#реагирование_на_инциденты — Public Fediverse posts

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Почему коммерческий SOC — это не Netflix: что нужно знать перед подключением мониторинга

Вы подписали договор с коммерческим SOC и думаете, что теперь можете выдохнуть? Не спешите. Многие компании покупают мониторинг безопасности как сервис — в надежде, что он решит все их проблемы. А получают долгие созвоны, неожиданные проблемы с инфраструктурой и звонки аналитиков в три часа ночи, в тот момент, когда отвечать просто некому. Привет! Это Кирилл Рупасов, технический директор SOC. В этой статье мои коллеги из

https://habr.com/ru/companies/k2tech/articles/994340/

#soc #коммерческий_soc #мониторинг_безопасности #реагирование_на_инциденты #siem #источники_логов #sla #инвентаризация_активов #зрелость_иб #регламент_взаимодействия

Почему коммерческий SOC — это не Netflix: что нужно знать перед подключением мониторинга

Вы подписали договор с коммерческим SOC и думаете, что теперь можете выдохнуть? Не спешите. Многие компании покупают мониторинг безопасности как сервис — в надежде, что он решит все их проблемы. А получают долгие созвоны, неожиданные проблемы с инфраструктурой и звонки аналитиков в три часа ночи, в тот момент, когда отвечать просто некому. Привет! Это Кирилл Рупасов, технический директор SOC. В этой статье мои коллеги из

https://habr.com/ru/companies/k2tech/articles/994340/

#soc #коммерческий_soc #мониторинг_безопасности #реагирование_на_инциденты #siem #источники_логов #sla #инвентаризация_активов #зрелость_иб #регламент_взаимодействия

Почему коммерческий SOC — это не Netflix: что нужно знать перед подключением мониторинга

Вы подписали договор с коммерческим SOC и думаете, что теперь можете выдохнуть? Не спешите. Многие компании покупают мониторинг безопасности как сервис — в надежде, что он решит все их проблемы. А получают долгие созвоны, неожиданные проблемы с инфраструктурой и звонки аналитиков в три часа ночи, в тот момент, когда отвечать просто некому. Привет! Это Кирилл Рупасов, технический директор SOC. В этой статье мои коллеги из

https://habr.com/ru/companies/k2tech/articles/994340/

#soc #коммерческий_soc #мониторинг_безопасности #реагирование_на_инциденты #siem #источники_логов #sla #инвентаризация_активов #зрелость_иб #регламент_взаимодействия

Почему коммерческий SOC — это не Netflix: что нужно знать перед подключением мониторинга

Вы подписали договор с коммерческим SOC и думаете, что теперь можете выдохнуть? Не спешите. Многие компании покупают мониторинг безопасности как сервис — в надежде, что он решит все их проблемы. А получают долгие созвоны, неожиданные проблемы с инфраструктурой и звонки аналитиков в три часа ночи, в тот момент, когда отвечать просто некому. Привет! Это Кирилл Рупасов, технический директор SOC. В этой статье мои коллеги из

https://habr.com/ru/companies/k2tech/articles/994340/

#soc #коммерческий_soc #мониторинг_безопасности #реагирование_на_инциденты #siem #источники_логов #sla #инвентаризация_активов #зрелость_иб #регламент_взаимодействия

Как Warlock атакуют вашу инфраструктуру

В ноябре 2025 года эксперты по реагированию на инциденты Angara MTDR столкнулись с несколькими инцидентами с участием группировки Warlock (Lenient Wolf, Storm-2603, GOLD SALEM). Данный кластер активности использует уязвимости внешнего контура как один из первоначальных векторов атак, например, CVE-2023-24955, CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, в опубликованном веб-приложении SharePoint. В октябре 2025 года этот ряд пополнился свежей уязвимостью WSUS — CVE-2025-59287 , которая имеет рейтинг критичности 9,8 из 10 по CVSS. Узнать, как это было

https://habr.com/ru/companies/angarasecurity/articles/984840/

#уязвимости #warlock #killchain #реагирование_на_инциденты #эксплуатация #мониторинг #хакерские_атаки

DFIR на практике. Часть 1: Lockdown Lab

В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту. В сегодняшей статье расследуем атаку, используя дамп сетевой трафик, дамп оперативной памяти атакованного хоста, а также изучим образец ВПО.

https://habr.com/ru/articles/986314/

#DFIR #информационная_безопасность #расследование_инцидентов #реагирование_на_инциденты

Два рождественских червя 80-х: как доверие к сети стало проблемой задолго до фишинга

Праздники в ИТ часто выглядят одинаково — независимо от десятилетия. Меньше людей в офисах, меньше изменений в инфраструктуре, меньше внимания к мелочам. И сегодня мы воспринимаем это как очевидную истину: длинные выходные — время повышенного риска. Но в конце 1980-х эта мысль ещё не была частью профессионального мышления (по крайней мере, в практике академических и корпоративных сетей). Компьютерные сети того времени казались чем-то устойчивым, почти «институциональным». Они были дорогими и медленными. Пользователи часто знали друг друга лично, а саму сеть воспринимали как продолжение научного сообщества — но не как потенциально враждебную среду. В такой атмосфере доверие не считалось уязвимостью. И именно в этой среде появились одни из первых широко заметных сетевых инцидентов, которые заставили операторов думать категориями «инцидент / реагирование / процедуры». Оба случились в праздничный сезон. Оба были замаскированы под безобидные шутки. И оба показали, что даже самые доброжелательные системы могут навредить сами себе. Статья подготовлена по мотивам материала IEEE Security & Privacy , публикации Брайана Хэмэна и отчёта команды безопасности SPAN (NASA) .

https://habr.com/ru/companies/ostrovok/articles/983132/

#информационная_безопасность #История_интернета #Компьютерные_черви #Социальная_инженерия #Фишинг #Сетевые_протоколы #DECnet #реагирование_на_инциденты #Человеческий_фактор #Киберугрозы

Два рождественских червя 80-х: как доверие к сети стало проблемой задолго до фишинга

Праздники в ИТ часто выглядят одинаково — независимо от десятилетия. Меньше людей в офисах, меньше изменений в инфраструктуре, меньше внимания к мелочам. И сегодня мы воспринимаем это как очевидную истину: длинные выходные — время повышенного риска. Но в конце 1980-х эта мысль ещё не была частью профессионального мышления (по крайней мере, в практике академических и корпоративных сетей). Компьютерные сети того времени казались чем-то устойчивым, почти «институциональным». Они были дорогими и медленными. Пользователи часто знали друг друга лично, а саму сеть воспринимали как продолжение научного сообщества — но не как потенциально враждебную среду. В такой атмосфере доверие не считалось уязвимостью. И именно в этой среде появились одни из первых широко заметных сетевых инцидентов, которые заставили операторов думать категориями «инцидент / реагирование / процедуры». Оба случились в праздничный сезон. Оба были замаскированы под безобидные шутки. И оба показали, что даже самые доброжелательные системы могут навредить сами себе. Статья подготовлена по мотивам материала IEEE Security & Privacy , публикации Брайана Хэмэна и отчёта команды безопасности SPAN (NASA) .

https://habr.com/ru/companies/ostrovok/articles/983132/

#информационная_безопасность #История_интернета #Компьютерные_черви #Социальная_инженерия #Фишинг #Сетевые_протоколы #DECnet #реагирование_на_инциденты #Человеческий_фактор #Киберугрозы

Два рождественских червя 80-х: как доверие к сети стало проблемой задолго до фишинга

Праздники в ИТ часто выглядят одинаково — независимо от десятилетия. Меньше людей в офисах, меньше изменений в инфраструктуре, меньше внимания к мелочам. И сегодня мы воспринимаем это как очевидную истину: длинные выходные — время повышенного риска. Но в конце 1980-х эта мысль ещё не была частью профессионального мышления (по крайней мере, в практике академических и корпоративных сетей). Компьютерные сети того времени казались чем-то устойчивым, почти «институциональным». Они были дорогими и медленными. Пользователи часто знали друг друга лично, а саму сеть воспринимали как продолжение научного сообщества — но не как потенциально враждебную среду. В такой атмосфере доверие не считалось уязвимостью. И именно в этой среде появились одни из первых широко заметных сетевых инцидентов, которые заставили операторов думать категориями «инцидент / реагирование / процедуры». Оба случились в праздничный сезон. Оба были замаскированы под безобидные шутки. И оба показали, что даже самые доброжелательные системы могут навредить сами себе. Статья подготовлена по мотивам материала IEEE Security & Privacy , публикации Брайана Хэмэна и отчёта команды безопасности SPAN (NASA) .

https://habr.com/ru/companies/ostrovok/articles/983132/

#информационная_безопасность #История_интернета #Компьютерные_черви #Социальная_инженерия #Фишинг #Сетевые_протоколы #DECnet #реагирование_на_инциденты #Человеческий_фактор #Киберугрозы

Два рождественских червя 80-х: как доверие к сети стало проблемой задолго до фишинга

Праздники в ИТ часто выглядят одинаково — независимо от десятилетия. Меньше людей в офисах, меньше изменений в инфраструктуре, меньше внимания к мелочам. И сегодня мы воспринимаем это как очевидную истину: длинные выходные — время повышенного риска. Но в конце 1980-х эта мысль ещё не была частью профессионального мышления (по крайней мере, в практике академических и корпоративных сетей). Компьютерные сети того времени казались чем-то устойчивым, почти «институциональным». Они были дорогими и медленными. Пользователи часто знали друг друга лично, а саму сеть воспринимали как продолжение научного сообщества — но не как потенциально враждебную среду. В такой атмосфере доверие не считалось уязвимостью. И именно в этой среде появились одни из первых широко заметных сетевых инцидентов, которые заставили операторов думать категориями «инцидент / реагирование / процедуры». Оба случились в праздничный сезон. Оба были замаскированы под безобидные шутки. И оба показали, что даже самые доброжелательные системы могут навредить сами себе. Статья подготовлена по мотивам материала IEEE Security & Privacy , публикации Брайана Хэмэна и отчёта команды безопасности SPAN (NASA) .

https://habr.com/ru/companies/ostrovok/articles/983132/

#информационная_безопасность #История_интернета #Компьютерные_черви #Социальная_инженерия #Фишинг #Сетевые_протоколы #DECnet #реагирование_на_инциденты #Человеческий_фактор #Киберугрозы

Атрибуция кибератак: почему иногда «не знаю» — единственный честный ответ

Представьте, что вы остановили атаку шифровальщика, залатали уязвимость и восстановили системы из бэкапа. Через неделю в той же сети всплывает майнер. Еще через месяц документы утекают в открытый доступ. Следы каждый раз ведут к одной и той же уязвимости. Что происходит: резвится один упорный хакер или ваша сеть превратилась в «коммуналку» для злоумышленников? С каждым годом становится всё труднее ответить на этот вопрос. Атрибуция кибератак превратилась в гадание на кофейной гуще. Атакующие используют одни и те же open-source-инструменты, а хорошая телеметрия блокирует атаки так быстро, что после инцидента остается слишком мало данных для полноценного расследования. Чтобы разобраться в ситуации, мы позвали Семена Рогачёва, руководителя отдела реагирования на инциденты Бастиона. Он уже выступал с докладом на эту тему. Рассмотрим три реальных кейса: от простого подсчета атакующих до полной неопределенности с двумя группировками на одном сервере. Сразу предупреждаем: простых ответов не будет.

https://habr.com/ru/companies/bastion/articles/975212/

#информационная_безопасность #атрибуция_кибератак #расследование_кибератак #цифровая_криминалистика #анализ_TTPs #сложности_атрибуции_кибератак #реагирование_на_инциденты #атрибуция_атакующих #DFIR #атрибуция_без_телеметрии

Пара реальных историй из жизни аналитиков SOC

Своевременное выявление инцидентов ИБ позволяет минимизировать возможный ущерб в случае реализации связанных с ними рисков. Security Operations Center (SOC) — это центр мониторинга информационной безопасности, структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки и именно от них зависит, насколько быстро будет обнаружена та или иная атака. В этой статье мы рассмотрим пару реальных случаев расследования инцидентов аналитиками SOC. Но для начала давайте разберемся с тем, как построено взаимодействие специалистов в Security Operations Center. Как работает SOC

https://habr.com/ru/companies/otus/articles/972158/

#soc #siem #edr #мониторинг_безопасности #реагирование_на_инциденты #расследование_инцидентов #фишинговая_атака #кибератаки

Уже не Thor: как мы выслеживали одну группировку и «разбудили» другую

Во время расследования инцидентов мы, команда Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке департамента Threat Intelligence (PT ESC TI) обнаружили следы использования вредоносного ПО (ВПО) KrustyLoader . Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs . Дальнейшее расследование позволило обнаружить в инфраструктуре жертвы активность другой группировки. Интересно, что ее деятельность, вероятно, помешала QuietCrabs реализовать атаку и стала причиной, по которой на эту атаку обратили внимание. Мы предполагаем, что второй группировкой являются хакеры Thor . В статье мы покажем цепочки атак, обнаруженные нами во время расследования, и расскажем про сами инструменты, которые использовали злоумышленники.

https://habr.com/ru/companies/pt/articles/967426/

#реагирование_на_инциденты #целевые_атаки #кибератаки #группировка #thor #quietcrabs #удаленное_выполнение_кода #rce #killchain #цепочка_атаки_хакера

Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика

На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда» . Киберугрозы эволюционируют быстрее, чем когда-либо. Злоумышленники научились обходить традиционную защиту периметра и незаметно перемещаться внутри корпоративных сетей. Использование NDR-решений позволяет организациям раньше обнаруживать сложные сетевые угрозы, горизонтальное перемещение злоумышленников внутри сети, сокращать время реакции на инциденты, минимизировать ущерб и интегрировать защиту с существующей инфраструктурой. Узнать все о современных трендах NDR

https://habr.com/ru/companies/garda/articles/966006/

#ndr #защита_сетевой_инфраструктуры #реагирование_на_инциденты #исследование #network_security #active_response #network_trafic_analysis #nta #threat_intelligence #тренды_NDR

Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика

На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда» . Киберугрозы эволюционируют быстрее, чем когда-либо. Злоумышленники научились обходить традиционную защиту периметра и незаметно перемещаться внутри корпоративных сетей. Использование NDR-решений позволяет организациям раньше обнаруживать сложные сетевые угрозы, горизонтальное перемещение злоумышленников внутри сети, сокращать время реакции на инциденты, минимизировать ущерб и интегрировать защиту с существующей инфраструктурой. Узнать все о современных трендах NDR

https://habr.com/ru/companies/garda/articles/966006/

#ndr #защита_сетевой_инфраструктуры #реагирование_на_инциденты #исследование #network_security #active_response #network_trafic_analysis #nta #threat_intelligence #тренды_NDR

Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика

На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда» . Киберугрозы эволюционируют быстрее, чем когда-либо. Злоумышленники научились обходить традиционную защиту периметра и незаметно перемещаться внутри корпоративных сетей. Использование NDR-решений позволяет организациям раньше обнаруживать сложные сетевые угрозы, горизонтальное перемещение злоумышленников внутри сети, сокращать время реакции на инциденты, минимизировать ущерб и интегрировать защиту с существующей инфраструктурой. Узнать все о современных трендах NDR

https://habr.com/ru/companies/garda/articles/966006/

#ndr #защита_сетевой_инфраструктуры #реагирование_на_инциденты #исследование #network_security #active_response #network_trafic_analysis #nta #threat_intelligence #тренды_NDR

Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика

На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда» . Киберугрозы эволюционируют быстрее, чем когда-либо. Злоумышленники научились обходить традиционную защиту периметра и незаметно перемещаться внутри корпоративных сетей. Использование NDR-решений позволяет организациям раньше обнаруживать сложные сетевые угрозы, горизонтальное перемещение злоумышленников внутри сети, сокращать время реакции на инциденты, минимизировать ущерб и интегрировать защиту с существующей инфраструктурой. Узнать все о современных трендах NDR

https://habr.com/ru/companies/garda/articles/966006/

#ndr #защита_сетевой_инфраструктуры #реагирование_на_инциденты #исследование #network_security #active_response #network_trafic_analysis #nta #threat_intelligence #тренды_NDR

Будущее центров мониторинга: как искусственный интеллект меняет ландшафт кибербезопасности

За последние годы Security Operations Center (SOC, Центр мониторинга безопасности) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто расширяют возможности центров мониторинга, но и фундаментально меняют правила игры. В этой статье пробежимся по ключевым трендам, определяющим развитие SOC в ближайшие несколько лет, — от трансформации инструментов до глубоких изменений в процессах.

https://habr.com/ru/companies/pt/articles/964872/

#центр_мониторинга_иб #реагирование_на_инциденты #soc #security_operation_center #тренды_будущего #прогнозы_аналитиков #ai #ml

Будущее центров мониторинга: как искусственный интеллект меняет ландшафт кибербезопасности

За последние годы Security Operations Center (SOC, Центр мониторинга безопасности) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто расширяют возможности центров мониторинга, но и фундаментально меняют правила игры. В этой статье пробежимся по ключевым трендам, определяющим развитие SOC в ближайшие несколько лет, — от трансформации инструментов до глубоких изменений в процессах.

https://habr.com/ru/companies/pt/articles/964872/

#центр_мониторинга_иб #реагирование_на_инциденты #soc #security_operation_center #тренды_будущего #прогнозы_аналитиков #ai #ml

Будущее центров мониторинга: как искусственный интеллект меняет ландшафт кибербезопасности

За последние годы Security Operations Center (SOC, Центр мониторинга безопасности) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто расширяют возможности центров мониторинга, но и фундаментально меняют правила игры. В этой статье пробежимся по ключевым трендам, определяющим развитие SOC в ближайшие несколько лет, — от трансформации инструментов до глубоких изменений в процессах.

https://habr.com/ru/companies/pt/articles/964872/

#центр_мониторинга_иб #реагирование_на_инциденты #soc #security_operation_center #тренды_будущего #прогнозы_аналитиков #ai #ml

Будущее центров мониторинга: как искусственный интеллект меняет ландшафт кибербезопасности

За последние годы Security Operations Center (SOC, Центр мониторинга безопасности) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто расширяют возможности центров мониторинга, но и фундаментально меняют правила игры. В этой статье пробежимся по ключевым трендам, определяющим развитие SOC в ближайшие несколько лет, — от трансформации инструментов до глубоких изменений в процессах.

https://habr.com/ru/companies/pt/articles/964872/

#центр_мониторинга_иб #реагирование_на_инциденты #soc #security_operation_center #тренды_будущего #прогнозы_аналитиков #ai #ml

«Один в поле не воин». Интеграционные сценарии Kaspersky NGFW

Привет, Хабр! Меня зовут Иван Панин, я специалист в области сетевой безопасности, CCNP, CCNP Security, CCDP, MBA CSO. С 2022 года — руководитель группы развития решений по инфраструктурной безопасности «Лаборатории Касперского», где занимаюсь экспертной технической поддержкой пресейловых команд решений SD-WAN и NGFW, разработкой сценариев использования, лабораторных работ и технических материалов. В статье хочу рассказать об интеграционных сценариях NGFW c комплиментарными решениями смежных классов. В первую очередь это будет интересно архитекторам информационной безопасности на стороне заказчика, отвечающим за проектирование комплексной системы защиты корпоративной инфраструктуры и разработку сценариев реагирования на инциденты, а также экспертам по кибербезопасности на стороне системных интеграторов.

https://habr.com/ru/companies/kaspersky/articles/945966/

#ngfw #инфраструктура #информационная_безопасность #инфобез #иб #xdr #soc #kaspersky #threat_hunting #реагирование_на_инциденты

Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия

По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6 . Лаба (так уважительно называют подразделение внутри компании) – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки. Специалисты добывают эти сведения во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: « Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований ».

https://habr.com/ru/companies/F6/articles/904388/

#форензика #цифровая_криминалистика #реагирование_на_инциденты #киберпреступность #экспертиза #программывымогатели #shadow

Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия

По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6 . Лаба (так уважительно называют подразделение внутри компании) – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки. Специалисты добывают эти сведения во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: « Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований ».

https://habr.com/ru/companies/F6/articles/904388/

#форензика #цифровая_криминалистика #реагирование_на_инциденты #киберпреступность #экспертиза #программывымогатели #shadow

Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия

По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6 . Лаба (так уважительно называют подразделение внутри компании) – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки. Специалисты добывают эти сведения во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: « Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований ».

https://habr.com/ru/companies/F6/articles/904388/

#форензика #цифровая_криминалистика #реагирование_на_инциденты #киберпреступность #экспертиза #программывымогатели #shadow

Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия

По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6 . Лаба (так уважительно называют подразделение внутри компании) – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки. Специалисты добывают эти сведения во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: « Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований ».

https://habr.com/ru/companies/F6/articles/904388/

#форензика #цифровая_криминалистика #реагирование_на_инциденты #киберпреступность #экспертиза #программывымогатели #shadow

SOAR на практике: автоматизация ИБ, интеграция и нестандартные сценарии

Каждое внедрение SOAR в новой компании обнаруживает уникальные особенности и узкие места, связанные с неочевидными нюансами инфраструктуры и бизнес-процессов. Одной из частых проблем является отсутствие у заказчика выстроенных процессов реагирования на инциденты ИБ и большое количество активов в инфраструктуре. Также на текущий момент не у всех компаний сформировано понимание, что SOAR — это не просто отдельный инструмент, а способ объединить все решения в области ИБ и ИТ в единую экосистему, тем самым получая целиком ландшафт инфраструктуры компании для управления, расследования и предотвращения кибератак. Поэтому не все осознают, что для этого требуется корректная подготовка данных, чёткая координация между смежными отделами и грамотное распределение ролей при реагировании на киберинциденты.

https://habr.com/ru/companies/ussc/articles/901652/

#информационная_безопасность #интеграция_данных #автоматизация_процессов #управление_инцидентами #кибератаки #инциденты_иб #реагирование_на_инциденты #настройка_системы #анализ_данных #soar

Бой с тенью: специалисты F6 помогли отразить кибератаку на сеть клубов Alex Fitness

Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness . Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных. Аномальную активность на одном из серверов Alex Fitness зафиксировал модуль системы

https://habr.com/ru/companies/F6/articles/899302/

#кибератаки #цифровая_криминалистика #расследование_инцидентов #реагирование_на_инциденты #managed_xdr

Руководство по выбору SOC: на что обратить внимание

Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена кибератакам на бизнес, приняты законы, ужесточающие ответственность компаний за утечку персональных данных. Из-за этого многие директора по информационной безопасности обращаются к вопросу о создании процессов мониторинга событий ИБ в инфраструктуре и максимально быстрого реагирования на возможные кибератаки. Но как выбрать тот самый SOC и определиться с моделью поставок — отдельный вопрос. Я часто сталкиваюсь с тем, что компании начинают строить внутренний центр мониторинга, тратят около года на проект, и все это время защищенность остается на прежнем неудовлетворительном уровне. Затем они понимают, что самостоятельно его реализовать сейчас не могут, и в итоге обращаются к аутсорсингу. И напротив, поработав несколько лет с внешними поставщиками сервисов SOC, переходят к созданию внутреннего центра мониторинга. Как же понять оптимальный вариант поставки для конкретной компании на определенном этапе, чтобы не потратить время и ресурсы впустую, двигаясь методом проб и ошибок? Что правильнее: строить собственный центр реагирования или выбрать одно из готовых решений от многочисленных аутсорсинговых сервис-провайдеров? В этом посте я и мой коллега Ильназ Гатауллин, технический руководитель RED Security SOC, разобрали варианты организации SOC исходя из потребностей и ресурсов бизнеса.

https://habr.com/ru/companies/ru_mts/articles/889196/

#информационная_безопасность #SOC #SIEM #threat_intelligence #mssp #кибератаки #мониторинг_безопасности #реагирование_на_инциденты #анализ_логов #защита_инфраструктуры

Руководство по выбору SOC: на что обратить внимание

Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена кибератакам на бизнес, приняты законы, ужесточающие ответственность компаний за утечку персональных данных. Из-за этого многие директора по информационной безопасности обращаются к вопросу о создании процессов мониторинга событий ИБ в инфраструктуре и максимально быстрого реагирования на возможные кибератаки. Но как выбрать тот самый SOC и определиться с моделью поставок — отдельный вопрос. Я часто сталкиваюсь с тем, что компании начинают строить внутренний центр мониторинга, тратят около года на проект, и все это время защищенность остается на прежнем неудовлетворительном уровне. Затем они понимают, что самостоятельно его реализовать сейчас не могут, и в итоге обращаются к аутсорсингу. И напротив, поработав несколько лет с внешними поставщиками сервисов SOC, переходят к созданию внутреннего центра мониторинга. Как же понять оптимальный вариант поставки для конкретной компании на определенном этапе, чтобы не потратить время и ресурсы впустую, двигаясь методом проб и ошибок? Что правильнее: строить собственный центр реагирования или выбрать одно из готовых решений от многочисленных аутсорсинговых сервис-провайдеров? В этом посте я и мой коллега Ильназ Гатауллин, технический руководитель RED Security SOC, разобрали варианты организации SOC исходя из потребностей и ресурсов бизнеса.

https://habr.com/ru/companies/ru_mts/articles/889196/

#информационная_безопасность #SOC #SIEM #threat_intelligence #mssp #кибератаки #мониторинг_безопасности #реагирование_на_инциденты #анализ_логов #защита_инфраструктуры

Руководство по выбору SOC: на что обратить внимание

Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена кибератакам на бизнес, приняты законы, ужесточающие ответственность компаний за утечку персональных данных. Из-за этого многие директора по информационной безопасности обращаются к вопросу о создании процессов мониторинга событий ИБ в инфраструктуре и максимально быстрого реагирования на возможные кибератаки. Но как выбрать тот самый SOC и определиться с моделью поставок — отдельный вопрос. Я часто сталкиваюсь с тем, что компании начинают строить внутренний центр мониторинга, тратят около года на проект, и все это время защищенность остается на прежнем неудовлетворительном уровне. Затем они понимают, что самостоятельно его реализовать сейчас не могут, и в итоге обращаются к аутсорсингу. И напротив, поработав несколько лет с внешними поставщиками сервисов SOC, переходят к созданию внутреннего центра мониторинга. Как же понять оптимальный вариант поставки для конкретной компании на определенном этапе, чтобы не потратить время и ресурсы впустую, двигаясь методом проб и ошибок? Что правильнее: строить собственный центр реагирования или выбрать одно из готовых решений от многочисленных аутсорсинговых сервис-провайдеров? В этом посте я и мой коллега Ильназ Гатауллин, технический руководитель RED Security SOC, разобрали варианты организации SOC исходя из потребностей и ресурсов бизнеса.

https://habr.com/ru/companies/ru_mts/articles/889196/

#информационная_безопасность #SOC #SIEM #threat_intelligence #mssp #кибератаки #мониторинг_безопасности #реагирование_на_инциденты #анализ_логов #защита_инфраструктуры

Руководство по выбору SOC: на что обратить внимание

Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена кибератакам на бизнес, приняты законы, ужесточающие ответственность компаний за утечку персональных данных. Из-за этого многие директора по информационной безопасности обращаются к вопросу о создании процессов мониторинга событий ИБ в инфраструктуре и максимально быстрого реагирования на возможные кибератаки. Но как выбрать тот самый SOC и определиться с моделью поставок — отдельный вопрос. Я часто сталкиваюсь с тем, что компании начинают строить внутренний центр мониторинга, тратят около года на проект, и все это время защищенность остается на прежнем неудовлетворительном уровне. Затем они понимают, что самостоятельно его реализовать сейчас не могут, и в итоге обращаются к аутсорсингу. И напротив, поработав несколько лет с внешними поставщиками сервисов SOC, переходят к созданию внутреннего центра мониторинга. Как же понять оптимальный вариант поставки для конкретной компании на определенном этапе, чтобы не потратить время и ресурсы впустую, двигаясь методом проб и ошибок? Что правильнее: строить собственный центр реагирования или выбрать одно из готовых решений от многочисленных аутсорсинговых сервис-провайдеров? В этом посте я и мой коллега Ильназ Гатауллин, технический руководитель RED Security SOC, разобрали варианты организации SOC исходя из потребностей и ресурсов бизнеса.

https://habr.com/ru/companies/ru_mts/articles/889196/

#информационная_безопасность #SOC #SIEM #threat_intelligence #mssp #кибератаки #мониторинг_безопасности #реагирование_на_инциденты #анализ_логов #защита_инфраструктуры

Почему молчит SIEM: откровенный разговор о расследовании инцидентов

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange». В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

https://habr.com/ru/companies/bastion/articles/882174/

#расследование_инцидентов #incident_response #threat_intelligence #soc #реагирование_на_инциденты #цифровая_криминалистика #кибербезопасность #цифровые_артефакты #триаж

Практический кейс. Детектируем и реагируем на угрозы с Kaspersky Symphony XDR

Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . В прошлом году мы получили специализацию «IT Cybersecurity» «Лаборатории Касперского» по защите ИТ-инфраструктуры при помощи экосистемы решений вендора. Для этого мы развернули и настроили стенд Kaspersky Symphony XDR. Нам, как ИБ-интегратору, он нужен для имитации реальной инфраструктуры заказчиков, реализации различных атак и отслеживания их выполнения с помощью средств защиты (например, KATA или KUMA). По итогам проекта наш ведущий системный инженер Антон Пуник написал эту статью, чтобы на практике продемонстрировать возможности стенда и других продуктов экосистемы Касперского. С технической частью материала ему помогали коллеги: системный инженер Максим Утенков и аналитик SOC Илья Дегтярь.

https://habr.com/ru/companies/k2tech/articles/881404/

#xdr #kaspersky #стенд #кибербезопасность #информационная_безопасность #киберугрозы #киберугроза #реагирование_на_инциденты #детектирование #защита_инфраструктуры

Практический кейс. Детектируем и реагируем на угрозы с Kaspersky Symphony XDR

Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . В прошлом году мы получили специализацию «IT Cybersecurity» «Лаборатории Касперского» по защите ИТ-инфраструктуры при помощи экосистемы решений вендора. Для этого мы развернули и настроили стенд Kaspersky Symphony XDR. Нам, как ИБ-интегратору, он нужен для имитации реальной инфраструктуры заказчиков, реализации различных атак и отслеживания их выполнения с помощью средств защиты (например, KATA или KUMA). По итогам проекта наш ведущий системный инженер Антон Пуник написал эту статью, чтобы на практике продемонстрировать возможности стенда и других продуктов экосистемы Касперского. С технической частью материала ему помогали коллеги: системный инженер Максим Утенков и аналитик SOC Илья Дегтярь.

https://habr.com/ru/companies/k2tech/articles/881404/

#xdr #kaspersky #стенд #кибербезопасность #информационная_безопасность #киберугрозы #киберугроза #реагирование_на_инциденты #детектирование #защита_инфраструктуры

Практический кейс. Детектируем и реагируем на угрозы с Kaspersky Symphony XDR

Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . В прошлом году мы получили специализацию «IT Cybersecurity» «Лаборатории Касперского» по защите ИТ-инфраструктуры при помощи экосистемы решений вендора. Для этого мы развернули и настроили стенд Kaspersky Symphony XDR. Нам, как ИБ-интегратору, он нужен для имитации реальной инфраструктуры заказчиков, реализации различных атак и отслеживания их выполнения с помощью средств защиты (например, KATA или KUMA). По итогам проекта наш ведущий системный инженер Антон Пуник написал эту статью, чтобы на практике продемонстрировать возможности стенда и других продуктов экосистемы Касперского. С технической частью материала ему помогали коллеги: системный инженер Максим Утенков и аналитик SOC Илья Дегтярь.

https://habr.com/ru/companies/k2tech/articles/881404/

#xdr #kaspersky #стенд #кибербезопасность #информационная_безопасность #киберугрозы #киберугроза #реагирование_на_инциденты #детектирование #защита_инфраструктуры

Практический кейс. Детектируем и реагируем на угрозы с Kaspersky Symphony XDR

Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . В прошлом году мы получили специализацию «IT Cybersecurity» «Лаборатории Касперского» по защите ИТ-инфраструктуры при помощи экосистемы решений вендора. Для этого мы развернули и настроили стенд Kaspersky Symphony XDR. Нам, как ИБ-интегратору, он нужен для имитации реальной инфраструктуры заказчиков, реализации различных атак и отслеживания их выполнения с помощью средств защиты (например, KATA или KUMA). По итогам проекта наш ведущий системный инженер Антон Пуник написал эту статью, чтобы на практике продемонстрировать возможности стенда и других продуктов экосистемы Касперского. С технической частью материала ему помогали коллеги: системный инженер Максим Утенков и аналитик SOC Илья Дегтярь.

https://habr.com/ru/companies/k2tech/articles/881404/

#xdr #kaspersky #стенд #кибербезопасность #информационная_безопасность #киберугрозы #киберугроза #реагирование_на_инциденты #детектирование #защита_инфраструктуры

Мой первый Standoff, или Как я заглянул за плечо расследователю кибератак

Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов. В этой статье я расскажу про один мой день на киберфестивале Positive Hack Days прошлого года. А точнее об очень важной его части — кибербитве Standoff 13. Дело в том, что за 14 лет работы в ИТ я так ни разу и не добрался до знаменитого PHDays. Понятное дело, слышал, впитывал увлеченные рассказы коллег, которые участвовали. Было прикольно наблюдать за этим: пока не был, но хочешь попасть. И я тут не столько про сам фестиваль, сколько про встречи, нетворкинг, вызывающие приколы, новые фишки: как кого ломали, какие тренды, кто как научился новые тулы применять… И вот в мае 2024-го мне повезло впервые попасть на Positive Hack Days, побывать в самой гуще событий кибербитвы, а именно: на стороне одной из команд защиты. Но обо всём по порядку.

https://habr.com/ru/companies/pt/articles/872556/

#Standoff #Positive #EDR #Кибербитва #phdays #мониторинг_сети #реагирование_на_инциденты #защита_конечных_точек #soc #расследование_кибератак

Мой первый Standoff, или Как я заглянул за плечо расследователю кибератак

Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов. В этой статье я расскажу про один мой день на киберфестивале Positive Hack Days прошлого года. А точнее об очень важной его части — кибербитве Standoff 13. Дело в том, что за 14 лет работы в ИТ я так ни разу и не добрался до знаменитого PHDays. Понятное дело, слышал, впитывал увлеченные рассказы коллег, которые участвовали. Было прикольно наблюдать за этим: пока не был, но хочешь попасть. И я тут не столько про сам фестиваль, сколько про встречи, нетворкинг, вызывающие приколы, новые фишки: как кого ломали, какие тренды, кто как научился новые тулы применять… И вот в мае 2024-го мне повезло впервые попасть на Positive Hack Days, побывать в самой гуще событий кибербитвы, а именно: на стороне одной из команд защиты. Но обо всём по порядку.

https://habr.com/ru/companies/pt/articles/872556/

#Standoff #Positive #EDR #Кибербитва #phdays #мониторинг_сети #реагирование_на_инциденты #защита_конечных_точек #soc #расследование_кибератак

Мой первый Standoff, или Как я заглянул за плечо расследователю кибератак

Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов. В этой статье я расскажу про один мой день на киберфестивале Positive Hack Days прошлого года. А точнее об очень важной его части — кибербитве Standoff 13. Дело в том, что за 14 лет работы в ИТ я так ни разу и не добрался до знаменитого PHDays. Понятное дело, слышал, впитывал увлеченные рассказы коллег, которые участвовали. Было прикольно наблюдать за этим: пока не был, но хочешь попасть. И я тут не столько про сам фестиваль, сколько про встречи, нетворкинг, вызывающие приколы, новые фишки: как кого ломали, какие тренды, кто как научился новые тулы применять… И вот в мае 2024-го мне повезло впервые попасть на Positive Hack Days, побывать в самой гуще событий кибербитвы, а именно: на стороне одной из команд защиты. Но обо всём по порядку.

https://habr.com/ru/companies/pt/articles/872556/

#Standoff #Positive #EDR #Кибербитва #phdays #мониторинг_сети #реагирование_на_инциденты #защита_конечных_точек #soc #расследование_кибератак

Мой первый Standoff, или Как я заглянул за плечо расследователю кибератак

Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов. В этой статье я расскажу про один мой день на киберфестивале Positive Hack Days прошлого года. А точнее об очень важной его части — кибербитве Standoff 13. Дело в том, что за 14 лет работы в ИТ я так ни разу и не добрался до знаменитого PHDays. Понятное дело, слышал, впитывал увлеченные рассказы коллег, которые участвовали. Было прикольно наблюдать за этим: пока не был, но хочешь попасть. И я тут не столько про сам фестиваль, сколько про встречи, нетворкинг, вызывающие приколы, новые фишки: как кого ломали, какие тренды, кто как научился новые тулы применять… И вот в мае 2024-го мне повезло впервые попасть на Positive Hack Days, побывать в самой гуще событий кибербитвы, а именно: на стороне одной из команд защиты. Но обо всём по порядку.

https://habr.com/ru/companies/pt/articles/872556/

#Standoff #Positive #EDR #Кибербитва #phdays #мониторинг_сети #реагирование_на_инциденты #защита_конечных_точек #soc #расследование_кибератак

Инструменты атакующих в 2023–2024 годах

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки. Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

https://habr.com/ru/companies/bastion/articles/862168/

#GSocket #инструменты_хакеров #инструменты_для_атак_на_Linux #инструменты_для_атак_на_Windows #реагирование_на_инциденты #soc #расследование_инцидентов #Sliver #разведка_угроз #кибератаки_в_2024

Инструменты атакующих в 2023–2024 годах

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки. Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

https://habr.com/ru/companies/bastion/articles/862168/

#GSocket #инструменты_хакеров #инструменты_для_атак_на_Linux #инструменты_для_атак_на_Windows #реагирование_на_инциденты #soc #расследование_инцидентов #Sliver #разведка_угроз #кибератаки_в_2024

Инструменты атакующих в 2023–2024 годах

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки. Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

https://habr.com/ru/companies/bastion/articles/862168/

#GSocket #инструменты_хакеров #инструменты_для_атак_на_Linux #инструменты_для_атак_на_Windows #реагирование_на_инциденты #soc #расследование_инцидентов #Sliver #разведка_угроз #кибератаки_в_2024

Инструменты атакующих в 2023–2024 годах

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки. Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

https://habr.com/ru/companies/bastion/articles/862168/

#GSocket #инструменты_хакеров #инструменты_для_атак_на_Linux #инструменты_для_атак_на_Windows #реагирование_на_инциденты #soc #расследование_инцидентов #Sliver #разведка_угроз #кибератаки_в_2024

Зачем нужны метрики работы с инцидентами в Security Operations Center: объясняем на примере из «Властелина колец»

Одной из важных и сложных задач, решаемых центром кибербезопасности (Security Operations Center, SOC), является оценка последствий киберинцидентов (уже наступивших или тех, которые вот-вот наступят). Это позволяет присваивать инциденту приоритет и реагировать в соответствии с ним. Но куда труднее сказать, какова вероятность успешной атаки в будущем. В этой статье мы поговорим о том, как измерить этот риск с помощью метрик, какие данные нам для этого понадобятся и где их взять. А для наглядности отправимся в фэнтезийный мир Дж. Р. Р. Толкина и убедимся, что наш метод поможет и там. В добрый путь!

https://habr.com/ru/companies/pt/articles/862336/

#cybersecurity #soc #метрики #риски #инциденты #киберустойчивость #властелин_колец #реагирование_на_инциденты #недопустимое_событие #siem