Simplifying AWS defense with Microsoft Sentinel UEBA - https://www.redpacketsecurity.com/simplifying-aws-defense-with-microsoft-sentinel-ueba/

#threatintel
#Microsoft Sentinel
#UEBA
#AWS CloudTrail
#Cloud Security
#Threat Detection

От правил корреляции к когнитивному ассистенту: что меняется в архитектуре SOC с приходом ИИ

Почему правил корреляции больше недостаточно? Долгое время ядром любого центра мониторинга и реагирования на киберугрозы (далее по тексту – SOC) оставался корреляционный движок, то есть набор правил для автоматизированного поиска паттернов атак, например "5 неудачных входов" + "успешный вход" + "активность в БД" = подозрение на компрометацию" типа 5 failed logins = brute force (5 неудачных попыток входа в систему = метод перебора паролей). Сегодня этот подход напоминает попытку поймать искусного шпиона с помощью крика: "Стой! Кто идет?!". Современные атаки стали тихими, целевыми и изощренно-адаптивными. Злоумышленники используют легитимные инструменты (Living-off-the-Land — “живой” взлом), имитируют нормальную активность пользователей и растягивают шаги задуманной цепочки кибератак на месяцы. Статистика выглядит удручающе: среднестатистический SOC обрабатывает до 10⁷ событий в сутки, из которых после фильтрации остается от 10³ до 10⁴ алертов. Но 70–90% из них — ложные срабатывания, требующие ручной проверки. Это порождает так называемое Alert fatigue — профессиональное выгорание аналитиков, которые превращаются в операторов по нажатию кнопки Close false positive (“Закрыть ложноположительный результат”). На этом фоне большие языковые модели и алгоритмы машинного обучения перешли из категории "экспериментальных технологий" в разряд операционных инструментов кибербезопасности. При этом важно отметить ключевой принцип: искусственный интеллект (ИИ) не заменяет аналитика, а усиливает его возможности через снижение когнитивной нагрузки и ускорение обработки рутинных задач.

https://habr.com/ru/companies/innostage/articles/1024464/

#soc #искусственный_интеллект #машинное_обучение #ml #кибербезопасность #siem #ueba #soar #xdr #ai

Adam Koblentz from RevealSecurity shares why context - not anomalies - drives SaaS threat detection.

Lessons from the Salesloft Drift breach show why raw app logs aren’t enough without normalization and business semantics.

Read full interview:
https://www.technadu.com/context-is-key-what-the-salesloft-drift-breach-reveals-about-saas-security-gaps/610244/

#SaaSSecurity #UEBA #IdentityAnalytics #ZeroTrust

Operationalizing AI: 4 Tactics to Shield Your Cyber Defenses.

#AISecurity, #CyberDefense, #MachineLearningSecurity, #ThreatIntelligence, #ZeroTrust, #SOCAutomation, #CyberAI, #SecurityAutomation, #UEBA, #SOAR, #VulnerabilityManagement,

https://medium.com/@jckapadia003/operationalizing-ai-4-tactics-to-shield-your-cyber-defenses-14171f3a99d4

Out of the box: отчуждаемый механизм корреляции

В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.

https://habr.com/ru/companies/securityvison/articles/926436/

#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba

UEBA в кибербезе: как профилирование поведения пользователей на основе Autoencoder помогает выявлять угрозы и аномалии

В современном мире количество атак растёт пропорционально количеству внедрений новых технологий, особенно когда технологии ещё недостаточно изучены. В последнее время атаки становятся всё более разнообразными, а методы их реализации — всё более изощрёнными. Дополнительные проблемы несут и методы искусственного интеллекта, которыми вооружаются специалисты RedTeam. В руках опытного специалиста эти инструменты становятся реальной угрозой безопасности потенциальных целей. Большинство средств информационной безопасности основаны на корреляционных или статистических методах, которые в современных реалиях часто оказываются неэффективными. Что же тогда остаётся специалистам BlueTeam?

https://habr.com/ru/companies/gaz-is/articles/899058/

#газинформсервис #информационная_безопасность #ueba #поведенческая_аналитика #lstm #autoencoder #falco

The cost of data breaches rose 10% to $4.8M last year. Over 70% of #SOC leaders fear real attacks will be hidden by false alerts, causing burnout and labor shortages. Behavioral analytics #UEBA is crucial, especially for resource-limited entities🛡️🔐

https://www.darkreading.com/cyberattacks-data-breaches/behavioral-analytics-cybersecurity-who-benefits-most

История создания ASoar: от идеи до реализации системы кибербезопасности

Я описал свой путь в предыдущей статье https://habr.com/ru/articles/813239/ , но если коротко, то моя карьера в сфере информационной безопасности началась, как и у многих, с работы в ИТ-инфраструктуре. Поначалу моя компания занималась тем, что поддерживала стабильность сетей и систем для различных компаний, и регулярно сталкиваясь с типичными проблемами, связанными с кибератаками. Однажды в компании, где штат ИБ был минимален, мы внедрили SIEM — решение, которое, как считалось, должно было кардинально улучшить безопасность. Однако это был дорогостоящий и трудоёмкий процесс. SIEM не только не оправдал ожиданий, но и породил кучу инцидентов, большинство из которых не представляли реальной угрозы. Специалисты тратили время на анализ множества событий, которые, по сути, были незначительными. С каждым новым ложным срабатыванием доверие к системе падало. В конце концов, люди просто начали игнорировать предупреждения, считая, что система безопасна, хотя это было далеко не так. Так я сформулировал ключевую проблему SIEM: В обычных организациях, где число специалистов по ИБ ограничено, использование SIEM часто не приводит к ожидаемым результатам. И именно это открыло мне глаза на необходимость поиска нового подхода. Я начал думать о том, как можно было бы автоматизировать процессы безопасности, не нагружая команду ложными тревогами и сложными настройками.

https://habr.com/ru/articles/846600/

#ASoar #TDR #SOAR #NDR #SIEM #SOC #опыт #история_создания #отечественное_по #ueba

#WorkSurveillance #Surveillance #WageSlavery #SIEM #UEBA #CyberSecurity #ThreatDetection #BehaviorProfiling: "This case study explores, examines and documents how employers can use software that analyzes extensive personal data on employee behavior and communication for cybersecurity, insider threat detection and compliance purposes. To illustrate wider practices, it investigates software for “security information and event management” (SIEM), “user and entity behavior analytics” (UEBA), insider risk management and communication monitoring from two major vendors. First, it looks into cybersecurity and risk profiling systems offered by Forcepoint, a software vendor that was until recently owned by the US defense giant Raytheon. Second, it investigates in detail how employers can use cybersecurity and risk profiling software sold by Microsoft, whose “Sentinel” and “Purview” systems provide SIEM, UEBA, insider risk management and communication monitoring functionality. Combined, these systems can monitor everything employees do or say, profile their behavior and single them out for further investigation. Similar to predictive policing technologies, they promise not only to detect incidents but to prevent them before they occur. While organizations can use these software systems for legitimate purposes, this study focuses on their potential implications for employees."

https://crackedlabs.org/en/data-work/publications/securityriskprofiling