Фантазия на тему NTA: что должна делать идеальная система?

Кадр из м/ф «Инспектор Гаджет» У людей, занимающихся обнаружением и расследованием компьютерных инцидентов, есть неписаная истина: «Инцидент рождается и умирает на хосте». Сегодня подавляющее большинство статей, исследований и правил детекта связаны именно с хостовыми логами (поэтому на рынке и...

Все блоги / Про интернет

Реагирование на киберинциденты: 5 правил разработки плейбуков

Вопрос разработки и приготовления плейбуков по реагированию на инциденты сейчас очень активно обсуждается и порождает разное количество подходов, поиск баланса в которых крайне важен. Должен ли плейбук быть очень простым («выдернуть шнур, выдавить стекло») или должен давать возможность оператору...

Все блоги / Про интернет

Расследование кампании DNSpionage c помощью Cisco Threat Response, в том числе и при удаленной работе

Я уже не раз рассказывал о бесплатном решении Cisco Threat Response (CTR), которое позволяет существенно снизить время на расследование инцидентов, характеризующихся множеством разнотипных индикаторов компрометации — хэшей файлов, IP-адресов, имен доменов, адресов e-mail и т.п. Но прошлые заметки...

Все блоги / Про интернет

Явка провалена: выводим AgentTesla на чистую воду. Часть 3

Этой статьей мы завершаем цикл публикаций, посвященных анализу вредоносного программного обеспечения. В первой части мы провели детальный анализ зараженного файла, который получила по почте одна европейская компания, и обнаружили там шпионскую программу AgentTesla. Во второй части описали...

Все блоги / Про интернет