоним к любви не ненависть, а равнодушие Ромен Роллан Все мы имеем сложности и особенности, от которых, точно страдают наши окружающие. По своей природе мы обладаем эмпатией, поэтому в большинстве случаев понимаем свои темные стороны, вынуждающие страдать ближних, и поэтому мы имеем возможности самоконтроля и сдерживания. Но не всё и не всегда можно сдерживать, тем более, что подобный самоконтроль энергозатратен. Поэтому кому-то с нами действительно трудно. Не надо долго думать для понимания, что эти "кто-то" - наши самые близкие, любящие нас люди...

В нашем арсенале есть методики оценки рисков, ущерба от инцидентов, критичности активов, уязвимостей и много еще чего, однако оценки возможностей злоумышленника (да хоть даже по CMM!) я что-то не припомнил, а значит, порассуждать об этом не будет бесполезным. Едва ли удастся выкристаллизовать универсальную методику, но придумать подход и перечислить что стоит учесть, думаю, удастся, а уже их комбинацией можно попытаться воспользоваться на практике. На бытовом уровне мы часто используем, наверно, самую простую классификацию, однако, в публикациях нередко прослеживается путаница, поэтому, приведенная здесь не претендует на истинность...

Человек - эмоционален. И поэтому на его продуктивность влияет множество факторов. Едва ли я могу перечислить все, но некоторые, для объяснения: корпоративная культура, обустройство офиса и его расположение, инфраструктура офиса - кухни, спортзалы, игровые комнаты, коллектив и все то, что делает работу для сотрудника максимально комфортной. В комфортных условиях коллега работает максимально эффективно. Эффективную работу хочется продлить, так как сама продолжительность работы тоже имеет только плюсы - вопросы значительно проще решаются с теми коллегами, которых знаешь уже много лет. Наверно, я снова...

В 2002-м году я начал работать по специальности (до этого, с 2001 работал программистом на С и Perl), в области ИБ, и первыми моими задачами были - администрирование систем ИБ и их использование (ссылки на мои переписки с форумов того времени, закешированные Всемирной паутиной, я давал в этой заметке). Одним из продуктов в области моей ответственности был ISS Internet Scanner (вот попалась древняя статья с описанием). Ставился IS на ОС Windows, в то время это была Windows 2000. Десктопная W2000 тогда не отличалась выдающейся стабильностью, а сканер был развернут у меня на сервере, к которому я подключался удаленно...

В старой статье я рассказывал о том, что причина ложного срабатывания может быть совсем разной, а, следовательно, обрабатывать его надо по-разному: в общем случае, либо необходимо дорабатывать детектирующую логику, либо заниматься адаптацией под конкретного клиента, последний случай значительно более частый. Оба описанных "зафолсения", т.е. признание алерта ложным срабатыванием, происходит на линии поставщика решения. Однако, опубликованный клиенту инцидент, классифицированный командой SOC как True positive, может вернуться как False positive (FP) уже от клиента...

В 1956 году американский писатель Филип Дик опубликовал антиутопию "Особое мнение" (The Minority Report), а в 2002 году вдохновленный сюжетом рассказа Дика Стивен Спилберг снял одноименный фильм. В рассказе описывается мир, в котором существует система "Прекрайм" (Precrime), которая с помощью трёх мутантов-"прекогов" (предвидящих) может предсказывать убийства ещё до их совершения. Полиция арестовывает будущих преступников на основе этих предсказаний, не давая им совершить преступление. Доказательством эффективности такой системы считают отсутствие убийств за последние несколько лет. Главный герой...

Раз я позволил себе написать про гитары, о которых я могу судить исключительно с позиции любителя, то было бы несправедливо обделить вниманием балалайку, которой я отдал годы в музыкальной школе на закате СССР. У нас было принято идти в первый класс и сразу идти куда-то - либо в спорт, либо в школу искусств. Тем, кто никуда не ходил, рекомендовали продленку, чтобы дети "не шатались бесцельно на улице". В Школе искусств можно было заниматься танцами, петь и играть на музыкальных инструментах. Мама очень хотела отдать меня на танцы, но я, чудак, на отрез отказывался...

В подавляющем большинстве классификаций инцидентов, что мне попадались, можно встретить тип инцидента "вирусное заражение". Едва ли классификация делается ради самой себя, обычно имеется явная цель - в зависимости от типа инцидента по-разному его обрабатывать. Наличие одного типа "вирусное заражение", видимо, предполагает, что все вирусные заражения будут обрабатываться одинаково, поэтому вопрос, который сначала показался мне нелепым: "Какой у вас плейбук на срабатывание антивируса?", с учетом изложенного выше, по логике его задающего становится понимаем. В этой заметке попробую объяснить почему вопрос мне показался нелепым, и почему это действительно так...

В этом году с 16 июня начнется "Нежелезный человек" в котором я традиционно участвую в составе нашей корпоративной сборной. Не раз писал, что в школе я занимался плаванием, вот заметка про дыхание, а за плавание засчитывают наиболее щедрые баллы, что дает прекрасную возможность быть полезным для своей команды. Обычно, когда я просто плаваю в бассейне купаюсь, темп получается 2.10-2.25 на 100 м в длинной воде, что, в условиях соревнований, конечно же, хочется улучшить. И в этой заметке я поделюсь своим планом по улучшению этого показателя до 1...