#детектирование — Public Fediverse posts

«Легитимное зло» в инфраструктуре: практический опыт детектирования LOLBAS

Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL. Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать.

https://habr.com/ru/companies/jetinfosystems/articles/1032484/

#cybersecurity #cyberattack #lotl #lolbas #soc #siem #иб #кибербезопасность #кибербез #детектирование

«Легитимное зло» в инфраструктуре: практический опыт детектирования LOLBAS

Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL. Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать.

https://habr.com/ru/companies/jetinfosystems/articles/1032484/

#cybersecurity #cyberattack #lotl #lolbas #soc #siem #иб #кибербезопасность #кибербез #детектирование

«Легитимное зло» в инфраструктуре: практический опыт детектирования LOLBAS

Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL. Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать.

https://habr.com/ru/companies/jetinfosystems/articles/1032484/

#cybersecurity #cyberattack #lotl #lolbas #soc #siem #иб #кибербезопасность #кибербез #детектирование

«Легитимное зло» в инфраструктуре: практический опыт детектирования LOLBAS

Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL. Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать.

https://habr.com/ru/companies/jetinfosystems/articles/1032484/

#cybersecurity #cyberattack #lotl #lolbas #soc #siem #иб #кибербезопасность #кибербез #детектирование

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Защита контейнеров изнутри: как работает первый российский open-source-инструмент для мониторинга рантайма

Представьте, что вы наконец-то выстроили надежный периметр вокруг своих контейнеров, сканируете образы и настраиваете политики в соответствии с общепринятыми стандартами безопасности. И кажется, всё под контролем. Но что, если атака началась в уже запущенном контейнере? Как обнаружить, что прямо сейчас легитимный микросервис крадет ваши данные или майнит криптовалюту? В данном случае на классические средства защиты рассчитывать не приходится: они охраняют контейнеры снаружи и не видят, что происходит внутри. А большинство инструментов для выявления угроз в среде выполнения — сложные и дорогие. Тем не менее выход есть: недавно специалисты из команды PT Container Security представили рынку первое в России открытое решение для защиты рантайма контейнерных сред — Runtime Radar . Подробнее о нем в нашей статье рассказывают руководитель разработки Никита Ладошкин и эксперт Виталий Шишкин ( @JCD3nt0n ).

https://habr.com/ru/companies/pt/articles/977882/

#контейнеризация #защита_контейнеров #cybersecurity #рантайм #runtime_radar #container_security #kprobe #tetragon #детектирование #ebpf

Защита контейнеров изнутри: как работает первый российский open-source-инструмент для мониторинга рантайма

Представьте, что вы наконец-то выстроили надежный периметр вокруг своих контейнеров, сканируете образы и настраиваете политики в соответствии с общепринятыми стандартами безопасности. И кажется, всё под контролем. Но что, если атака началась в уже запущенном контейнере? Как обнаружить, что прямо сейчас легитимный микросервис крадет ваши данные или майнит криптовалюту? В данном случае на классические средства защиты рассчитывать не приходится: они охраняют контейнеры снаружи и не видят, что происходит внутри. А большинство инструментов для выявления угроз в среде выполнения — сложные и дорогие. Тем не менее выход есть: недавно специалисты из команды PT Container Security представили рынку первое в России открытое решение для защиты рантайма контейнерных сред — Runtime Radar . Подробнее о нем в нашей статье рассказывают руководитель разработки Никита Ладошкин и эксперт Виталий Шишкин ( @JCD3nt0n ).

https://habr.com/ru/companies/pt/articles/977882/

#контейнеризация #защита_контейнеров #cybersecurity #рантайм #runtime_radar #container_security #kprobe #tetragon #детектирование #ebpf

Защита контейнеров изнутри: как работает первый российский open-source-инструмент для мониторинга рантайма

Представьте, что вы наконец-то выстроили надежный периметр вокруг своих контейнеров, сканируете образы и настраиваете политики в соответствии с общепринятыми стандартами безопасности. И кажется, всё под контролем. Но что, если атака началась в уже запущенном контейнере? Как обнаружить, что прямо сейчас легитимный микросервис крадет ваши данные или майнит криптовалюту? В данном случае на классические средства защиты рассчитывать не приходится: они охраняют контейнеры снаружи и не видят, что происходит внутри. А большинство инструментов для выявления угроз в среде выполнения — сложные и дорогие. Тем не менее выход есть: недавно специалисты из команды PT Container Security представили рынку первое в России открытое решение для защиты рантайма контейнерных сред — Runtime Radar . Подробнее о нем в нашей статье рассказывают руководитель разработки Никита Ладошкин и эксперт Виталий Шишкин ( @JCD3nt0n ).

https://habr.com/ru/companies/pt/articles/977882/

#контейнеризация #защита_контейнеров #cybersecurity #рантайм #runtime_radar #container_security #kprobe #tetragon #детектирование #ebpf

Защита контейнеров изнутри: как работает первый российский open-source-инструмент для мониторинга рантайма

Представьте, что вы наконец-то выстроили надежный периметр вокруг своих контейнеров, сканируете образы и настраиваете политики в соответствии с общепринятыми стандартами безопасности. И кажется, всё под контролем. Но что, если атака началась в уже запущенном контейнере? Как обнаружить, что прямо сейчас легитимный микросервис крадет ваши данные или майнит криптовалюту? В данном случае на классические средства защиты рассчитывать не приходится: они охраняют контейнеры снаружи и не видят, что происходит внутри. А большинство инструментов для выявления угроз в среде выполнения — сложные и дорогие. Тем не менее выход есть: недавно специалисты из команды PT Container Security представили рынку первое в России открытое решение для защиты рантайма контейнерных сред — Runtime Radar . Подробнее о нем в нашей статье рассказывают руководитель разработки Никита Ладошкин и эксперт Виталий Шишкин ( @JCD3nt0n ).

https://habr.com/ru/companies/pt/articles/977882/

#контейнеризация #защита_контейнеров #cybersecurity #рантайм #runtime_radar #container_security #kprobe #tetragon #детектирование #ebpf

«Песочницы» против APT-атак: все еще работают или проигрывают хакерам?

Всем привет! Angara Security снова на связи. Сегодня в нашем эфире еще один новый автор — Георгий Семенов , эксперт по кибербезопасности Angara Security. Хаотичные нападки киберпреступников в попытках попасть в уязвимое место инфраструктуры в последние годы сменились сложными и продуманными целевыми атаками — такой тренд кибербеза мы наблюдаем в Angara Security. Основные хакерские «хиты» этих лет — проникновение с использованием средств социальной инженерии и человеческого фактора, а также атаки через доверенные стороны. Злоумышленники стали дорожить временем: стремятся максимально сократить период от получения учетных данных пользователей до закрепления на периметре компании и последующей атаки. Проще всего им это удается через фишинг. По оценке Angara Security, доля MITRE ATT&CK Т1566 в общем объеме атак сейчас составляет 30%, причем за 2024 год число фишинговых атак резко выросло на 41% по сравнению с 2023 годом. Самым эффективным средством защиты против фишинга в кибербезопасности все еще считаются песочницы SandBox или мультисканеры. Проводим несколько тестов для Anti-APT Sandbox и разбираемся, насколько мощно они держат оборону информационной безопасности. АРТ-атаки против Anti-APT Sandbox АРТ-атака тестирует устойчивость к враждебным воздействиям, ищет слабое звено системы. Обычно это многоуровневая и длительная целевая кибератака с маскировкой и проникновением в сеть компании, с продолжительным нахождением «под прикрытием». Хакеры имитируют стандартные системные процессы, обманывают систему, отслеживают перемещение данных и действия ключевых пользователей — все, лишь бы обнаружить уязвимость для сбора конфиденциальной информации и чувствительных данных. Против АРТ-атак используется Anti-APT Sandbox — программное обеспечение для выявления и анализа сложных и продвинутых угроз (какой, безусловно, является АРТ). Anti-APT Sandbox изолирует подозрительные файлы и анализирует их активность в виртуальной среде. Это безопасное пространство, где можно исследовать поведение программ без риска для реальных систем (к слову, здесь же можно выявить попытки эксплуатации уязвимостей «нулевого дня»).

https://habr.com/ru/companies/angarasecurity/articles/902802/

#cybersecurity #sandbox #песочница #детектирование #угрозы #мультисканер

В погоне за неизведанным: как ML-модель вредоносы искать училась

Всем привет! С вами Ксения Наумова. В Positive Technologies я исследую вредоносный сетевой трафик и совершенствую инструменты его анализа в экспертном центре безопасности. Недавно перед нами встала задача — создать ML-модель для обнаружения вредоносного ПО в сети. Причем распознавать она должна была не только уже ранее детектированное нами вредоносное ПО, но и совсем новые угрозы, которые появляются в большом количестве ежедневно. В качестве первого эксперимента решили сделать модель для работы с трафиком, который передается по протоколу HTTP, поскольку наши продукты успешно расшифровывают TLS-сессии, а внутри них частенько можно найти много интересного. В статье я подробно расскажу, как мы обучали модель, и поделюсь информацией о допущенных ошибках.

https://habr.com/ru/companies/pt/articles/883954/

#ml #машинное_обучение #песочница #sandbox #сетевой_трафик #детектирование #вредоносное_по #обнаружение_вредоносного_по #lightgbm #датасет

Практический кейс. Детектируем и реагируем на угрозы с Kaspersky Symphony XDR

Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . В прошлом году мы получили специализацию «IT Cybersecurity» «Лаборатории Касперского» по защите ИТ-инфраструктуры при помощи экосистемы решений вендора. Для этого мы развернули и настроили стенд Kaspersky Symphony XDR. Нам, как ИБ-интегратору, он нужен для имитации реальной инфраструктуры заказчиков, реализации различных атак и отслеживания их выполнения с помощью средств защиты (например, KATA или KUMA). По итогам проекта наш ведущий системный инженер Антон Пуник написал эту статью, чтобы на практике продемонстрировать возможности стенда и других продуктов экосистемы Касперского. С технической частью материала ему помогали коллеги: системный инженер Максим Утенков и аналитик SOC Илья Дегтярь.

https://habr.com/ru/companies/k2tech/articles/881404/

#xdr #kaspersky #стенд #кибербезопасность #информационная_безопасность #киберугрозы #киберугроза #реагирование_на_инциденты #детектирование #защита_инфраструктуры

VSCode — идеальный инструмент для хакера

Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

https://habr.com/ru/companies/rvision/articles/849736/

#vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

VSCode — идеальный инструмент для хакера

Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

https://habr.com/ru/companies/rvision/articles/849736/

#vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

VSCode — идеальный инструмент для хакера

Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

https://habr.com/ru/companies/rvision/articles/849736/

#vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

VSCode — идеальный инструмент для хакера

Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

https://habr.com/ru/companies/rvision/articles/849736/

#vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

Почту на прокачку: повышаем защиту MS Exchange

Привет! Меня зовут Павел Маслов, я архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно мой коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры . Сегодня же мы поговорим об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange). Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом. Больше про загадочное письмо →

https://habr.com/ru/companies/pt/articles/854924/

#cybersecurity #взломы #детектирование #киберустойчивость #ms_exchange #kerberos #защита_почты

Ищем потерявшихся питомцев с помощью нейросетей

Представьте себе, ваш питомец вдруг сбежал отправился в увлекательное путешествие по соседским дворам. Паника, нервы, поиски, бумажные объявления... И хорошо, если ваш пушистик чипирован, но ведь о таком заботятся не все. Можно пойти шерстить порталы с потеряшками, но где искать? Как они работают? Тот еще квест! Хотелось бы автоматизировать этот поиск и здесь как нельзя кстати подойдут нейросети. Мы обучили сеточки для детектирования и распознавания мордочек, которые могут стать основой для удобного сервиса поиска потерявшихся животных. Мы запилили удобного демо-бота с этими сеточками, он называется FindPet . И теперь с удовольствием представляем его вам и рассказываем, как мы его создавали.

https://habr.com/ru/companies/ntechlab/articles/847994/

#ntechlab #поиск_питомцев #котики #пёсики #распознавание #распознавание_лиц #питомцы #детектирование #компьютерное_зрение #машинное+обучение

«Песочные» технологии: об архитектуре и техниках обхода песочниц

Привет! Меня зовут Алексей Колесников, я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), в команде PT Sandbox. В этой статье хочу рассказать о том, какие бывают песочницы с точки зрения архитектуры, приведу основные плюсы и минусы каждого вида, а также техники их обхода со стороны хакеров. Давайте «покопаемся»!

https://habr.com/ru/companies/pt/articles/844022/

#cybersecurity #sandbox #песочница #песочницы #детектирование #буткит #dosпесочницы #угрозы #руткиты #pt_sandbox

Время, деньги и чистая математика: как мы оцениваем киберустойчивость компании

Становясь старше и опытнее, понимаешь, что если есть возможность купить время, это нужно обязательно сделать. То же самое можно применить и к бизнесу. Если компания зрелая, если руководство понимает ценность бизнеса, как он устроен, как работает и как приносит деньги, то оно также понимает, что вынужденный простой обойдется компании гораздо дороже, чем средства, затраченные на ИТ-инфраструктуру. Всем привет! Меня зовут Артем Мелёхин, я занимаюсь продвижением нового направления Positive Technologies, а именно методологией расчета достижимости целевой системы. В этой статье я расскажу, как мы определяем время атаки и вероятные маршруты хакеров и о том, что нужно предпринять с точки зрения ИТ-инфраструктуры, чтобы максимально усложнить путь атакующему. Как исследовать киберзащищенность?

https://habr.com/ru/companies/pt/articles/840266/

#cybersecurity #исследование_защищенности #взломы #методология_тестирования #детектирование #недопустимое_событие #maxpatrol #киберустойчивость #bugbounty

Надзорщик за инфраструктурой: что делает VM-специалист и как им стать

Мы продолжаем цикл публикаций «Топ-10 профессий в сфере кибербезопасности». И сегодня в рубрике Positive Education — профессия «VM-специалист». На что похожа профессия специалиста по управлению уязвимостями? Может, на работу врача, который следит за здоровьем пациента? Но к врачу обычно пациенты сами приходят с жалобами, а к VM-специалисту никто сам не пойдет. Со временем стало понятно: работа виэмщика больше всего напоминает работу инспектора из государственного органа надзора… Но обо всем по порядку и из первых уст, естественно. Начнем исследовать уязвимости?

https://habr.com/ru/companies/pt/articles/835710/

#cybersecurity #работа_в_it #карьера_в_иб #уязвимости #детектирование #vulnerability_management #vm #vm_специалист #vulnerability #курсы_vm

Надзорщик за инфраструктурой: что делает VM-специалист и как им стать

Мы продолжаем цикл публикаций «Топ-10 профессий в сфере кибербезопасности». И сегодня в рубрике Positive Education — профессия «VM-специалист». На что похожа профессия специалиста по управлению уязвимостями? Может, на работу врача, который следит за здоровьем пациента? Но к врачу обычно пациенты сами приходят с жалобами, а к VM-специалисту никто сам не пойдет. Со временем стало понятно: работа виэмщика больше всего напоминает работу инспектора из государственного органа надзора… Но обо всем по порядку и из первых уст, естественно. Начнем исследовать уязвимости?

https://habr.com/ru/companies/pt/articles/835710/

#cybersecurity #работа_в_it #карьера_в_иб #уязвимости #детектирование #vulnerability_management #vm #vm_специалист #vulnerability #курсы_vm

Надзорщик за инфраструктурой: что делает VM-специалист и как им стать

Мы продолжаем цикл публикаций «Топ-10 профессий в сфере кибербезопасности». И сегодня в рубрике Positive Education — профессия «VM-специалист». На что похожа профессия специалиста по управлению уязвимостями? Может, на работу врача, который следит за здоровьем пациента? Но к врачу обычно пациенты сами приходят с жалобами, а к VM-специалисту никто сам не пойдет. Со временем стало понятно: работа виэмщика больше всего напоминает работу инспектора из государственного органа надзора… Но обо всем по порядку и из первых уст, естественно. Начнем исследовать уязвимости?

https://habr.com/ru/companies/pt/articles/835710/

#cybersecurity #работа_в_it #карьера_в_иб #уязвимости #детектирование #vulnerability_management #vm #vm_специалист #vulnerability #курсы_vm

Как хакеры ломают облачную инфраструктуру хостинг-провайдера: кейс Standoff

В марте мы рассказывали , как хакеры ломают банки (за 48 часов!) и какие ИБ-продукты их защищают. Standoff 13 принес нам новые кейсы. Начнем с разбора взлома облачной инфраструктуры хостинг-провайдера Nodenest, который работал в вымышленном Государстве F. Вас ждет история о том, как продукт для защиты контейнерных сред PT Container Security (PT CS) поймал крайне интересный kill chain на уровне рантайма. Погнали!

https://habr.com/ru/companies/pt/articles/835098/

#k8s #взломы #провайдеры #mitreatt&ck #детектирование #cloud_native #clouds #ebpf #контейнеризация #standoff_365

Задача распознавания эмоций. Часть 1. Введение

Распознавание эмоций. Данная статья была подготовлена на основе презентации моей курсовой работы по компьютерному зрению. Ее цель - это краткий обзор аспектов машинного обучения в контексте задачи распознавания эмоций. То есть, в данной стать мы не будем излишне углубляться в детали, но при этом затронем практически все проблемы, которые так или иначе связаны с одной задачей: построение модели распознавания эмоций. Статья будет состоять из 3 частей: 1. Введение Описание и постановка задачи распознавания эмоций. 2. Три кита качества Данные; Архитектура; Гиперпараметры. 3. Запуск модели Разбор моего ноутбука с работой по шагам. Каждая из частей будет более практическая чем предыдущая и постепенно перейдет от общей теории к реальному коду.

https://habr.com/ru/articles/824744/

#computer_vision #data_science #emotions #emotion_detection #classification #классификация #дата_сайенс #компьютерное_зрение #машинное_зрение #детектирование

Задача распознавания эмоций. Часть 1. Введение

Распознавание эмоций. Данная статья была подготовлена на основе презентации моей курсовой работы по компьютерному зрению. Ее цель - это краткий обзор аспектов машинного обучения в контексте задачи распознавания эмоций. То есть, в данной стать мы не будем излишне углубляться в детали, но при этом затронем практически все проблемы, которые так или иначе связаны с одной задачей: построение модели распознавания эмоций. Статья будет состоять из 3 частей: 1. Введение Описание и постановка задачи распознавания эмоций. 2. Три кита качества Данные; Архитектура; Гиперпараметры. 3. Запуск модели Разбор моего ноутбука с работой по шагам. Каждая из частей будет более практическая чем предыдущая и постепенно перейдет от общей теории к реальному коду.

https://habr.com/ru/articles/824744/

#computer_vision #data_science #emotions #emotion_detection #classification #классификация #дата_сайенс #компьютерное_зрение #машинное_зрение #детектирование

Задача распознавания эмоций. Часть 1. Введение

Распознавание эмоций. Данная статья была подготовлена на основе презентации моей курсовой работы по компьютерному зрению. Ее цель - это краткий обзор аспектов машинного обучения в контексте задачи распознавания эмоций. То есть, в данной стать мы не будем излишне углубляться в детали, но при этом затронем практически все проблемы, которые так или иначе связаны с одной задачей: построение модели распознавания эмоций. Статья будет состоять из 3 частей: 1. Введение Описание и постановка задачи распознавания эмоций. 2. Три кита качества Данные; Архитектура; Гиперпараметры. 3. Запуск модели Разбор моего ноутбука с работой по шагам. Каждая из частей будет более практическая чем предыдущая и постепенно перейдет от общей теории к реальному коду.

https://habr.com/ru/articles/824744/

#computer_vision #data_science #emotions #emotion_detection #classification #классификация #дата_сайенс #компьютерное_зрение #машинное_зрение #детектирование

Эксперименты с Golden Ticket

Пожалуй, одной из самых опасных и крайне нежелательных сущностей, которые могут завестись в скомпрометированной Windows-инфраструктуре, является Golden Ticket. Это абсолютно легитимный Kerberos-билет, содержащий специально созданные данные, позволяющие злоумышленнику обойти нормальные механизмы проверки и получить высокие привилегии в сети. С помощью золотого билета злоумышленник может получить доступ к любому ресурсу в Active Directory, притворяясь валидным пользователем, без фактической аутентификации. Про Golden Ticket написано уже очень много статей, и аналитики знают, что такую атаку очень сложно обнаружить (большой труд в этом направлении проделали коллеги из R-Vision, рекомендуем к прочтению статью о Golden Ticket ). Не так давно Microsoft выпустила поэтапные обновления безопасности, которые меняют правила использования Golden Ticket. В этой статье мы постараемся разобраться, как обстоят дела с этой атакой сейчас и как Microsoft упростила ее детектирование своими обновлениями. Мы возьмем два инструмента (Mimikatz и Rubeus), сделаем с помощью них Golden Ticket с разными параметрами, а потом попробуем ими воспользоваться и посмотрим, какие сгенерируются события и как отследить их в SOC.

https://habr.com/ru/companies/jetinfosystems/articles/783518/

#kerberos #атака #microsoft #детектирование #mimikatz #rubeus #soc #обновление_безопасности #system #события_журнала

Эксперименты с Golden Ticket

Пожалуй, одной из самых опасных и крайне нежелательных сущностей, которые могут завестись в скомпрометированной Windows-инфраструктуре, является Golden Ticket. Это абсолютно легитимный Kerberos-билет, содержащий специально созданные данные, позволяющие злоумышленнику обойти нормальные механизмы проверки и получить высокие привилегии в сети. С помощью золотого билета злоумышленник может получить доступ к любому ресурсу в Active Directory, притворяясь валидным пользователем, без фактической аутентификации. Про Golden Ticket написано уже очень много статей, и аналитики знают, что такую атаку очень сложно обнаружить (большой труд в этом направлении проделали коллеги из R-Vision, рекомендуем к прочтению статью о Golden Ticket ). Не так давно Microsoft выпустила поэтапные обновления безопасности, которые меняют правила использования Golden Ticket. В этой статье мы постараемся разобраться, как обстоят дела с этой атакой сейчас и как Microsoft упростила ее детектирование своими обновлениями. Мы возьмем два инструмента (Mimikatz и Rubeus), сделаем с помощью них Golden Ticket с разными параметрами, а потом попробуем ими воспользоваться и посмотрим, какие сгенерируются события и как отследить их в SOC.

https://habr.com/ru/companies/jetinfosystems/articles/783518/

#kerberos #атака #microsoft #детектирование #mimikatz #rubeus #soc #обновление_безопасности #system #события_журнала

Как обнаружить хакера на этапе дампа учетных данных в Windows?

Одна из самых часто используемых техник при атаках — получение учетных данных из операционной системы. В этом можно убедиться, читая аналитические отчеты различных компаний: техника T1003 OS Credential Dumping в подавляющем большинстве случаев входит в ТОП-5. После проникновения в систему злоумышленникам необходимы учетки для перемещения по сети и доступа к конфиденциальной информации, а данная техника направлена на извлечение локальных и доменных учетных записей из системных файлов, реестра и памяти процессов. В этой статье мы акцентируем внимание на своевременном выявлении подозрительной активности с помощью мониторинга ИБ и расскажем, как на основе событий штатной подсистемы аудита ОС обнаружить, что пытаются сдампить учетные данные в Windows. Логика детектирования будет представлена в общем виде по полям событий, а также в виде псевдокода, который можно адаптировать под синтаксис любой системы мониторинга. Ну и для возможности тестирования правил корреляции будут приведены краткая справка по атакам и способы их реализации. Рассмотрим покрытие таких подтехник, как: · дамп процесса lsass.exe; · кража данных из базы SAM; · дамп базы NTDS; · извлечение секретов LSA; · получение кэшированных данных; · атака DCSync.

https://habr.com/ru/companies/jetinfosystems/articles/780650/

#учетные_данные #мониторинг #дамп #детектирование #псевдокод #атаки #кража_данных #sam #ntds #секреты

Детектируем горизонтальное перемещение с DCOMExec

Привет, Хабр! Меня зовут Валерия Мавлютова, я младший аналитик-исследователь киберугроз в компании R-Vision. Эта статья является продолжением серии материалов об инструментах для горизонтального перемещения и посвящена достаточно объемному с точки зрения используемых методов — инструменту DCOMExec. Ранее мы уже подробно разобрали такие инструменты, как PsExec , SMBExec и AtExec . Как обычно, сегодня мы посмотрим, на чем строится работа данного инструмента, проанализируем возможные источники полезной информации для построения возможного способа детектирования и предложим свой вариант обнаружения его эксплуатации.

https://habr.com/ru/companies/rvision/articles/749032/

#аналитика #lateral_movement #боковое_перемещение #продвижение_по_сети #детектирование #выявление_атак #обнаружение_атак