вощем, пообщался с товарищами из soc prime.
разговор был с сейлом Андреем Вдовиным и неким технарём Сергеем, фамилии, к сожалению, не запомнил.
я заранее попросил Андрея подключить технаря к толку, иначе разговор был бы лишен смысла.
да, парни из Украины. это вообще тоже можно было легко нагуглить, но не особо хотелось.
краткий пересказ:
- мы крутые и круто мапим данные
- купите наши правила
ценник:
- начиная от 8к бачинских (или евро?) за некие ключи которыми можно открывать доступ к аналитическим данным
- постепенно нарастающий ценник пляшуший от количества ключей
- заканчивается все 70к USD/EUR за доступ ко всему контенту
занятные факты:
- то ли они впрыжке переобулись, поправив их аргументацию в соответствии с недавним срачем в данном чатике (допускаю), то ли что, но они открестились от 30к правил и сказали что у них их всего 400 плюс есть некие ПАКИ (ну типо наборы с правилами + дашбордами + репортами под конкретные системы). Ну, понятно дело что остальные 29600 правил как раз в этих паках ))
- сказали что 80% их контента это опенсорс. тут я совсем растерялся, но допытывать не стал.
- выяснилось (ну это наверное был не секрет) что "их" "РЕД ТИМ ТЕСТЫ" это тесты проекта Atomic Red Team. Невероятно свежая, крутая и актуальная идея — мапить правила Sigma с Atomic Red Team тестами в привязке к MITRE ATT&CK. Говорят что реализовали 3 недели назад. Я спросил слышали ли про Atomic Threat Coverage, сказали что нет, подумав что это такая система мониторинга %) ну допустим. все может быть.
ключевой момент:
пацанчики даже не задавались вопросом "покрытия" угроз.
казалось бы — работают с MITRE ATT&CK на протяжении нескольких лет, и вроде как где-то реализуют, но на основной вопрос который каждый себе задает они не то что не отвечают, они даже перед собой его не ставили.
чо там, какие правила, какие контроли — да пофиг. давайте мы вам еще правил продадим. а потом еще.
как определить что у меня более-менее все возможные варианты детекшена для конкретной техники реализованы?
или может не реализованы и нужно покупать еще?
а вот если не реализованы, то как мне понять какие именно правила/паки покупать у вас?
да зафиг вам это надо?! у нас нет такого описания, и чот никто раньше не спрашивал. (лол. вы сами должны были об этом задуматься)
ну вообще, можете обратиться в саппорт.
а лучше просто купите правила, тогда точно будет лучше чем сейчас!
подытожим:
как бизнес — они крутые.
заказчиков без экспертизы на рынке действительно дофига, так что финансовый успех практически гарантирован.
для людей же с экспертизой их донность чувствуется за километр.
но вообще, есть множество шансов для позитивных изменений.
надо только того василия, который все это дело драйвит со своим "глубоким пониманием рынка и умным виженом", пару раз приложить табуреткой.
а то он похоже только заголовки методологий читает, пропуская самое главное.
