Зачем нужны метрики работы с инцидентами в Security Operations Center: объясняем на примере из «Властелина колец»
Одной из важных и сложных задач, решаемых центром кибербезопасности (Security Operations Center, SOC), является оценка последствий киберинцидентов (уже наступивших или тех, которые вот-вот наступят). Это позволяет присваивать инциденту приоритет и реагировать в соответствии с ним. Но куда труднее...
Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году
Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных...
Экспертиза под микроскопом [Оголяемся технологически. MaxPatrol SIEM]
Привет! На связи руководитель экспертизы MaxPatrol SIEM Кирилл Кирьянов и старший специалист группы обнаружения APT-атак Сергей Щербаков. В одной из прошлых статей нашего цикла мы говорили про нормализацию и обогащение как первые шаги в работе с любым событием в SIEM-системе. Сегодня зайдем чуть...
Переход с одной SIEM-системы на другую: пошаговая инструкция
Всем привет! Меня зовут Геннадий Мухамедзянов, в ИТ я более 20 лет, половину из них ― в кибербезопасности. У меня богатый опыт работы в центрах мониторинга ИБ, где я занимался установкой и настройкой различных СЗИ, в том числе систем класса SIEM. Импортозамещение в области кибербезопасности у всех...
RCE-уязвимость в Managed ClickHouse глазами специалиста SOC в Yandex Cloud
Меня зовут Вадим Осипов, я security‑инженер в команде Yandex Cloud. Вместе с моим коллегой Дмитрием Руссаком, тимлидом команды SOC‑инжиниринга, мы занимаемся комплексной безопасностью облака. Архитектура нашей облачной платформы построена так, чтобы не бояться уязвимостей Remote Code Execution в...
Самый SOC, или как мы делали аналитический отчёт по информации из открытых источников
Всем привет! Я Лидия Виткова, начальник АЦКБ «Газинформсервис». Сегодня у меня внеплановый, но интересный материал, основанный на системном анализе центров мониторинга и реагирования России. Полный документ и карточки можно скачать по ссылке. Пристегнитесь, будет «душно». Читать далее...
В вашем SIEM Detection as a Code есть? Нет? Сейчас будет
Привет! Меня зовут Кермен, я — аналитик на второй линии SOC. Наша команда исследует данные от инфраструктуры и сервисов Ozon для выявления нелегитимной активности: от нарушения политик информационной безопасности до целенаправленных атак. Каждую минуту к нам поступают миллионы событий —...
Социальная инженерия или как усилия безопасников разбиваются о человеческий фактор
Специалисты по информационной безопасности создают системы, которые противостоят кибератакам. Они внедряют фаерволы, настраивают мониторинг, пишут политики безопасности и обучают сотрудников. Это мощная защита от внешних угроз. Но есть одна уязвимость, которая сводит на нет все усилия специалиста —...
Автоматизация безопасности: Когда использовать SOAR?
Специалисты по информационной безопасности ежедневно сталкиваются с огромным потоком инцидентов. Логи заполняются, а алерты выстреливают один за другим. Задача — не просто отреагировать на все это в ручном режиме, но и сделать это максимально быстро. Вот тут и появляется SOAR — инструмент, который...
WAF: интеграция в SOC через SIEM или ASOC? (Часть 2)
Преимущества интеграции SOC и WAF для мониторинга API Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры...
Как выжать из SOC все соки? Готовимся к подключению внешнего Центра мониторинга инцидентов
Всем привет! Меня зовут Анастасия Федорова. Уже более 15 лет я работаю в сфере ИБ, последние два года — директором по развитию Центра мониторинга инцидентов в К2 Кибербезопасность. Этим летом мы провели опрос 100+ средних и крупных компаний и узнали, что почти половине (43%) из них уже недостаточно...
Есть не один нюанс: что учесть при работе SOC с отечественными СЗИ
Всем привет! Активно развивающийся тренд на импортозамещение привел к разработке большого количества разнообразных отечественных СЗИ и ОС, которые мы нередко встречаем в ходе мониторинга ИБ-событий в инфраструктурах наших заказчиков. При работе со средствами защиты и операционными системами...
Как расследовать брутфорс в SOC
Привет! Меня зовут Дмитрий Каплунов. Я работаю младшим аналитиком SOC в команде Анастасии Федоровой в К2 кибербезопасность и более года занимаюсь анализом и расследованием инцидентов ИБ. Один из самых частых видов атаки, с которым встречается команда SOC, — это брутфорс. Злоумышленники используют...
[Перевод] Секреты переговорщика с хакерами
Когда хакерские группировки из даркнета приходят за выкупом, большинство компаний впадает в панику. Этот человек обводит злоумышленников вокруг пальца. Читать далее...
WAF: интеграция в SOC через SIEM или ASOC? (Часть 1)
В современном цифровом мире киберугрозы становятся все более сложными и изощренными, что требует от компаний применения эффективных мер защиты. Одним из наиболее эффективных способов обеспечения безопасности является интеграция Центров мониторинга информационной безопасности (Security Operations...
Можно ли стать Blue Team тимлидом за пять лет, или Работа в SOC: мифы и реальность
Нет повести печальнее на свете, чем повесть о слухах про работу в мониторинге ИБ-инцидентов. Публичные спикеры и авторы книг часто поддерживают разные заблуждения о SOC: что он скучный, лишен по-настоящему интересных задач и не предполагает карьерного роста. Однако я уверен, что это не так! Меня...
Внешний, гибрид или инхаус. Выбираем SOC по ингредиентам
Привет, Хабр! На связи Анастасия Федорова. За моими плечами 15 лет в ИБ, из них последние два года я руковожу развитием SOC в К2 Кибербезопасность. Недавно мы опросили 100+ ИТ- и ИБ-директоров среднего и крупного бизнеса и выяснили, что 1/3 компаний за последний год столкнулись сразу с несколькими...
Как реагировать на атаки шифровальщиков: рекомендации для CISO
Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ. Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее...
Назад