home.social

#threat_hunting — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #threat_hunting, aggregated by home.social.

  1. 0xCDE @[email protected] ·

    *Read it like an infomercial*

    Are you tired of working with logs that contain arrays with multiple JSON like this?

    Have you tried creating a new column with the value you want only to find out that this value has no fixed position in the array?

    Now your problems are over! With this 5 line KQL snippet, written by a real human, you can finally have the peace of mind that all the fields are populated correctly and everything is neat inside a single JSON!

    github.com/0x-cde/Threat-Hunti

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir #digitalforensics

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir
  2. 0xCDE @[email protected] ·

    *Read it like an infomercial*

    Are you tired of working with logs that contain arrays with multiple JSON like this?

    Have you tried creating a new column with the value you want only to find out that this value has no fixed position in the array?

    Now your problems are over! With this 5 line KQL snippet, written by a real human, you can finally have the peace of mind that all the fields are populated correctly and everything is neat inside a single JSON!

    github.com/0x-cde/Threat-Hunti

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir #digitalforensics

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir
  3. 0xCDE @[email protected] ·

    *Read it like an infomercial*

    Are you tired of working with logs that contain arrays with multiple JSON like this?

    Have you tried creating a new column with the value you want only to find out that this value has no fixed position in the array?

    Now your problems are over! With this 5 line KQL snippet, written by a real human, you can finally have the peace of mind that all the fields are populated correctly and everything is neat inside a single JSON!

    github.com/0x-cde/Threat-Hunti

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir #digitalforensics

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir
  4. 0xCDE @[email protected] ·

    *Read it like an infomercial*

    Are you tired of working with logs that contain arrays with multiple JSON like this?

    Have you tried creating a new column with the value you want only to find out that this value has no fixed position in the array?

    Now your problems are over! With this 5 line KQL snippet, written by a real human, you can finally have the peace of mind that all the fields are populated correctly and everything is neat inside a single JSON!

    github.com/0x-cde/Threat-Hunti

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir #digitalforensics

    #digitalforensics #dfir #threat_hunting #threathunting #kql #kustoquery
  5. 0xCDE @[email protected] ·

    *Read it like an infomercial*

    Are you tired of working with logs that contain arrays with multiple JSON like this?

    Have you tried creating a new column with the value you want only to find out that this value has no fixed position in the array?

    Now your problems are over! With this 5 line KQL snippet, written by a real human, you can finally have the peace of mind that all the fields are populated correctly and everything is neat inside a single JSON!

    github.com/0x-cde/Threat-Hunti

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir #digitalforensics

    #kusto #kustoquery #kql #threathunting #threat_hunting #dfir
  6. Habr @[email protected] ·

    CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

    #tampering #cve20263502 #исследование_угроз #sysmon #threat_hunting #soc
  7. Habr @[email protected] ·

    CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

    #tampering #cve20263502 #исследование_угроз #sysmon #threat_hunting #soc
  8. Habr @[email protected] ·

    CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

    #tampering #cve20263502 #исследование_угроз #sysmon #threat_hunting #soc
  9. Habr @[email protected] ·

    CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting
  10. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  11. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  12. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  13. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #dfir #форензика #malware_analysis #банковский_троян #emmenhtal #clickfix
  14. Habr @[email protected] ·

    Как мы научили нейросеть искать связи между инцидентами в SOC

    Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

    habr.com/ru/companies/k2tech/a

    #soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

    #ai_в_кибербезопасности #threat_hunting #llm #нейросети #автоматизация #incident_response
  15. Habr @[email protected] ·

    Как мы научили нейросеть искать связи между инцидентами в SOC

    Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

    habr.com/ru/companies/k2tech/a

    #soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

    #ai_в_кибербезопасности #threat_hunting #llm #нейросети #автоматизация #incident_response
  16. Habr @[email protected] ·

    Как мы научили нейросеть искать связи между инцидентами в SOC

    Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

    habr.com/ru/companies/k2tech/a

    #soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

    #ai_в_кибербезопасности #threat_hunting #llm #нейросети #автоматизация #incident_response
  17. Habr @[email protected] ·

    Как мы научили нейросеть искать связи между инцидентами в SOC

    Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

    habr.com/ru/companies/k2tech/a

    #soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

    #soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация
  18. hasamba @[email protected] ·

    🦠 Malware Analysis
    ===================

    🎯 AI Prompts as Code & Embedded Keys — The Hunt for LLM-Enabled Malware

    Executive summary

    SentinelLABS presents a systematic survey of LLM-enabled malware
    observed in the wild and describes a hunting methodology that relies
    on detecting embedded API keys and structured prompt artifacts.
    Preliminary analysis suggests that runtime code generation via LLMs
    changes the detection landscape by moving malicious logic out of
    static code and into model responses.

    Methodology

    The research applied pattern-matching techniques to binaries and
    scripts to locate hardcoded API credentials and repeated prompt
    constructs. The approach combined static scanning for token-like
    strings with heuristics for prompt templates and programmatic use of
    LLM endpoints. This allowed discovery of previously unknown samples
    and the identification of a likely early instance referred to as
    "MalTerminal." Findings emphasize that human refinement still appears
    to play a role in LLM-assisted malware development.

    Key findings
    • LLMs have been used in multiple adversarial roles: as lures (fake AI
    assistants), as targets (prompt-injection against integrated systems),
    and as operational sidekicks (phishing, code support).
    • Embedded API keys and canonical prompt structures provided reliable
    hunting signals where classic signatures failed.
    • Autonomous, large-scale malware generation by LLMs was not observed;
    hallucinations, instability, and testing gaps appear to limit fully
    automated malicious code generation.

    Detection and operational impact

    Detection engineers should expand hunting surfaces to include token
    leaks, prompt-template fingerprints, and telemetry around model API
    use. Runtime monitoring of outbound requests to model endpoints,
    better secret-scanning in build artifacts, and behavioral baselines
    for processes invoking LLM clients are practical mitigations.
    Adversaries may harden workflows by obfuscating tokens or using
    proxies, so defenders should prioritize multiple correlated signals
    rather than single IOCs.

    Limitations

    The dataset is exploratory and likely incomplete; initial reports
    indicate a sampling bias toward artifacts exposing keys or prompt
    text. Future work should monitor evolution in actor techniques,
    including secret management and prompt obfuscation.

    🔹 prompt_injection #LLM #threat_hunting

    🔗 Source: sentinelone.com/labs/prompts-a

    sentinelone.com/labs/prompts-a

    #llm #threat_hunting
  19. Habr @[email protected] ·

    «Один в поле не воин». Интеграционные сценарии Kaspersky NGFW

    Привет, Хабр! Меня зовут Иван Панин, я специалист в области сетевой безопасности, CCNP, CCNP Security, CCDP, MBA CSO. С 2022 года — руководитель группы развития решений по инфраструктурной безопасности «Лаборатории Касперского», где занимаюсь экспертной технической поддержкой пресейловых команд решений SD-WAN и NGFW, разработкой сценариев использования, лабораторных работ и технических материалов. В статье хочу рассказать об интеграционных сценариях NGFW c комплиментарными решениями смежных классов. В первую очередь это будет интересно архитекторам информационной безопасности на стороне заказчика, отвечающим за проектирование комплексной системы защиты корпоративной инфраструктуры и разработку сценариев реагирования на инциденты, а также экспертам по кибербезопасности на стороне системных интеграторов.

    habr.com/ru/companies/kaspersk

    #ngfw #инфраструктура #информационная_безопасность #инфобез #иб #xdr #soc #kaspersky #threat_hunting #реагирование_на_инциденты

    #ngfw #инфраструктура #информационная_безопасность #инфобез #иб #xdr
  20. Habr @[email protected] ·

    Threat Hunting изнутри: как охотиться на атакующего

    Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

    habr.com/ru/companies/pt/artic

    #обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

    #анализ_логов #threat_intelligence #сигнатуры #анализ_сетевого_трафика #обнаружение_атаки #цепочка_атаки_хакера
  21. Habr @[email protected] ·

    Специалист по обнаружению атак в сети: как выглядит эта работа на самом деле

    Привет, Хабр! Меня зовут Андрей Тюленев, я старший специалист отдела обнаружения атак в сети в Positive Technologies. Моя работа — отслеживать атаки, затем разбирать их по косточкам, чтобы не дать злоумышленникам реализовать недопустимое событие, и создавать детекты — чтобы продукты Positive Technologies могли их обнаруживать. Сегодня я расскажу, как выглядит работа специалиста по обнаружению атак, какие инструменты мы используем, как попасть в эту профессию и какие скилы реально важны. Разберем, чем мы занимаемся на практике: от написания правил детектирования и анализа трафика до участия в расследованиях, где на кону — безопасность крупных компаний.

    habr.com/ru/companies/pt/artic

    #обнаружение_атак #threat_hunting #уязвимости_и_их_эксплуатация #rce #wireshark #osi #python #ntaсистемы #middle #senior

    #senior #middle #ntaсистемы #python #osi #wireshark
  22. RedPacket Security @[email protected] ·

    Mastering the Art of Threat Hunting to Enhance Cybersecurity - redpacketsecurity.com/masterin

    #Threat_hunting #CyberSecurity #OSINT #Cyber

    #threat_hunting #cybersecurity #osint #cyber
  23. Habr @[email protected] ·

    Обычная практика Threat Hunting и причем тут пирамида боли

    Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого используем. Если коротко, то этот процесс можно описать так — мы задаем себе очень много вопросов и постоянно ищем на них ответы. Статья будет интересна начинающим специалистам: здесь я обобщил основные практики и рекомендации, которые выработаны в индустрии и проверены опытом нашей команды.

    habr.com/ru/companies/vk/artic

    #soc #threat_hunting #threat_intelligence #обучение #информационная_безопасность #информационные_технологии #siem #пирамида_боли #поиск_угроз #mitre

    #soc #threat_hunting #threat_intelligence #обучение #информационная_безопасность #информационные_технологии
  24. RedPacket Security @[email protected] ·

    Unveiling the Shadows: Mastering Threat Hunting - redpacketsecurity.com/unveilin

    #Threat_hunting #CyberSecurity #OSINT #Cyber

    #threat_hunting #cybersecurity #osint #cyber
  25. Habr @[email protected] ·

    «Дело не в музе и вдохновении. Дело в труде». Честное интервью с Алексеем Лукацким о плюсах и минусах книгописательства

    Привет! Сегодня мы решили напомнить читателям Хабра о том, что в Positive Technologies не только исследуют уязвимости, пишут ресерчи и разрабатывают ПО для защиты — наши коллеги ко всему прочему еще и авторы книг. Алексей Усанов уже рассказал о своей книге «Реверс-инжиниринг встраиваемых систем». Мы расспросили другого нашего коллегу, Алексея Лукацкого ( @alukatsky ), и он поведал нам о своем писательском пути. Разговор получился откровенный, прямолинейный, как во многом и сам Алексей Викторович. Можно ли заработать книгописательством, надо ли следовать советам Стивена Кинга, а также маленький, но полезный лайфхак для авторов — обо всем этом читайте в интервью с Алексеем Лукацким в этой статье. Почитать

    habr.com/ru/companies/pt/artic

    #cybersecurity #обнаружение_атак #писательство #книга #техническая_литература #написание_книги #творческий_процесс #threat_hunting #intrusion_detection #профессиональная_литература

    #cybersecurity #обнаружение_атак #писательство #книга #техническая_литература #написание_книги
  26. :rss: Hacker News @[email protected] ·

    Why bother with argv[0]?
    wietzebeukema.nl/blog/why-both
    #ycombinator #argv_lsqb_0_rsqb #argv0 #argv #arg_lsqb_0_rsqb #arg0 #command_line #cmd #command_line_obfuscation #command_line_bypass #edr_obfuscation #cyber #threat_detection #cyber_threat #cyber_threat_detection #edr #endpoint #blue_team #blue_teaming #red_team #red_teaming #threat_hunting #threat_hunter #hunting

    #ycombinator #argv_lsqb_0_rsqb #argv0 #argv #arg_lsqb_0_rsqb #arg0
  27. :rss: Hacker News @[email protected] ·

    Why Bother with Argv[0]?
    wietzebeukema.nl/blog/why-both
    #ycombinator #argv_lsqb_0_rsqb #argv0 #argv #arg_lsqb_0_rsqb #arg0 #command_line #cmd #command_line_obfuscation #command_line_bypass #edr_obfuscation #cyber #threat_detection #cyber_threat #cyber_threat_detection #edr #endpoint #blue_team #blue_teaming #red_team #red_teaming #threat_hunting #threat_hunter #hunting

    #ycombinator #argv_lsqb_0_rsqb #argv0 #argv #arg_lsqb_0_rsqb #arg0
  28. Habr @[email protected] ·

    Охота на цифровых призраков: как OSINT и threat hunting защищают ваши данные

    Введение: Цифровые угрозы в современном мире В нашу эпоху, когда данные стали новой нефтью, а цифровые активы ценятся на вес золота, кибербезопасность превратилась в настоящее поле битвы. Увы и ах, но традиционные методы защиты уже не справляются с лавиной угроз , которые обрушиваются на компании и частных лиц. Как говорится, нельзя прийти на перестрелку с ножом. Именно поэтому мир кибербезопасности переживает настоящую революцию, во главе которой стоят две мощные техники: OSINT (Open Source Intelligence) и threat hunting . Представьте себе: вместо того чтобы сидеть в окопе и ждать атаки, вы отправляетесь на охоту за угрозами, выслеживая их еще до того, как они успели нанести удар. Круто, правда? Это и есть суть proactive threat hunting. А теперь добавьте к этому возможность использовать всю мощь открытых источников информации для сбора разведданных о потенциальных угрозах. Вот вам и OSINT во всей красе. В этой статье мы нырнем в глубины цифрового океана, чтобы разобраться, как эти две техники работают вместе, создавая мощный щит против киберугроз. Пристегните ремни, будет интересно!

    habr.com/ru/articles/837108/

    #osint #threat_hunting #кибербезопасность #проактивная_защита #разведка_по_открытым_источникам #анализ_угроз #цифровые_угрозы

    #цифровые_угрозы #анализ_угроз #разведка_по_открытым_источникам #проактивная_защита #кибербезопасность #threat_hunting
  29. RedPacket Security @[email protected] ·

    Mastering Threat Hunting for Advanced Cyber Defense - redpacketsecurity.com/masterin

    #Threat_hunting #CyberSecurity #OSINT #Cyber

    #threat_hunting #cybersecurity #osint #cyber
  30. Habr @[email protected] ·

    Метрики качества динамических плейбуков

    При создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности. Критерии формулируются на основе основных параметров инцидента, которые должны быть учтены в работе над его расследованием, реагированием и постинцидентной активности. При этом важно учитывать тот факт, что работа над инцидентом – гораздо шире, чем стандартный анализ и реакт на скоррелированные события ИБ. Работа над инцидентом – это:

    habr.com/ru/companies/security

    #playbook #next_generation_security #threat_hunting #soc #soar #динамические_плейбуки #kill_chain

    #kill_chain #динамические_плейбуки #soar #soc #threat_hunting #next_generation_security
  31. Habr @[email protected] ·

    ML-алгоритмы против хакеров: как поведенческая аналитика меняет правила игры в кибербезопасности

    Здравствуйте, друзья! Меня зовут Алексей Потапов, и я представляю экспертный центр безопасности Positive Technologies. Ранее мы уже знакомили вас с ключевыми элементами нашего подхода к обнаружению атак на примере технологий в SIEM: механизме построения цепочек запускаемых процессов на основе нормализованных событий , автоматическом вайтлистинге и машинном обучении для выявления нестандартного поведения пользователей и процессов в инфраструктуре . Тему ML было бы невозможно раскрыть в одном посте, поэтому предлагаю углубиться в более технические детали. Мы уже рассказывали про модуль Behavioral Anomaly Detection (BAD). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенный уровень оценки риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. В этой статье я расскажу, что делает модуль BAD не просто новым инструментом, а полноценным игроком в вашей команде кибербезопасности. Поговорим о перспективах, которые открывает его использование. Подробности

    habr.com/ru/companies/pt/artic

    #cybersecurity #инциденты #threat_hunting #threat_intelligence #siem #кибератаки #ии #true_positive #powershell #windows

    #windows #powershell #true_positive #ии #кибератаки #siem
  32. Habr @[email protected] ·

    Аналитик SOC: про скилы, карьерный рост и… медведей

    Всем привет! Меня зовут Иван Дьячков, я руководитель центра мониторинга информационной безопасности в Wildberries и сегодня хочу рассказать о профессии аналитика SOC, поделиться своим опытом развития. Карьерный путь я начинал с классического сисадмина, а в направлении SOC поработал как со стороны вендора, так и в формате in-house внутри компаний. Что самое важное в профессии? Как преуспеть и сделать карьеру? И главное — где точка входа в SOC? Подробнее

    habr.com/ru/companies/pt/artic

    #cybersecurity #работа_в_it #soc #кибератаки #аналитик #инциденты #threat_hunting #обучение #go #rfc

    #rfc #go #обучение #threat_hunting #инциденты #аналитик
  33. Habr @[email protected] ·

    Респонс по DaVinci: как мы перевернули систему работы Security-аналитика и что из этого вышло

    Как обычно происходит стандартное реагирование в SOC? Получил аналитик оповещение об инциденте от какой-то системы безопасности, посмотрел логи SIEM, чтобы собрать дополнительные данные, уведомил заказчика и составил для него короткий отчет о произошедшем. А что дальше? А дальше — переключился на новый инцидент или ожидает его появления. В крайних случаях — участие в расследовании инцидентов и разработка новых сценариев выявления атак. Такова «хрестоматийная», стандартная схема работы аналитика в коммерческом SOC. Это и не хорошо, и не плохо — это, как правило, просто данность. Однако формат действий security-аналитика можно сделать кардинально иным, и за счет этого помочь амбициозному специалисту расти быстрее и шире, а компании-заказчику — дополнительно укрепить свою безопасность. Я, Никита Чистяков, тимлид команды security-аналитиков в «Лаборатории Касперского». Под катом я расскажу, как и зачем в Kaspersky помогаю выстраивать новые условия работы для security-аналитиков и как эти условия помогают им стать эдакими витрувианскими ИБшниками эпохи Возрождения. Если вы сами аналитик или в целом работаете в инфобезе, хотите узнать, какой скрытый потенциал есть у профессии и как его раскрыть, эта статья — для вас.

    habr.com/ru/companies/kaspersk

    #лаборатория_касперского #респонс #soc #incident_responce #incident #инцидент #securityаналитик #security_analyst #разработка #r&d #Threat_Intelligence #Threat_Hunting #GReAT #AMR #anti_malware_research #форензика #IoC #ИБ #hr #сотрудники #управление_командой #управление_людьми #карьера #управление_персоналом #карьера_в_itиндустрии #карьера_в_it #карьера_итспециалиста #работа #информационная_безопасность #кибербезопасность #безопасность #уязвимости #кибератаки #пентест #исследование #аналитика #рынок_труда #рынок_труда_в_ит #найм_персонала #тенденции #хедхантеры

    #хедхантеры #тенденции #найм_персонала #рынок_труда_в_ит #рынок_труда #аналитика
  34. Habr @[email protected] ·

    Динамические плейбуки

    Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который постоянно меняется: добавляются новый устройства, сегменты сети, меняются политики работы ноутбука важного босса, добавляются СЗИ. По этой причине в организациях с развитым уровнем ИБ регулярно проводятся аудит и инвентаризация, которые помогают актуализировать информационную модель предприятия, но меняются ли по результатам инвенторки плейбуки? Следующий аспект, влияющий на эффективность защиты – переменчивость внешнего окружения. В текущих реалиях техники реализации атак эволюционируют, усложняются, затрагивают новые типы данных инфраструктуры, используют новые механизмы и способы посткомпрометации (например, программы-вымогатели ransomeware теперь не только шифруют данные организации и требуют оплату за восстановление доступа, но могут также воровать информацию организации, требуя дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности). В силу постоянно меняющегося ландшафта угроз и способов их реализации наши плейбуки тоже должны изменяться, чтобы не устаревать на фоне меняющегося поведения злоумышленников. Для решения первой задачи (изменчивости инфраструктуры) был разработан подход, который в зарубежном сообществе трактуется как CD/CR, или непрерывность обнаружения и реагирования.

    habr.com/ru/companies/security

    #playbooks #next_generation_security #threat_hunting #soar #CD/CR #динамические_плейбуки #kill_chain #цепочка_атаки_хакера #soc #аналитик_иб

    #аналитик_иб #soc #цепочка_атаки_хакера #kill_chain #динамические_плейбуки #cd
  35. Habr @[email protected] ·

    Искусство следопыта в корпоративной инфраструктуре

    В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции быстроного Ахиллеса, который, догоняя черепаху, всегда остается чуть позади.

    habr.com/ru/companies/security

    #SV #Практика_ИБ #tip #soar #siem #иб #threat_intelligence #threat_hunting #уязвимости #инфраструктура

    #инфраструктура #уязвимости #threat_hunting #threat_intelligence #иб #siem