«Threat Intelligence, это не сбор свежих индикаторов компрометации (IoC) для загрузки в SIEM. Это системная работа по пониманию текущего ландшафта угроз и настройке на этой основе всей своей обороны, включая классические требования ФСТЭК. Без этого любое обеспечение безопасности превращается в статичное и неэффективное упражнение по выполнению формальных проверок.» Что стоит за термином Threat Intelligence В … Читать далее
«Северокорейские хакеры, это не криминал, а государственная экономическая программа. Санкции создали чёрный рынок, где платёжным средством стала не валюта, а экспертность в обходе защитных систем. Борьба с ними, это противостояние не с бандитами, а с инженерами, работающими на режим. Их цель — выживание системы, и они действуют с дисциплиной спецслужб, а не азартом хактивистов.» Эволюция … Читать далее
«Ground truth в threat intelligence, это не конечная точка, а постоянно ускользающая цель. Вместо того чтобы гнаться за призраком абсолютной достоверности, эффективная защита строится на умении работать с вероятностной, контекстной и часто противоречивой информацией, превращая её в решения.» Кризис доверия: почему каждый индикатор под подозрением Поток данных из открытых источников — разборы вредоносов, списки блокировок, … Читать далее
«Прогнозирование кибератак, это не предсказание будущего, а чтение следов, которые оставляет настоящее. Всё, что нужно для этого, уже течёт по вашим сетям и пишется в логи. Вопрос лишь в том, чтобы перестать смотреть на эти данные как на архив и начать видеть в них нарратив, где каждая аномалия, это сюжетный поворот.» Что такое временные ряды … Читать далее
Заблуждение в том, что APT, это просто «умные вирусы». На самом деле это целая параллельная организация, которая годами живёт в твоей сети, изучает твои бизнес-процессы и ворует не просто данные, а самую суть твоей работы. Это не взлом, а медленная и методичная оккупация. https://seberd.ru/2009 Суть APT: не атака, а стратегическая операция Современные угрозы всё реже … Читать далее
«Кибербезопасность часто фокусируется на отражении быстрых атак, но главная опасность — в угрозах, которые месяцами живут в твоей сети и остаются незамеченными. Это не одиночные взломы, а системная кампания с чёткой целью. Если видишь только последний взрыв, значит, основная работа злоумышленника уже завершена». Группы, способные на такие операции, называют продвинутыми постоянными угрозами. Их часто обобщают … Читать далее
«Сама попытка описать цифровые угрозы через метафору войны уже проигрывает. Она заставляет готовиться к громкой, но маловероятной битве, тогда как реальный урон наносится тихим, постоянным подкопом. Задача не в том, чтобы выиграть сражение, а в том, чтобы выстроить систему, способную жить под непрерывным давлением.» От военных компьютеров до публичной паники: как ярлык исказил суть угрозы … Читать далее
«Если убрать картинку, приукрашивающую стоковыми фото людей в капюшонах, что останется в киберугрозах? Останется текст — гнев, хвастовство, инструкции в чатах. Threat Intelligence, это не только про IoC, но и про мотивацию, и её можно измерить». Что такое Threat Intelligence и где в ней место для анализа настроений Классический Threat Intelligence фокусируется на индикаторах компрометации … Читать далее
Аналитики информационной безопасности занимаются странной работой. Они ищут связи между вещами, которые не должны быть связаны. Берут один цифровой след и пытаются дотянуться до другого, потом до третьего, пока не выстроится цепочка. Процесс называется пивотингом, и без него большая часть расследований застревает на первом же шаге. Суть проста есть домен, с которого распространяется вредоносный файл. … Читать далее
“Если ты пытаешься объяснить кибератаку словами — ты уже проиграл. Картинки и графы говорят лучше. Здесь я покажу, как взять каталог MITRE ATT&CK и превратить его из справочника в работающую модель для автоматизированного анализа.” Почему ATT&CK недостаточно Каталог MITRE ATT&CK, это обширная база знаний о тактиках и техниках киберугроз. Его используют для составления профилей угроз, … Читать далее