Кибербезопасность

Посты о SOC, TI и IR

Формирование и приоритизация бэклога разработки детектов по MITRE

Как центру мониторинга эффективно расставить приоритеты при написании детектирующих логик для различных техник MITRE ATT&CK и какие инструменты в этом помогут.

Исследование

ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах

Команда Security assessment составила рейтинг уязвимостей в веб-приложениях, отражающий взгляд на этот вопрос через призму многолетнего опыта в деле анализа защищенности веб-приложений.

Исследование

Детектирование аномалий при запросе TGT-билета по сертификату

Я выявил несколько признаков присутствия атак с использованием поддельных сертификатов внутри сети и разработал Proof-of-Concept утилиты, способной находить артефакты в AD, а также несколько правил детектирующей логики, которые можно добавить в SIEM.

Посты о SOC, TI и IR

Подходы к определению метрик для измерения эффективности SOC

Как понять, что услуги, предоставляемые SOC, соответствуют ожиданиям клиентов? Как убедиться, что SOC регулярно работает над повышением своей эффективности? Для этого необходимо оценить внутренние процессы и сервисы SOC.

Посты о SOC, TI и IR

Разработка сценариев реагирования на инциденты

Сценарии реагирования помогают оптимизировать процессы в SOC, однако компании могут испытывать трудности с их разработкой. Поэтому мне хотелось бы поделиться советами по созданию идеального (или почти идеального) сценария реагирования.

Исследование

Экспериментируем с ChatGPT: поиск индикаторов компрометации

Мы проверили, что ChatGPT уже знает об исследовании угроз и может ли он помочь идентифицировать вредоносные инструменты, например Mimikatz и Fast Reverse Proxy, а также распознать тактику переименования интерпретатора PowerShell.

Публикации

Индикаторы компрометации (IOC): как мы их собираем и используем

Как специалисты по информационной безопасности используют индикаторы компрометации в ежедневной работе? Этот вопрос мы задали трем экспертам «Лаборатории Касперского»

Мнение

Сколько безопасности достаточно?

В среде специалистов по ИБ бытует мнение, что безопасности не может быть много, но в то же время есть понимание, что «много безопасности» стоит дорого. Где же та тонкая грань «достаточности» безопасности, сколько ее надо и как это доказать лицам, принимающим решения?

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике