#обнаружение_атак — Public Fediverse posts

Как работают руткиты и можно ли им противодействовать на примере Singularity

Всем привет. Экспрементируя со способами закрепления на Linux системах в рамках разработки своей системы мониторига безопасности, я наткнулся на руткит с открытым исходным кодом Singularity . Он показался мне очень интересным, так как использует большое количество методов для сокрытия себя от обнаружения, а открытый исходный исходный код позволяет досконально изучить эти методы. В данной статье я подробно расскажу вам, с помощью каких подходов руткиты закрепляются на Linux системах на примере Singularity.

https://habr.com/ru/articles/996568/

#rootkit #rootkits #руткиты #руткит #ядро_linux #мониторинг #ebpf #обнаружение_атак #информационная_безопасность #защита_сервера

Как работают руткиты и можно ли им противодействовать на примере Singularity

Всем привет. Экспрементируя со способами закрепления на Linux системах в рамках разработки своей системы мониторига безопасности, я наткнулся на руткит с открытым исходным кодом Singularity . Он показался мне очень интересным, так как использует большое количество методов для сокрытия себя от обнаружения, а открытый исходный исходный код позволяет досконально изучить эти методы. В данной статье я подробно расскажу вам, с помощью каких подходов руткиты закрепляются на Linux системах на примере Singularity.

https://habr.com/ru/articles/996568/

#rootkit #rootkits #руткиты #руткит #ядро_linux #мониторинг #ebpf #обнаружение_атак #информационная_безопасность #защита_сервера

Как работают руткиты и можно ли им противодействовать на примере Singularity

Всем привет. Экспрементируя со способами закрепления на Linux системах в рамках разработки своей системы мониторига безопасности, я наткнулся на руткит с открытым исходным кодом Singularity . Он показался мне очень интересным, так как использует большое количество методов для сокрытия себя от обнаружения, а открытый исходный исходный код позволяет досконально изучить эти методы. В данной статье я подробно расскажу вам, с помощью каких подходов руткиты закрепляются на Linux системах на примере Singularity.

https://habr.com/ru/articles/996568/

#rootkit #rootkits #руткиты #руткит #ядро_linux #мониторинг #ebpf #обнаружение_атак #информационная_безопасность #защита_сервера

Как работают руткиты и можно ли им противодействовать на примере Singularity

Всем привет. Экспрементируя со способами закрепления на Linux системах в рамках разработки своей системы мониторига безопасности, я наткнулся на руткит с открытым исходным кодом Singularity . Он показался мне очень интересным, так как использует большое количество методов для сокрытия себя от обнаружения, а открытый исходный исходный код позволяет досконально изучить эти методы. В данной статье я подробно расскажу вам, с помощью каких подходов руткиты закрепляются на Linux системах на примере Singularity.

https://habr.com/ru/articles/996568/

#rootkit #rootkits #руткиты #руткит #ядро_linux #мониторинг #ebpf #обнаружение_атак #информационная_безопасность #защита_сервера

Видеть инфраструктуру как хакер: рассчитываем время кибератаки

Всем привет! Продолжаем погружение в ИТ-инфраструктуру глазами хакера. В предыдущей статье мы рассказали про процесс создания графа моделирования киберугроз – цифровой модели инфраструктуры, которая учитывает потенциальные действия злоумышленников, и про алгоритмы, которые рассчитывают возможные маршруты перемещения атакующих внутри системы. Следующий шаг – это оценка опасности найденных маршрутов. В этом случае, метрика времени атаки – это один из ключевых параметров анализа. Чем меньше времени потенциально требуется для реализации атаки, тем больше вероятность, что средства защиты и ИБ-специалисты не смогут вовремя обнаружить злоумышленника и остановить взлом. Что же нам даёт метрика времени?

https://habr.com/ru/companies/pt/articles/921872/

#tta #max_patrol_carbon #max_patrol #маршрут_хакера #обнаружение_атак #метрики_процесса #моделирование #кибератаки #киберугрозы #граф_атаки

Видеть инфраструктуру как хакер: рассчитываем время кибератаки

Всем привет! Продолжаем погружение в ИТ-инфраструктуру глазами хакера. В предыдущей статье мы рассказали про процесс создания графа моделирования киберугроз – цифровой модели инфраструктуры, которая учитывает потенциальные действия злоумышленников, и про алгоритмы, которые рассчитывают возможные маршруты перемещения атакующих внутри системы. Следующий шаг – это оценка опасности найденных маршрутов. В этом случае, метрика времени атаки – это один из ключевых параметров анализа. Чем меньше времени потенциально требуется для реализации атаки, тем больше вероятность, что средства защиты и ИБ-специалисты не смогут вовремя обнаружить злоумышленника и остановить взлом. Что же нам даёт метрика времени?

https://habr.com/ru/companies/pt/articles/921872/

#tta #max_patrol_carbon #max_patrol #маршрут_хакера #обнаружение_атак #метрики_процесса #моделирование #кибератаки #киберугрозы #граф_атаки

Видеть инфраструктуру как хакер: рассчитываем время кибератаки

Всем привет! Продолжаем погружение в ИТ-инфраструктуру глазами хакера. В предыдущей статье мы рассказали про процесс создания графа моделирования киберугроз – цифровой модели инфраструктуры, которая учитывает потенциальные действия злоумышленников, и про алгоритмы, которые рассчитывают возможные маршруты перемещения атакующих внутри системы. Следующий шаг – это оценка опасности найденных маршрутов. В этом случае, метрика времени атаки – это один из ключевых параметров анализа. Чем меньше времени потенциально требуется для реализации атаки, тем больше вероятность, что средства защиты и ИБ-специалисты не смогут вовремя обнаружить злоумышленника и остановить взлом. Что же нам даёт метрика времени?

https://habr.com/ru/companies/pt/articles/921872/

#tta #max_patrol_carbon #max_patrol #маршрут_хакера #обнаружение_атак #метрики_процесса #моделирование #кибератаки #киберугрозы #граф_атаки

Видеть инфраструктуру как хакер: рассчитываем время кибератаки

Всем привет! Продолжаем погружение в ИТ-инфраструктуру глазами хакера. В предыдущей статье мы рассказали про процесс создания графа моделирования киберугроз – цифровой модели инфраструктуры, которая учитывает потенциальные действия злоумышленников, и про алгоритмы, которые рассчитывают возможные маршруты перемещения атакующих внутри системы. Следующий шаг – это оценка опасности найденных маршрутов. В этом случае, метрика времени атаки – это один из ключевых параметров анализа. Чем меньше времени потенциально требуется для реализации атаки, тем больше вероятность, что средства защиты и ИБ-специалисты не смогут вовремя обнаружить злоумышленника и остановить взлом. Что же нам даёт метрика времени?

https://habr.com/ru/companies/pt/articles/921872/

#tta #max_patrol_carbon #max_patrol #маршрут_хакера #обнаружение_атак #метрики_процесса #моделирование #кибератаки #киберугрозы #граф_атаки

Атаки на контейнерные системы и композиция данных для их обнаружения

Введение В последние годы контейнеризация и контейнерные системы стали конкурентной альтернативой виртуализации и виртуальным операционным системам, поскольку контейнерные системы предлагают более рациональный подход к использованию вычислительных ресурсов. Это достигается за счёт упаковки в образ контейнера только необходимых программных компонентов, что позволяет запустить контейнер с минимальным набором библиотек и утилит. Но при использовании контейнерных систем одно неправильное движение может привести к катастрофическим последствиям. В статье расскажу о некоторых видах атак на контейнеры и способах их обнаружения.

https://habr.com/ru/companies/gaz-is/articles/919418/

#газинформсервис #информационная_безопасность #нейросети #контейнеры #атаки #обнаружение_атак #syscalls #логи

Threat Hunting изнутри: как охотиться на атакующего

Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

https://habr.com/ru/companies/pt/articles/911246/

#обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

Threat Hunting изнутри: как охотиться на атакующего

Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

https://habr.com/ru/companies/pt/articles/911246/

#обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

Threat Hunting изнутри: как охотиться на атакующего

Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

https://habr.com/ru/companies/pt/articles/911246/

#обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

Threat Hunting изнутри: как охотиться на атакующего

Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

https://habr.com/ru/companies/pt/articles/911246/

#обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

FreeIPA: как обнаружить атаку злоумышленника на любом этапе Kill Chain

В последнее время в различных отчетах об атаках и результатах пентестов часто фигурирует FreeIPA — система централизованного управления хостами и группами пользователей, ориентированная на Linux-инфраструктуру. Можно сказать, что это опенсорс-альтернатива для MS Active Directory. Хотя FreeIPA не является ключевым компонентом инфраструктуры, из-за особенностей конфигурирования, она может стать для злоумышленника кратчайшим путем к компрометации организации. Поэтому мы – Ильназ Гатауллин, технический руководитель RED Security SOC и Сергей Орляк, руководитель третьей линии RED Security SOC – решили рассказать о схемах атак на FreeIPA, основных методах их детектирования и расследования. Мы хотим разобрать целый ряд атак: показать их механику, поделиться правилами корреляции, которые вы сможете использовать для самостоятельного выявления таких инцидентов, и советами по расследованию. Поскольку в итоге получился очень обширный tutorial, мы разделим его на две публикации. Во второй части посмотрим на весь Kill Chain атак на FreeIPA и покажем, как приведенные правила позволят выявлять злоумышленника на любом из этапов.

https://habr.com/ru/companies/ru_mts/articles/905112/

#freeipa #LDAP #обнаружение_атак #журналирование #Bruteforce_Kerberos #user_enumeration #системное_администрирование #информационная_безопасность #itинфраструктура #настройка_linux

Киберучения с поведенческим анализом: результаты работы MaxPatrol BAD (Behavioral Anomaly Detection)

Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях. Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.

https://habr.com/ru/companies/pt/articles/898836/

#machine_learning #cybersecurity #siem #behavioral_anomaly_detection #поведенческий_анализ #киберучения #обнаружение_атак #red_team #soc #bitrix

Киберучения с поведенческим анализом: результаты работы MaxPatrol BAD (Behavioral Anomaly Detection)

Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях. Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.

https://habr.com/ru/companies/pt/articles/898836/

#machine_learning #cybersecurity #siem #behavioral_anomaly_detection #поведенческий_анализ #киберучения #обнаружение_атак #red_team #soc #bitrix

Киберучения с поведенческим анализом: результаты работы MaxPatrol BAD (Behavioral Anomaly Detection)

Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях. Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.

https://habr.com/ru/companies/pt/articles/898836/

#machine_learning #cybersecurity #siem #behavioral_anomaly_detection #поведенческий_анализ #киберучения #обнаружение_атак #red_team #soc #bitrix

Киберучения с поведенческим анализом: результаты работы MaxPatrol BAD (Behavioral Anomaly Detection)

Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и пользователях, присваивает им определенную оценку риска (risk score) и выдает альтернативное мнение, основываясь на своих алгоритмах. Фишка BAD в том, что он снижает когнитивную нагрузку аналитика системы SIEM, позволяя эффективнее принимать решение по инциденту информационной безопасности. Мы постоянно испытываем наш модуль в таких сценариях. Чтобы проверить, как MaхPatrol BAD справляется с обнаружением сложных и неизвестных атак, мы тестируем его в условиях киберучений. В этих учениях традиционно участвует наша red team — команда, имитирующая действия реальных злоумышленников. О том, какие результаты показывает модуль, какие атаки удается выявлять и какие выводы мы сделали, расскажу далее.

https://habr.com/ru/companies/pt/articles/898836/

#machine_learning #cybersecurity #siem #behavioral_anomaly_detection #поведенческий_анализ #киберучения #обнаружение_атак #red_team #soc #bitrix

Специалист по обнаружению атак в сети: как выглядит эта работа на самом деле

Привет, Хабр! Меня зовут Андрей Тюленев, я старший специалист отдела обнаружения атак в сети в Positive Technologies. Моя работа — отслеживать атаки, затем разбирать их по косточкам, чтобы не дать злоумышленникам реализовать недопустимое событие, и создавать детекты — чтобы продукты Positive Technologies могли их обнаруживать. Сегодня я расскажу, как выглядит работа специалиста по обнаружению атак, какие инструменты мы используем, как попасть в эту профессию и какие скилы реально важны. Разберем, чем мы занимаемся на практике: от написания правил детектирования и анализа трафика до участия в расследованиях, где на кону — безопасность крупных компаний.

https://habr.com/ru/companies/pt/articles/894004/

#обнаружение_атак #threat_hunting #уязвимости_и_их_эксплуатация #rce #wireshark #osi #python #ntaсистемы #middle #senior

«Дело не в музе и вдохновении. Дело в труде». Честное интервью с Алексеем Лукацким о плюсах и минусах книгописательства

Привет! Сегодня мы решили напомнить читателям Хабра о том, что в Positive Technologies не только исследуют уязвимости, пишут ресерчи и разрабатывают ПО для защиты — наши коллеги ко всему прочему еще и авторы книг. Алексей Усанов уже рассказал о своей книге «Реверс-инжиниринг встраиваемых систем». Мы расспросили другого нашего коллегу, Алексея Лукацкого ( @alukatsky ), и он поведал нам о своем писательском пути. Разговор получился откровенный, прямолинейный, как во многом и сам Алексей Викторович. Можно ли заработать книгописательством, надо ли следовать советам Стивена Кинга, а также маленький, но полезный лайфхак для авторов — обо всем этом читайте в интервью с Алексеем Лукацким в этой статье. Почитать

https://habr.com/ru/companies/pt/articles/874276/

#cybersecurity #обнаружение_атак #писательство #книга #техническая_литература #написание_книги #творческий_процесс #threat_hunting #intrusion_detection #профессиональная_литература

Detection is easy. Устанавливаем OPNSense и настраиваем NetFlow

Продолжаем серию статей. - Detection is easy , посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале . Сегодня мы рассмотрим установку OPNSense на Proxmox и настройку отправки NetFlow на коллектор ElastiFlow, который мы настроили в прошлой статье . Для начала подключимся к Proxmox VE и создадим виртуальную машину с двумя интерфейсами.

https://habr.com/ru/articles/873382/

#информационная_безопасность #мониторинг #мониторинг_сети #инцидент_кибербезопасности #инциденты_иб #инциденты_безопасности #инцидент #инциденты #обнаружение_атак #обнаружение_аномалий

За грань netflow: что получается, если отказаться от ограничений

Здравствуй, Хабр! Уже как 4 года я веду свой небольшой pet-проект в области netflow и его практического применения, и вот сейчас решил поделиться своими результатами. Эта история началась снежным московским днём, когда один уважаемый коллега поделился следующий новостью: ребята прочитали научную публикацию , провели свои эксперименты и написали статью на Хабр . У обеих работ были схожие выводы: определённые вредоносные воздействия, такие как DDoS или сканирования, обнаруживаются с весьма высокой точностью, но что-то менее "грубое" обнаружить уже сложно. Ребята, благодарю вас, что вы мне рассказали про данные штуки! Это стало отправной точкой для моего исследования. Можно ли не поднимаясь выше транспортного уровня ЭМВОС по данным netflow в сетевом трафике обнаруживать работу определённого приложения, ВПО или применение инструментов redteam? Да, можно! Но есть нюансы. Что у меня получилось будет изложено в этой статье.

https://habr.com/ru/articles/871960/

#информационная_безопасность #netflow #машинное_обучение #обнаружение_атак #впо #malware

Detection is easy. Устанавливаем Elastiflow для поиска угроз в сети

Начнем серию статей под названием Detection is easy , посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале . Один из этапов DE - определение источников событий и организация их сбора. В этой статье мы рассмотрим установку Elastiflow — это мощное решение для обработки и визуализации сетевых данных, построенное на основе стека ELK (Elasticsearch, Logstash, Kibana). Elastiflow предоставляет возможность собирать, обрабатывать и анализировать данные из различных сетевых протоколов, таких как NetFlow, sFlow и IPFIX. Основное преимущество Elastiflow по сравнению с классическим ELK-стеком заключается в оптимизированном агенте сбора сетевой телеметрии, а также в наличии готовых дашбордов и визуализаций, которые упрощают анализ сетевого трафика. Изначально проект развивался на GitHub , однако разработчики перешли к коммерческому решению — flow-collector , который демонстрирует значительно более высокую производительность по сравнению с версией, доступной на GitHub. Более подробную информацию о различиях можно найти в документации . Политика лицензирования позволяет бесплатно использовать продукт, но если ты зарегистрируешься, то будет доступно порядка 480 полей и использование одного инстанса (4000 записей в секунду, без регистрации 500).

https://habr.com/ru/articles/871898/

#netflow #elastic #elastiflow #инцидент #обнаружение_атак #обнаружение_аномалий #компьютерная_безопасность #компьютерная_криминалистика #компьютерные_сети

Сеть знает все, или Как найти пробив с помощью анализа трафика

Столько слов было сказано, столько копий сломано в попытках защитить свою инфраструктуру, но одним из частых векторов проникновения в сеть все еще остается эксплуатация уязвимостей сервисов на периметре. Можно долго рассуждать о причинах такой ситуации, а можно максимально защитить компанию от кибератак. Сегодня я, Виктор Еременко, лидер продуктовой практики нашей системы поведенческого анализа трафика, расскажу, как вовремя выявить злоумышленника и не допустить инцидента.

https://habr.com/ru/companies/pt/articles/867042/

#pt_nad #сетевой_трафик #обнаружение_атак #эксплуатация_уязвимостей #алерты #автоматизация #полезная_нагрузка #анализ_трафика #шифрование #false_positive

Сеть знает все, или Как найти пробив с помощью анализа трафика

Столько слов было сказано, столько копий сломано в попытках защитить свою инфраструктуру, но одним из частых векторов проникновения в сеть все еще остается эксплуатация уязвимостей сервисов на периметре. Можно долго рассуждать о причинах такой ситуации, а можно максимально защитить компанию от кибератак. Сегодня я, Виктор Еременко, лидер продуктовой практики нашей системы поведенческого анализа трафика, расскажу, как вовремя выявить злоумышленника и не допустить инцидента.

https://habr.com/ru/companies/pt/articles/867042/

#pt_nad #сетевой_трафик #обнаружение_атак #эксплуатация_уязвимостей #алерты #автоматизация #полезная_нагрузка #анализ_трафика #шифрование #false_positive

Сеть знает все, или Как найти пробив с помощью анализа трафика

Столько слов было сказано, столько копий сломано в попытках защитить свою инфраструктуру, но одним из частых векторов проникновения в сеть все еще остается эксплуатация уязвимостей сервисов на периметре. Можно долго рассуждать о причинах такой ситуации, а можно максимально защитить компанию от кибератак. Сегодня я, Виктор Еременко, лидер продуктовой практики нашей системы поведенческого анализа трафика, расскажу, как вовремя выявить злоумышленника и не допустить инцидента.

https://habr.com/ru/companies/pt/articles/867042/

#pt_nad #сетевой_трафик #обнаружение_атак #эксплуатация_уязвимостей #алерты #автоматизация #полезная_нагрузка #анализ_трафика #шифрование #false_positive

Сеть знает все, или Как найти пробив с помощью анализа трафика

Столько слов было сказано, столько копий сломано в попытках защитить свою инфраструктуру, но одним из частых векторов проникновения в сеть все еще остается эксплуатация уязвимостей сервисов на периметре. Можно долго рассуждать о причинах такой ситуации, а можно максимально защитить компанию от кибератак. Сегодня я, Виктор Еременко, лидер продуктовой практики нашей системы поведенческого анализа трафика, расскажу, как вовремя выявить злоумышленника и не допустить инцидента.

https://habr.com/ru/companies/pt/articles/867042/

#pt_nad #сетевой_трафик #обнаружение_атак #эксплуатация_уязвимостей #алерты #автоматизация #полезная_нагрузка #анализ_трафика #шифрование #false_positive

Детектируем горизонтальное перемещение с DCOMExec

Привет, Хабр! Меня зовут Валерия Мавлютова, я младший аналитик-исследователь киберугроз в компании R-Vision. Эта статья является продолжением серии материалов об инструментах для горизонтального перемещения и посвящена достаточно объемному с точки зрения используемых методов — инструменту DCOMExec. Ранее мы уже подробно разобрали такие инструменты, как PsExec , SMBExec и AtExec . Как обычно, сегодня мы посмотрим, на чем строится работа данного инструмента, проанализируем возможные источники полезной информации для построения возможного способа детектирования и предложим свой вариант обнаружения его эксплуатации.

https://habr.com/ru/companies/rvision/articles/749032/

#аналитика #lateral_movement #боковое_перемещение #продвижение_по_сети #детектирование #выявление_атак #обнаружение_атак

Детектируем горизонтальное перемещение с DCOMExec

Привет, Хабр! Меня зовут Валерия Мавлютова, я младший аналитик-исследователь киберугроз в компании R-Vision. Эта статья является продолжением серии материалов об инструментах для горизонтального перемещения и посвящена достаточно объемному с точки зрения используемых методов — инструменту DCOMExec. Ранее мы уже подробно разобрали такие инструменты, как PsExec , SMBExec и AtExec . Как обычно, сегодня мы посмотрим, на чем строится работа данного инструмента, проанализируем возможные источники полезной информации для построения возможного способа детектирования и предложим свой вариант обнаружения его эксплуатации.

https://habr.com/ru/companies/rvision/articles/749032/

#аналитика #lateral_movement #боковое_перемещение #продвижение_по_сети #детектирование #выявление_атак #обнаружение_атак

Расширенная аналитика в технологиях моделирования UEBA

Сезон 1 эпизод 3-й контекст: «Пример (примеры) расширенной аналитики UEBA в ИБ» Эта статья по сути заключительная в теме про UEBA в информационной безопасности, то есть ранее были еще публикации: Статья 1 , Статья 2 .

https://habr.com/ru/companies/gaz-is/articles/774036/

#ueba #поведенческая_аналитика #ml #обнаружение_атак

Расширенная аналитика в технологиях моделирования UEBA

Сезон 1 эпизод 3-й контекст: «Пример (примеры) расширенной аналитики UEBA в ИБ» Эта статья по сути заключительная в теме про UEBA в информационной безопасности, то есть ранее были еще публикации: Статья 1 , Статья 2 .

https://habr.com/ru/companies/gaz-is/articles/774036/

#ueba #поведенческая_аналитика #ml #обнаружение_атак