Adam Koblentz from RevealSecurity shares why context - not anomalies - drives SaaS threat detection.

Lessons from the Salesloft Drift breach show why raw app logs aren’t enough without normalization and business semantics.

Read full interview:
https://www.technadu.com/context-is-key-what-the-salesloft-drift-breach-reveals-about-saas-security-gaps/610244/

#SaaSSecurity #UEBA #IdentityAnalytics #ZeroTrust

Operationalizing AI: 4 Tactics to Shield Your Cyber Defenses.

#AISecurity, #CyberDefense, #MachineLearningSecurity, #ThreatIntelligence, #ZeroTrust, #SOCAutomation, #CyberAI, #SecurityAutomation, #UEBA, #SOAR, #VulnerabilityManagement,

https://medium.com/@jckapadia003/operationalizing-ai-4-tactics-to-shield-your-cyber-defenses-14171f3a99d4

Out of the box: отчуждаемый механизм корреляции

В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.

https://habr.com/ru/companies/securityvison/articles/926436/

#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba

UEBA в кибербезе: как профилирование поведения пользователей на основе Autoencoder помогает выявлять угрозы и аномалии

В современном мире количество атак растёт пропорционально количеству внедрений новых технологий, особенно когда технологии ещё недостаточно изучены. В последнее время атаки становятся всё более разнообразными, а методы их реализации — всё более изощрёнными. Дополнительные проблемы несут и методы искусственного интеллекта, которыми вооружаются специалисты RedTeam. В руках опытного специалиста эти инструменты становятся реальной угрозой безопасности потенциальных целей. Большинство средств информационной безопасности основаны на корреляционных или статистических методах, которые в современных реалиях часто оказываются неэффективными. Что же тогда остаётся специалистам BlueTeam?

https://habr.com/ru/companies/gaz-is/articles/899058/

#газинформсервис #информационная_безопасность #ueba #поведенческая_аналитика #lstm #autoencoder #falco

The cost of data breaches rose 10% to $4.8M last year. Over 70% of #SOC leaders fear real attacks will be hidden by false alerts, causing burnout and labor shortages. Behavioral analytics #UEBA is crucial, especially for resource-limited entities🛡️🔐

https://www.darkreading.com/cyberattacks-data-breaches/behavioral-analytics-cybersecurity-who-benefits-most

История создания ASoar: от идеи до реализации системы кибербезопасности

Я описал свой путь в предыдущей статье https://habr.com/ru/articles/813239/ , но если коротко, то моя карьера в сфере информационной безопасности началась, как и у многих, с работы в ИТ-инфраструктуре. Поначалу моя компания занималась тем, что поддерживала стабильность сетей и систем для различных компаний, и регулярно сталкиваясь с типичными проблемами, связанными с кибератаками. Однажды в компании, где штат ИБ был минимален, мы внедрили SIEM — решение, которое, как считалось, должно было кардинально улучшить безопасность. Однако это был дорогостоящий и трудоёмкий процесс. SIEM не только не оправдал ожиданий, но и породил кучу инцидентов, большинство из которых не представляли реальной угрозы. Специалисты тратили время на анализ множества событий, которые, по сути, были незначительными. С каждым новым ложным срабатыванием доверие к системе падало. В конце концов, люди просто начали игнорировать предупреждения, считая, что система безопасна, хотя это было далеко не так. Так я сформулировал ключевую проблему SIEM: В обычных организациях, где число специалистов по ИБ ограничено, использование SIEM часто не приводит к ожидаемым результатам. И именно это открыло мне глаза на необходимость поиска нового подхода. Я начал думать о том, как можно было бы автоматизировать процессы безопасности, не нагружая команду ложными тревогами и сложными настройками.

https://habr.com/ru/articles/846600/

#ASoar #TDR #SOAR #NDR #SIEM #SOC #опыт #история_создания #отечественное_по #ueba

#WorkSurveillance #Surveillance #WageSlavery #SIEM #UEBA #CyberSecurity #ThreatDetection #BehaviorProfiling: "This case study explores, examines and documents how employers can use software that analyzes extensive personal data on employee behavior and communication for cybersecurity, insider threat detection and compliance purposes. To illustrate wider practices, it investigates software for “security information and event management” (SIEM), “user and entity behavior analytics” (UEBA), insider risk management and communication monitoring from two major vendors. First, it looks into cybersecurity and risk profiling systems offered by Forcepoint, a software vendor that was until recently owned by the US defense giant Raytheon. Second, it investigates in detail how employers can use cybersecurity and risk profiling software sold by Microsoft, whose “Sentinel” and “Purview” systems provide SIEM, UEBA, insider risk management and communication monitoring functionality. Combined, these systems can monitor everything employees do or say, profile their behavior and single them out for further investigation. Similar to predictive policing technologies, they promise not only to detect incidents but to prevent them before they occur. While organizations can use these software systems for legitimate purposes, this study focuses on their potential implications for employees."

https://crackedlabs.org/en/data-work/publications/securityriskprofiling

Turbo ML Conf 2024 — по следам

В формате разбора содержания докладов я, автор канала @borismlsec, приведу три интереснейших из тех, что мне довелось посетить на конференции Turbo ML 2024. Они привлекли меня не только как дата саентиста, но и как сотрудника вендора решений по кибербезопасности. И по каждому докладу в конце я расскажу, почему.

https://habr.com/ru/articles/832072/

#ml #nlp #recsys #llm #cybersecurity #soar #ueba

Создание правил SIEM с использованием категорийных моделей

В статье рассказываю о возможности применения концепции категорийных моделей для выявления аномалий в действиях пользователей при помощи SIEM. Модели позволяют описать и использовать профиль типичной активности пользователей и других сущностей. У себя используем их для выявления кражи учетных записей, перемещения по инфраструктуре (lateral movement). Кроме того, именно правила "Первый раз X сделал Y" стали использоваться для прямых уведомлений нашим сотрудникам из SIEM.

https://habr.com/ru/articles/832074/

#siem #soc #logging #logs #ueba