AS
Инфа по зеродеям до того как их нашли
Size: a a a
2021 June 11
$
Ну на самом деле там в поезде написано - зеродеев для вашей инфры
AS
А зачем TI в сием? То есть что я так понимаю Кортекс и так смотрит за IoC из своего TI, типа интегрировано. Только если в сием много с других сенсоров или просто логов, которые не покрыты средствами Пальта
AS
Это скорее вброс, но вот я вообще вижу тренд, что вендора все под себя делают и в итоге проще везде понатыкать агентов Вендора с его же ТИ, чем пытаться тащить это все в сием.
$
Исходный вопрос про облачко с инфой от юнит42
AD
Представителей riskiq тут вроде нет, не должен никого вызвать вопросом) использует ли кто их для TH?
2021 June 12
y
вообще конечно стоило препарировать до конца дядьку.
поясню.
то что тут происходило - классика присейловой активности. это заливают в уши лицам, принимающим решения. затем компании которые это покупают, под это нанимают спецов которые вынуждены этому учиться, оно разрастается до размеров мегакорпораций и становится "стандартом". новые безопасники идут на это учиться сами, с уверенностью что это и есть безопасность. затем становятся ЛПР. и круг замыкается. ну т.е. уже замкнулся, выросло несколько поколений таких спецов.
но раньше это можно было понять — образ хакера-волшебника, который открывает своей магической хакелкой любые двери, засел очень глубоко. от таких чародеев нужна как раз такая же вошлебная "очень умная вы даже не поймете" система безопасности.
с приходом зрелых подходов решения проблем, раскрытием методов противника [1], эта мистификация образа хакера-волшебника какбе исчезает.
и кажется что вместе с ней должен рухнуть ебучий образ волшебных систем безопасности которые стоят как private jet. но этого не происходит. есть множество теорий о том, как это можно исправить. реалистичными кажутся следующие:
1. Растить спецов с правильным майндсетом, чтобы они становились ЛПР и что-то меняли, то что называется, "снизу". И тогда оно, вроде как, изменится само.
2. Разрабатывать наглядную аналитику, подтвержденную фактами, которую поймут "наверху". Иметь понятные инструменты фактчека на случай классического н̶а̶е̶б̶а̶л̶о̶в̶а̶ присейла.
Первый путь хрен измеришь, обратная связь очень долгая, не понятно какие методы работают а какие нет.
А вот второй кажется попроще и побыстрее. Я думаю что сейчас лучше вкладываться в него.
Нам не хватает какого-то готового простого инструмента фактчека для нормальных людей, для ЛПР. Я думал ATT&CK Evaluations [2] станет им, но в MITRE видимо решили ни с кем не ругаться и какбе ни о ком плохо не писать, по крайней мере так, чтобы это можно было легко понять.
Не взлетело, короче говоря.
В таком случае, ничего не остается кроме как устроить фактчек в публичных дискуссиях, увековеченных интернетом. Так чтобы был громкий холивар, с корректной, понятной, уважительной аргументацией. Читаемым, легко ищущимся, внятным итогом.
Вот только для этого в подобные срачи нужно на правильных щщах вступать. И кажется, в этот раз у нас не вышло.
Поэтому, я бы вернул.
[1] https://attack.mitre.org/
[2] https://attackevals.mitre-engenuity.org/
поясню.
то что тут происходило - классика присейловой активности. это заливают в уши лицам, принимающим решения. затем компании которые это покупают, под это нанимают спецов которые вынуждены этому учиться, оно разрастается до размеров мегакорпораций и становится "стандартом". новые безопасники идут на это учиться сами, с уверенностью что это и есть безопасность. затем становятся ЛПР. и круг замыкается. ну т.е. уже замкнулся, выросло несколько поколений таких спецов.
но раньше это можно было понять — образ хакера-волшебника, который открывает своей магической хакелкой любые двери, засел очень глубоко. от таких чародеев нужна как раз такая же вошлебная "очень умная вы даже не поймете" система безопасности.
с приходом зрелых подходов решения проблем, раскрытием методов противника [1], эта мистификация образа хакера-волшебника какбе исчезает.
и кажется что вместе с ней должен рухнуть ебучий образ волшебных систем безопасности которые стоят как private jet. но этого не происходит. есть множество теорий о том, как это можно исправить. реалистичными кажутся следующие:
1. Растить спецов с правильным майндсетом, чтобы они становились ЛПР и что-то меняли, то что называется, "снизу". И тогда оно, вроде как, изменится само.
2. Разрабатывать наглядную аналитику, подтвержденную фактами, которую поймут "наверху". Иметь понятные инструменты фактчека на случай классического н̶а̶е̶б̶а̶л̶о̶в̶а̶ присейла.
Первый путь хрен измеришь, обратная связь очень долгая, не понятно какие методы работают а какие нет.
А вот второй кажется попроще и побыстрее. Я думаю что сейчас лучше вкладываться в него.
Нам не хватает какого-то готового простого инструмента фактчека для нормальных людей, для ЛПР. Я думал ATT&CK Evaluations [2] станет им, но в MITRE видимо решили ни с кем не ругаться и какбе ни о ком плохо не писать, по крайней мере так, чтобы это можно было легко понять.
Не взлетело, короче говоря.
В таком случае, ничего не остается кроме как устроить фактчек в публичных дискуссиях, увековеченных интернетом. Так чтобы был громкий холивар, с корректной, понятной, уважительной аргументацией. Читаемым, легко ищущимся, внятным итогом.
Вот только для этого в подобные срачи нужно на правильных щщах вступать. И кажется, в этот раз у нас не вышло.
Поэтому, я бы вернул.
[1] https://attack.mitre.org/
[2] https://attackevals.mitre-engenuity.org/
$
Спасибо за большой текст.
Чтобы была дискуссия нужно чтобы обе стороны были к ней готовы. Тут же классическая схема - отвечаю как хочу на что хочу и когда хочу.
Ни одного обоснования (начиная со скоупа выборки и т.д.) дано не было. И ну будет. Человек просто не владеет ими.
Соответственно, это диалог глухого со слепым.
Я три дня смотрел и не вмешивался. Когда стало понятно что ситуация патовая - вмешался.
Чтобы была дискуссия нужно чтобы обе стороны были к ней готовы. Тут же классическая схема - отвечаю как хочу на что хочу и когда хочу.
Ни одного обоснования (начиная со скоупа выборки и т.д.) дано не было. И ну будет. Человек просто не владеет ими.
Соответственно, это диалог глухого со слепым.
Я три дня смотрел и не вмешивался. Когда стало понятно что ситуация патовая - вмешался.
NA
В компании есть миллион разных софтин и желез, которые генерят какие-то события, а СИЕМ - это часто единственная точка куда вся эта инфа стекается. Получается так, что вливать TI в СИЕМ - самый простой и органичный шаг.
NA
Заметьте, я не говорю что он правильный )
y
это да. но я все же не совсем об этом.
было неочевидно в чем проблема.
мы чото между собой поперекидывались смайликами, потроллили, повертели носом и забанили.
внятного итога не было, не вывели на чистую воду, как говорится.
не понятно это для людей которые вне тусы.
было неочевидно в чем проблема.
мы чото между собой поперекидывались смайликами, потроллили, повертели носом и забанили.
внятного итога не было, не вывели на чистую воду, как говорится.
не понятно это для людей которые вне тусы.
y
не юзабельно, бесполезно.
y
(не в упрек тем кто очень старался что-то объяснять, проблема не в вас — проблема в отсутствии кульминации)
AO
С
IB
+1
Особенно понравилась логическое обоснование влияния маркетологов на рынок и развитие ИБ
Особенно понравилась логическое обоснование влияния маркетологов на рынок и развитие ИБ
IB
Возможно это и не правильно, но я тоже пришёл к тому, что нужно сливать ТИ в сием чтобы хоть как-то выявлять признаки реализации угроз
I
Мне в этом смысле понравился Kaspersky CyberTrace
BB
Да мне кажется, тут правильного нет ответа, все от конкретной инфры зависит
I
Он входит в состав Kaspersky TI. Принимает события в CEF формате, ищет в них IoC и шлёт алёрты в siem
I
Но сам сервис Kaspersky TI нам показался очень дорогим