Да, именно так

Работает не всегда, да и качество среднее, но известные вредоносы вполне так можно ловить

Ну и ретроспективный анализ тоже позволяет несколько облегчить жизнь

И, мягко говоря не для всех протоколов

Мы 19го на АМ Live будем про endpoint security разговаривать - про это тоже наверняка будет

Так а песочницы как раз ИМХО больше и заточены на почтовый трафик. Основная масса малвари и фишинга именно там. Поэтому остальные протоколы это задача со звёздочкой )

Вот про endpoint'ы будет интересно послушать.
@NGKsiva посмотрите личку, плз.

Мы про динамику, статику, или про всё вместе? Обычно статику удобно делать на MTA - он первым стоит на приёме почты и логично на нём же рубить известных вредоносов (неизвестные и потенциально вредные - в карантин и в динамический анализ)

А вообще тема для обстоятельного разговора 😇

Предполагается, что статический анализ делается антивирусным движком на антиспам системе. Затем уже очищенный от откровенного шлака трафик попадает на песочницу (где первая проверка - это тоже статика и хорошо если антивирусный движок на песочнице будет отличным в части вендора от антиспама), а там уже зависит от того как настроить песочницу, можно принудительно вообще все письма отправлять на динамический анализ, но тут возникает нюансы с производительностью, если у песочницы мощности не хвататет, то в часы пик могут возникать очереди и даже отмены проверки по тайм-ауту. С другой стороны если взять песочницу с запасом, то в обычные (тихие) периоды она будет простаивать недозагруженной, дилемма 🤔

Поэтому нужно включать еще ML- антивирус, чтобы минусы песочниц как-то минимизировать.

Анализ аномалий, поведенческий анализ и анализ сигнатур. Мне казалось это три столпа в вопросах идентификации (борьбы) с вредоносами. А тут еще поточный и статический и (оужос) ML-антивирус🤬

С одной стороны простой вопрос, а сколько вызвал эмоций у людей)

Добавлю, что ожидаемое время закрытия инцидента может сильно варьироваться от многих факторов.
Например, когда выясняется, что вредоносное письмо было доставлено на почтовый сервер с использованием уязвимости (известной или 0-day) на почтовом сервере.
Или письмо перенаправил сотрудник своему коллеге, с комментарием "Жора, глянь, наверное это тебе".

Есть у кого под рукой плейбук на кейс Дениса?

У него же плейбук был с самого начала. Он спровоцировал дискуссию просто

аномалии и сигнатуры относятся к статическому; в динамическом добавляется поведенческий анализ.

Что Денис называет ML-антивирусом - я не знаю, все современные антивирусы, использующие обучение из облака так можно обозвать при желании.

Сдается есть опыт в этом направлении? ) Тут недавно смотрел презентацию по SOAR от одного вендора, там в качестве обоснования внедрения по части финансовой составляющей промелькнула забавная цифра в 150$/час - стоимость расследования инцидента в ручном режиме. Вспомнил про Вашу вакансию аналитика первой линии с ЗП в 3,5 к$ и тут я даже калькулятор достал, пробовал посчитать всяко разно. И все сошлось в итоге, но при одном условии - если аналитик работает 1 час в сутки )

Очень странные сравнения и выводы

Цель сегодняшних бесед - рассказать про soar?
Классная многоходовочка, но смысл?

А на фоточке - грусть и сожаление. Видимо у Алекса нет соар или работает неправильно.