Эксперт особого назначения: как работают компьютерные криминалисты. Полная версия

По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антон Величко. Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6 . Лаба (так уважительно называют подразделение внутри компании) – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки. Специалисты добывают эти сведения во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: « Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований ».

https://habr.com/ru/companies/F6/articles/904388/

#форензика #цифровая_криминалистика #реагирование_на_инциденты #киберпреступность #экспертиза #программывымогатели #shadow

SOAR на практике: автоматизация ИБ, интеграция и нестандартные сценарии

Каждое внедрение SOAR в новой компании обнаруживает уникальные особенности и узкие места, связанные с неочевидными нюансами инфраструктуры и бизнес-процессов. Одной из частых проблем является отсутствие у заказчика выстроенных процессов реагирования на инциденты ИБ и большое количество активов в инфраструктуре. Также на текущий момент не у всех компаний сформировано понимание, что SOAR — это не просто отдельный инструмент, а способ объединить все решения в области ИБ и ИТ в единую экосистему, тем самым получая целиком ландшафт инфраструктуры компании для управления, расследования и предотвращения кибератак. Поэтому не все осознают, что для этого требуется корректная подготовка данных, чёткая координация между смежными отделами и грамотное распределение ролей при реагировании на киберинциденты.

https://habr.com/ru/companies/ussc/articles/901652/

#информационная_безопасность #интеграция_данных #автоматизация_процессов #управление_инцидентами #кибератаки #инциденты_иб #реагирование_на_инциденты #настройка_системы #анализ_данных #soar

Бой с тенью: специалисты F6 помогли отразить кибератаку на сеть клубов Alex Fitness

Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness . Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных. Аномальную активность на одном из серверов Alex Fitness зафиксировал модуль системы

https://habr.com/ru/companies/F6/articles/899302/

#кибератаки #цифровая_криминалистика #расследование_инцидентов #реагирование_на_инциденты #managed_xdr

Руководство по выбору SOC: на что обратить внимание

Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена кибератакам на бизнес, приняты законы, ужесточающие ответственность компаний за утечку персональных данных. Из-за этого многие директора по информационной безопасности обращаются к вопросу о создании процессов мониторинга событий ИБ в инфраструктуре и максимально быстрого реагирования на возможные кибератаки. Но как выбрать тот самый SOC и определиться с моделью поставок — отдельный вопрос. Я часто сталкиваюсь с тем, что компании начинают строить внутренний центр мониторинга, тратят около года на проект, и все это время защищенность остается на прежнем неудовлетворительном уровне. Затем они понимают, что самостоятельно его реализовать сейчас не могут, и в итоге обращаются к аутсорсингу. И напротив, поработав несколько лет с внешними поставщиками сервисов SOC, переходят к созданию внутреннего центра мониторинга. Как же понять оптимальный вариант поставки для конкретной компании на определенном этапе, чтобы не потратить время и ресурсы впустую, двигаясь методом проб и ошибок? Что правильнее: строить собственный центр реагирования или выбрать одно из готовых решений от многочисленных аутсорсинговых сервис-провайдеров? В этом посте я и мой коллега Ильназ Гатауллин, технический руководитель RED Security SOC, разобрали варианты организации SOC исходя из потребностей и ресурсов бизнеса.

https://habr.com/ru/companies/ru_mts/articles/889196/

#информационная_безопасность #SOC #SIEM #threat_intelligence #mssp #кибератаки #мониторинг_безопасности #реагирование_на_инциденты #анализ_логов #защита_инфраструктуры

Почему молчит SIEM: откровенный разговор о расследовании инцидентов

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange». В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

https://habr.com/ru/companies/bastion/articles/882174/

#расследование_инцидентов #incident_response #threat_intelligence #soc #реагирование_на_инциденты #цифровая_криминалистика #кибербезопасность #цифровые_артефакты #триаж

Практический кейс. Детектируем и реагируем на угрозы с Kaspersky Symphony XDR

Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность . В прошлом году мы получили специализацию «IT Cybersecurity» «Лаборатории Касперского» по защите ИТ-инфраструктуры при помощи экосистемы решений вендора. Для этого мы развернули и настроили стенд Kaspersky Symphony XDR. Нам, как ИБ-интегратору, он нужен для имитации реальной инфраструктуры заказчиков, реализации различных атак и отслеживания их выполнения с помощью средств защиты (например, KATA или KUMA). По итогам проекта наш ведущий системный инженер Антон Пуник написал эту статью, чтобы на практике продемонстрировать возможности стенда и других продуктов экосистемы Касперского. С технической частью материала ему помогали коллеги: системный инженер Максим Утенков и аналитик SOC Илья Дегтярь.

https://habr.com/ru/companies/k2tech/articles/881404/

#xdr #kaspersky #стенд #кибербезопасность #информационная_безопасность #киберугрозы #киберугроза #реагирование_на_инциденты #детектирование #защита_инфраструктуры

Мой первый Standoff, или Как я заглянул за плечо расследователю кибератак

Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов. В этой статье я расскажу про один мой день на киберфестивале Positive Hack Days прошлого года. А точнее об очень важной его части — кибербитве Standoff 13. Дело в том, что за 14 лет работы в ИТ я так ни разу и не добрался до знаменитого PHDays. Понятное дело, слышал, впитывал увлеченные рассказы коллег, которые участвовали. Было прикольно наблюдать за этим: пока не был, но хочешь попасть. И я тут не столько про сам фестиваль, сколько про встречи, нетворкинг, вызывающие приколы, новые фишки: как кого ломали, какие тренды, кто как научился новые тулы применять… И вот в мае 2024-го мне повезло впервые попасть на Positive Hack Days, побывать в самой гуще событий кибербитвы, а именно: на стороне одной из команд защиты. Но обо всём по порядку.

https://habr.com/ru/companies/pt/articles/872556/

#Standoff #Positive #EDR #Кибербитва #phdays #мониторинг_сети #реагирование_на_инциденты #защита_конечных_точек #soc #расследование_кибератак

Инструменты атакующих в 2023–2024 годах

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки. Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

https://habr.com/ru/companies/bastion/articles/862168/

#GSocket #инструменты_хакеров #инструменты_для_атак_на_Linux #инструменты_для_атак_на_Windows #реагирование_на_инциденты #soc #расследование_инцидентов #Sliver #разведка_угроз #кибератаки_в_2024

Зачем нужны метрики работы с инцидентами в Security Operations Center: объясняем на примере из «Властелина колец»

Одной из важных и сложных задач, решаемых центром кибербезопасности (Security Operations Center, SOC), является оценка последствий киберинцидентов (уже наступивших или тех, которые вот-вот наступят). Это позволяет присваивать инциденту приоритет и реагировать в соответствии с ним. Но куда труднее сказать, какова вероятность успешной атаки в будущем. В этой статье мы поговорим о том, как измерить этот риск с помощью метрик, какие данные нам для этого понадобятся и где их взять. А для наглядности отправимся в фэнтезийный мир Дж. Р. Р. Толкина и убедимся, что наш метод поможет и там. В добрый путь!

https://habr.com/ru/companies/pt/articles/862336/

#cybersecurity #soc #метрики #риски #инциденты #киберустойчивость #властелин_колец #реагирование_на_инциденты #недопустимое_событие #siem

Реагирование на инциденты ИБ в Linux-системах: база

В мире, где всё чаще происходят кибератаки, важно иметь понимание процесса реагирования на инциденты информационной безопасности. Особенно важно это в контексте Linux-систем, которые являются основой многих критически важных элементов ИТ-инфраструктуры компаний. Под катом вы найдете базовые моменты этого процесса, команды, которые могут быть использованы для анализа, а также точки интереса, на которые стоит обращать внимание. Статья будет полезна в первую очередь начинающим администраторам Linux-систем и отделам ИБ для составления планов по реагированию.

https://habr.com/ru/companies/first/articles/843126/

#incident_response #cybersecurity #irp #реагирование_на_инциденты #linux