Threat Hunting изнутри: как охотиться на атакующего
Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня...
Специалист по обнаружению атак в сети: как выглядит эта работа на самом деле
Привет, Хабр! Меня зовут Андрей Тюленев, я старший специалист отдела обнаружения атак в сети в Positive Technologies. Моя работа — отслеживать атаки, затем разбирать их по косточкам, чтобы не дать злоумышленникам реализовать недопустимое событие, и создавать детекты — чтобы продукты Positive...
Обычная практика Threat Hunting и причем тут пирамида боли
Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого...
«Дело не в музе и вдохновении. Дело в труде». Честное интервью с Алексеем Лукацким о плюсах и минусах книгописательства
Привет! Сегодня мы решили напомнить читателям Хабра о том, что в Positive Technologies не только исследуют уязвимости, пишут ресерчи и разрабатывают ПО для защиты — наши коллеги ко всему прочему еще и авторы книг. Алексей Усанов уже рассказал о своей книге «Реверс-инжиниринг встраиваемых систем»....
Охота на цифровых призраков: как OSINT и threat hunting защищают ваши данные
Введение: Цифровые угрозы в современном мире В нашу эпоху, когда данные стали новой нефтью, а цифровые активы ценятся на вес золота, кибербезопасность превратилась в настоящее поле битвы. Увы и ах, но традиционные методы защиты уже не справляются с лавиной угроз, которые обрушиваются на компании и...
Метрики качества динамических плейбуков
При создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности. Критерии формулируются на основе основных параметров инцидента,...
ML-алгоритмы против хакеров: как поведенческая аналитика меняет правила игры в кибербезопасности
Здравствуйте, друзья! Меня зовут Алексей Потапов, и я представляю экспертный центр безопасности Positive Technologies. Ранее мы уже знакомили вас с ключевыми элементами нашего подхода к обнаружению атак на примере технологий в SIEM: механизме построения цепочек запускаемых процессов на основе...
Аналитик SOC: про скилы, карьерный рост и… медведей
Всем привет! Меня зовут Иван Дьячков, я руководитель центра мониторинга информационной безопасности в Wildberries и сегодня хочу рассказать о профессии аналитика SOC, поделиться своим опытом развития. Карьерный путь я начинал с классического сисадмина, а в направлении SOC поработал как со стороны...
Динамические плейбуки
Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который...
Искусство следопыта в корпоративной инфраструктуре
В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции...
Изучаем язык запросов программы Velociraptor
Это моя вторая статья(первая тут) о Velociraptor, программе для выполнения задач Threat Hanting’а и DFIR’a 🙂. Как вы, наверное, уже знаете, Velociraptor неплохой инструмент сбора информации с конечных устройств. Ключевым элементом этой программы является собственный язык запросов, который...
Знакомство с Velociraptor
Если такие понятия как DFIR, Threat Hunting, Security Monitoring, для вас не пустой звук, то эта статья будет вам интересна. Я расскажу про утилиту Velociraptor, которая часто помогает мне в работе. К моему удивлению, на Habr даже нет упоминания про нее, попробую это исправить. Velociraptor...
Никита Ростовцев: «Мы способны найти многое, чего не видят другие»
На связи авторы Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat Intelligence, и наш новый гость —...
Олег Скулкин: «Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой»
Соскучились по нашему проекту “Киберпрофессии будущего”? Мы тоже. Возвращаем должок и продолжаем рассказывать о ведущих специалистах Group-IB, об их работе, исследованиях и реальных кейсах, о том, как они пришли в профессию, которой не было, и как научиться тому, что умеют они. В конце материала,...
Битва SOAR vs XDR. Кто выиграет?
Битва SOAR vs XDR. Кто выиграет? Читать далее...
В погоне за «неправильными» инцидентами, или Как мы строим Threat Hunting
Инциденты с SLA-таймингами должны детектироваться с минимальным числом False Positive, а также иметь четкий workflow обработки. При таком устройстве SOC гарантирует, что инцидент будет обработан за определённое время – для дальнейшего своевременного реагирования… Такой подход многие годы был...
Сезон охоты открыт: разбираемся в тонкостях Threat Hunting
Threat Hunting, он же проактивный поиск угроз, регулярно становится предметом дискуссий ИБ-специалистов. Споры возникают как вокруг того, что именно считать хантингом, так и о том, какие методы и подходы лучше использовать. Под катом мы рассмотрим все эти элементы и поделимся видением Threat...
Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise
Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с...
Назад