NA
А этих источников под 130 штук
Size: a a a
2021 June 15
IH
и большинство шлак какой-то неинтересный
NA
После просева можно нацедить немного нормальных. В виде as-is - да, согласен, там много шлака.
NA
Справедливости ради: в сутки из открытых фидов можно получить 22К только сетевых индикаторов у которых будет явно присутствовать контекст в виде угрозы.
среди них о 21 группировке, 26 rat, ну и остальное ransom, стиллеры и прочие трояны.
среди них о 21 группировке, 26 rat, ну и остальное ransom, стиллеры и прочие трояны.
RG
А как иначе?)
NA
NA
Если не хочется платить, то таков путь :)
2021 June 16
VK
Откуда эта фраза? "невозможности выявления данных кибератак стандартными средствами детектирования
SOC и необходимости тщательного «ручного» расследования силами лучших экспертов"
SOC и необходимости тщательного «ручного» расследования силами лучших экспертов"
VK
И какова её цель?
AL
Из отчета Солара и НКЦКИ
AL
Ну цель любого отчета - показать свою экспертность
VK
Мне кажется она показывает обратное, наверное мне показалось
VK
Этого не было...
VK
Фраза про алерты siem и первую линию была? Кроме алертов все детекты другими процессами это не стандартные?
BB
Если верно отчет помню, там про какую-то атаку под конкретную организацию шло, в таком случае вполне возможно, что ни первая линия, которая кормится в основном сиемом, ни сам сием ничего не увидели. Возможно, там кто-то непонятную хрень вначале глазами увидел, для расследования чего пришлось копать глубоко и руками
K
TFW, когда «бизнес-консультант» жалуется на «продаванов»… и делает это без иронии. :)
AL
Когда вы приходите на Cisco SecOps Virtual Summit, где выступают 3 сотрудника Cisco, вы прекрасно понимаете, что без продвижения продуктов Cisco не обойдется и вы к этому готовы ;-) Когда вы приходите на независимое отраслевое мероприятие, вы ждёте, что рекламы там не будет или она будет очень грамотно завуалированной. А тут произошел облом.
Причем когда спикерша в докладе «Как вынести ATT&CK на C-level» советует: «Научитесь считать ROI от инвестиций в ИБ, а потом научите свой топ-менеджмент», ты (как бизнес-консультант ;-) понимаешь, что это так не работает, но об этом можно спорить. Когда Крис Кроули делает спорный доклад по метрикам SOC и рекламирует свой более глубокий курс - с этим тоже можно спорить и при этом он дал пищу для размышлений.
Но когда докладчики преподносят свое выступление как историю одного взлома и посвящают таймлайну атаки на банк 5% доклада, а все остальное тратят на рассказ о «лучшей в мире команде TI, безфрикционной точности детекта в 99,9%», это напрягает. И да, консалтинг и продажи - это разные вещи
Причем когда спикерша в докладе «Как вынести ATT&CK на C-level» советует: «Научитесь считать ROI от инвестиций в ИБ, а потом научите свой топ-менеджмент», ты (как бизнес-консультант ;-) понимаешь, что это так не работает, но об этом можно спорить. Когда Крис Кроули делает спорный доклад по метрикам SOC и рекламирует свой более глубокий курс - с этим тоже можно спорить и при этом он дал пищу для размышлений.
Но когда докладчики преподносят свое выступление как историю одного взлома и посвящают таймлайну атаки на банк 5% доклада, а все остальное тратят на рассказ о «лучшей в мире команде TI, безфрикционной точности детекта в 99,9%», это напрягает. И да, консалтинг и продажи - это разные вещи
AL
И что в этом нестандартного для SOCа? Вчера на SOCstock про это тоже говорили в контексте Sunburst. Типа, у всех были крутые средства мониторинга, которые нифига не увидели. У всех были SIEM, которые нифига не увидели. Многие были подключены к Эйнштейну, на который американское правительство тратит десятки миллионов, и который тоже ничего не заметил. Так это нормально для сложных атак и требуется работа аналитиков и тп. А иначе все можно было автоматизировать и убрать L1/L2 и заменить их на ML
KV
Не стоит думать, что построив SOC, можно не заниматься остальными сферами КБ. Если инфра и приложения имеют проблемы, то SOC может и не спасти.
RI
И не спасёт, Кир.