REPLY-TO-ALL Information Security Blog

На днях на внутреннем Конвенте, где инициативные коллеги из нашего подразделения делятся результатами своих исследований, выступали ребята из Offensive с рассказами об EDR/EPP, и что с ними можно поделать пентестерам на реальных проектах. Докладчик начал свой рассказ, что AV/EPP/EDR/что угодно - это просто некий агент на эндпоинте. Это очень простое утверждение от профессионального пентестера и исследователя, смотивировало меня все-таки написать эту статью и в очередной раз порассуждать о защите конечных точек. 26 января 2025 вышла замечательная статья от моего бывшего коллеги Виталия Моргунова о EDR, с которой полезно ознакомиться каждому...

В ежегодном отчете MDR (пример, 2023, стр. 9) мы публикуем время обработки инцидента. Велик соблазн сравнить это время с метрикой времени реакции в SLA, например, укладывается ли время обработки для High в один час. Однако, время обработки инцидента, или "Скорость обнаружения инцидента", как это обозначается в отчете, лишь незначительно коррелируют с метрикой соглашения об уровне сервиса, об этом и поговорим в статье. Как устроено время реакции, адресуемое метрикой SLA я рассказывал здесь. Если обратиться все к тем же отчетам (см...

Невозможно управлять тем, что невозможно измерить Питер Дрюкер Заставь дурака Богу молиться, он и лоб расшибет Русская пословица Я горячий сторонник измерений и метрик и на своем личном опыте прекрасно понимаю, что для того, чтобы понимать что я двигаюсь в запланированном направлении и двигаюсь туда эффективно, мне нужно постоянно измерять свою деятельность и ее плоды. Но все хорошо работает только будучи примененным обдуманно, во всем должна быть красота (см. эпиграф). Последний раз про перегибы я писал более 10 лет назад, но, не смотря на эволюцию атак, кибервойны, социалку на топменеджеров, и кибертерроризм, глупостей в управлении ИБ хватает, поэтому приходится продолжать серию...

Помню, как в 5 классе увидела в учебнике истории репродукцию "Сикстинской Мадонны" Рафаэля Санти и впервые осознала, что искусство - это не только что-то вычурное ради понтов, а просто красиво, трогательно, проникновенно и прочие подобные эпитеты. Даже появилась вполне конкретная мечта съездить в Дрезден, когда стану взрослой, чтобы увидеть оригинал Подписчица, комментарий к статье "Передвижники" Полностью согласен с моей подписчицей Викторией, часть комментария которой я взял за эпиграф, Возрождение - это очень красиво...

Идея обнаружения по похожести не нова. Определенным образом от ВПО вычисляются неточные (фаззи) хеши, образцы, имеющие одинаковые хеши, считаются похожими. Есть масса хешей, например, SSDeep, а также у любого антивирусного вендора есть свои запатентованные хеши, работающие с разным качеством для разных типов файлов. Но качество уже позволяет переводить такие детекты в боевой режим, поэтому нарратив о том, что если EPP обнаруживает малвару, то образец должен обязательно быть в коллекции, уже давно неправда даже в сценарии без поведенческого детектирования. У ЛК есть еще KTAE, которая смотрит на...

Корпоративные бизнес-процессы (БП) определяют работу компании. Информационная безопасность (ИБ) защищает работу компании, и для этого защищает корпративные БП. Для более эффективной нашей работы мы декомпозируем БП далее: понимаем какие необходимы данные для работы БП, какие свойства (конфиденциальность, целостность, доступность, аутентичность\авторство, достоверность\непротиворечивость и т.п.) этих данных принципиальны, какие информационные системы (ИС) обрабатывают эти данные и как быть уверенными,...

Весь мир на ладони — ты счастлив и нем И только немного завидуешь тем, Другим — у которых вершина еще впереди. Владимир Высоцкий. Вершина Передвижники - слово, которое слышал каждый, учившийся в школе, многие картины из школьных учебников принадлежат именно передвижникам. Илья Репин, Виктор и Аполлинарий Васнецовы, Архип Куинджи, Исаак Левитан, Иван Шишкин, Алексей Саврасов, Валентин Серов, Николай Ярошенко, Иван Крамской, Василий Суриков, Николай Ге, Владимир и Константин Маковские - имена, которые слышали почти все, и чьи произведения, лично для меня, и определяют слово "живопись"...

Совершенство достигнуто не тогда, когда нечего добавить, а когда нечего убрать. Антуан де Сент-Экзюпери В чем разница между эффективными и неэффективными людьми? Неэффективные люди находят в себе наиболее слабую сторону и стремятся ее развить до среднего уровня, а эффективные люди находят в себе сильную сторону и стремятся ее развить до совершенства! Идея мною взята из какой-то модной книжки по саморазвитию. Первый подход, связанный с постоянным поиском своих слабых сторон и стремлением их развить...

По плодам их узнаете их Мф.7:16 Война - это ужасно. Погибают люди, уничтожаются результаты их труда. Войны отбрасывают общество назад, так как вместо создания нового приходится повторять достижения прошлого, восстанавливать уничтоженное. Однако, когда все дипломатические инструменты исчерпаны, боевые действия - единственная возможность, к сожалению, войны неизбежны. Но для минимизации ущерба разработано Международное гуманитарное право. Мы четко различаем боевые действия и терроризм, как минимум, по тому, что в условиях боевых действий, при соблюдении норм Международного гуманитарного права, минимум...

Работа операционной команды по части обработки алертов, как правило, хорошо логгируется, что позволяет вычислять различные метрики, на основании которых можно делать различные выводы, например, о загрузке команды. Помимо метрик для отслеживания тенденций, полезно иметь и КПЭ, которые следует измерять периодически, и на их основании, например, принимать решения о переводе аналитика на новую позицию или в новую роль. В этой статье поделюсь имеющимся опытом по части формальных КПЭ на обработку алертов...

Моя гениальная жена организует мероприятия. В последнее время, в основном, на территории КМВ - Кисловодск, Пятигорск, Ессентуки. Когда я могу, я тоже присоединяюсь - слушаю лекции об искусстве, об истории. Для меня это прекрасный досуг и, в общем-то, я не одинок - на мероприятия собираются очень интересные люди. Однажды она проводила мероприятие в ресторане, прекрасно расположенном в самом центре города-курорта, в красивейшем историческом здании. За ужином мы слушали лекцию об искусстве. Однако, ресторан подкачал :( . Несмотря на то, что все, как бы, выглядело "дорого-богато", было вино, сами блюда были так себе, ничего особенного...

Про скорость реакции написано немало, да и про критичность инцидентов. Почему-то в большинстве SLA/OLA, что я видел, скорость реакции ожидается тем выше, чем выше критичность инцидентов, но это не совсем корректно. Критичность инцидентов определяется их природой и потенциальным\фактическим ущербом, и это правильно, однако, для принятия решения как быстро надо реагировать нужно еще и понимание мотивации атакующего. Отчасти для этого и нужны все исследования кластеров активности (будем это все называть...