SOC как искусство...🎼
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
После серии постов от моих "красных" коллег настала пора приступить к рассмотрению того, что должно их ловить и не давать выполнять то, о чём они тут Вам рассказывают - о моём любимом SOC😍🧃
Думаю, многие из Вас в последние годы не раз сталкивались с этой аббревиатурой, уж очень "хайповым" стало это направление в мире кибер-безопасности.🤙🏻
Ну а для коллег, которые в нашей сфере недавно, уточню: SOC (Security Operation Center) - место, где контролируют, анализируют и реагируют на потенциальные угрозы и инциденты безопасности в IT-инфраструктуре. Именно поэтому, находясь на передовой борьбы с киберугрозами, SOC должен функционировать как симфонический оркестр - слаженно и уверенно.
Продолжая аналогию, "музыкантами" и неотъемлемыми элементами в SOC являются люди, технологии и процессы. 🎷🎻🎹
Пытаться построить Центр противодействия киберугрозам без одной из вышеуказанных составляющих - значит проверить на себе, что такое Mission: Impossible (Том Круз ставит лайк😂).
В дальнейших своих постах я предлагаю Вам поэтапно рассмотреть каждого из наших SOC-"музыкантов". Будем с Вами постепенно погружаться в каждое из направлений, изучать, из чего оно состоит, как оно функционирует и что требуется, чтобы всё работало, как единый механизм.⚙️⚙️
В части процессов - поймем, какие они бывают и для чего нужны.♻️♻️
В части людей - определим требования к количеству и компетенциям команды для отлаженной работы процессов.🧑🏻💻👩🏼💻
В части технологий - узнаем, какими инструментами и решениями нужно вооружить команду, чтобы она давала результат, как с ними работать и на что обратить внимание. 🛠🛡
Пожалуй, начнем с процессов. К их изучению и приступим далее✌🏻
Ну а пока что (спойлер🙈) готовлю для Вас статью с обзором того, какие SOC в принципе существуют и как правильно их классифицировать.
Ну и конечно, буду рад делиться с Вами интересными кейсами, подводными камнями в работе, техническими лайфхаками, да и в целом обозревать и обсуждать мир кибербезопасности.
С наилучшими и безопасными пожеланиями к Вам,
Ваш @dolgihser 😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
После серии постов от моих "красных" коллег настала пора приступить к рассмотрению того, что должно их ловить и не давать выполнять то, о чём они тут Вам рассказывают - о моём любимом SOC😍🧃
Думаю, многие из Вас в последние годы не раз сталкивались с этой аббревиатурой, уж очень "хайповым" стало это направление в мире кибер-безопасности.🤙🏻
Ну а для коллег, которые в нашей сфере недавно, уточню: SOC (Security Operation Center) - место, где контролируют, анализируют и реагируют на потенциальные угрозы и инциденты безопасности в IT-инфраструктуре. Именно поэтому, находясь на передовой борьбы с киберугрозами, SOC должен функционировать как симфонический оркестр - слаженно и уверенно.
Продолжая аналогию, "музыкантами" и неотъемлемыми элементами в SOC являются люди, технологии и процессы. 🎷🎻🎹
Пытаться построить Центр противодействия киберугрозам без одной из вышеуказанных составляющих - значит проверить на себе, что такое Mission: Impossible (Том Круз ставит лайк😂).
В дальнейших своих постах я предлагаю Вам поэтапно рассмотреть каждого из наших SOC-"музыкантов". Будем с Вами постепенно погружаться в каждое из направлений, изучать, из чего оно состоит, как оно функционирует и что требуется, чтобы всё работало, как единый механизм.⚙️⚙️
В части процессов - поймем, какие они бывают и для чего нужны.♻️♻️
В части людей - определим требования к количеству и компетенциям команды для отлаженной работы процессов.🧑🏻💻👩🏼💻
В части технологий - узнаем, какими инструментами и решениями нужно вооружить команду, чтобы она давала результат, как с ними работать и на что обратить внимание. 🛠🛡
Пожалуй, начнем с процессов. К их изучению и приступим далее✌🏻
Ну а пока что (спойлер🙈) готовлю для Вас статью с обзором того, какие SOC в принципе существуют и как правильно их классифицировать.
Ну и конечно, буду рад делиться с Вами интересными кейсами, подводными камнями в работе, техническими лайфхаками, да и в целом обозревать и обсуждать мир кибербезопасности.
С наилучшими и безопасными пожеланиями к Вам,
Ваш @dolgihser 😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
❤6👍2🔥2🤡1
🔍👩💻 Доброе утро, друзья! Пока кто-то в пути на работу, а кто-то еще нежится под одеялком, хакеры активно исследуют интернет в поисках уязвимых Confluence к CVE-2023-22527! Уязвимость представляет собой template injection и затрагивает "confluence data center" и "confluence server" версий 8.0.х, 8.1.x, 8.2.х, 8.3.х, 8.4.х и 8.5.0-8.5.3. 😱.
Если вы любите откладывать обновления, подумайте еще раз. Настоятельно рекомендуем сделать это в ближайшее время! 🔄🔐 Подробнее можно почитать тут:
📰 Ссылка на статью: https://blog.projectdiscovery.io/atlassian-confluence-ssti-remote-code-execution/
🚨 POC (Proof of Concept): https://github.com/Avento/CVE-2023-22527_Confluence_RCE
#Confluence #pentest #ИБ #REDtalk #cve #vulnerabilities
Если вы любите откладывать обновления, подумайте еще раз. Настоятельно рекомендуем сделать это в ближайшее время! 🔄🔐 Подробнее можно почитать тут:
📰 Ссылка на статью: https://blog.projectdiscovery.io/atlassian-confluence-ssti-remote-code-execution/
🚨 POC (Proof of Concept): https://github.com/Avento/CVE-2023-22527_Confluence_RCE
#Confluence #pentest #ИБ #REDtalk #cve #vulnerabilities
ProjectDiscovery
Atlassian Confluence - Remote Code Execution (CVE-2023-22527) — ProjectDiscovery Blog
CVE-2023-22527 is a critical vulnerability within Atlassian's Confluence Server and Data Center. This vulnerability has the potential to permit unauthenticated attackers to inject OGNL expressions into the Confluence instance, thereby enabling the execution…
👍6🫡1
Доброго времени суток, уважаемые друзья!
🌟 Сегодня хотим поднять интересную тему - Living off the Land атаки.
🌐 Если кто не знает, то это метод, при котором злоумышленники используют легитимные средства ОС для своих целей. Будь то разведка или эскалация привилегий.
Представляем вам интересный инструмент для автоматизации повышения привилегий в мире Linux - GTFONow: ссылка на GitHub.
🚀 Этот инструмент вдохновлен известным ресурсом GTFOBins (https://gtfobins.github.io) и изначально был создан для игр в CTF. Однако, стоит отметить, что GTFONow отлично справляется в реальных проектах по тестированию на проникновение и red team.
Так что, коллеги из blue team, обратите внимание на этот инструмент - он может быть весьма разрушительным в нужных руках! 😉🛡️
#REDtalk #redteam #pentest #ИнформационнаяБезопасность #ИБ #blueteam
🌟 Сегодня хотим поднять интересную тему - Living off the Land атаки.
🌐 Если кто не знает, то это метод, при котором злоумышленники используют легитимные средства ОС для своих целей. Будь то разведка или эскалация привилегий.
Представляем вам интересный инструмент для автоматизации повышения привилегий в мире Linux - GTFONow: ссылка на GitHub.
🚀 Этот инструмент вдохновлен известным ресурсом GTFOBins (https://gtfobins.github.io) и изначально был создан для игр в CTF. Однако, стоит отметить, что GTFONow отлично справляется в реальных проектах по тестированию на проникновение и red team.
Так что, коллеги из blue team, обратите внимание на этот инструмент - он может быть весьма разрушительным в нужных руках! 😉🛡️
#REDtalk #redteam #pentest #ИнформационнаяБезопасность #ИБ #blueteam
GitHub
GitHub - Frissi0n/GTFONow: Automatic privilege escalation for misconfigured capabilities, sudo and suid binaries using GTFOBins.
Automatic privilege escalation for misconfigured capabilities, sudo and suid binaries using GTFOBins. - Frissi0n/GTFONow
🔥6👍2❤1
Будем собирать факты, чтобы появились идеи...💡💡
©Луи Пастер
Часть 1✅
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Каждый день работая и изучая тему SOC, невольно поймал себя на мысли, что никогда не подходил к рассмотрению с точки зрения интересных фактов и чисел. Хотя иногда вечерами люблю "залипать" в атмосферные технические документалки на различных видео-платформах.🎥📺
Решил исправиться, и на целый вечер погрузился в аналитику чисел и фактов, уж очень захватило🙈🙈
Ну и пока готовится обещанная статья (постараюсь выложить на следующей неделе🙏🏻), предлагаю Вам ознакомиться с результатами моих поисков. Что-то уже знал, но все равно было увлекательно и интересно. И конечно, буду рад обсудить😉
Приступим:
📍1970-е - время появления первых прародителей современных SOC (хотя MITRE придерживается 1990-х). Тут, думаю, стоит делать акцент на том, что считали центром мониторинга в 1970-х?)) Честно признаюсь, совсем мало информации удалось найти. Так что сделаю предположение, что в конце 1970-х с точки зрения безопасности контролировали просто работоспособность ЭВМ. А уж первые подобия тех SOC, которые мы наблюдаем сегодня, появились всё-таки в 1990-х. В общем, есть простор для дискуссии, что думаете?))🧐🧐
📍3-5 лет - среднее время построения зрелого SOC с нуля. Каждый случай индивидуален (очень много сопутствующих факторов). Например, SOC Wildberries, судя по их активности хотя бы в части найма персонала, идет с очень большим опережением. Но усредненное количество времени, которое придется потратить на организацию и оттачивание всех процессов - именно в этом промежутке.🕑🕑
📍37 - функций SOC выделяет корпорация MITRE, известная прежде всего своей базой уязвимостей (cve.mitre.org) и структурированным списком тактик и техник злоумышленников ATT&CK (attack.mitre.org). Является методологической "законодательницей мод" в мире кибербезопасности, в том числе и в части построения SOC. Вообще, у них еще много иных интересных направлений. Их мы также все рассмотрим с Вами в дальнейшем (думаю, интересная тема для статьи).📝📝
📍1.643 млрд $ - достигнет к 2027 году объем рынка услуг SOC (по результатам исследований консалтинговой фирмы Verified Market Research). Среднегодовой темп роста составит 28.1%. Хотя я бы поспорил. В текущей геополитической ситуации объем рынка уже сейчас неофициально оценивается в 3 раза больше (а ведь исследование VMR было опубликовано в августе 2023 года).💵💵
📍3 млн - алертов ежедневно обрабатывает крупнейший SOC России (Solar JSOC). В нем работают 600+ человек, обеспечивающих безопасность более 280 компаний, в том числе и портал "Госуслуги". Таких впечатляющих результатов коллеги добились спустя 12 лет усердной работы (началось всё в таком далеком 2012 году).👏🏻👏🏻
©Луи Пастер
Часть 1✅
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Каждый день работая и изучая тему SOC, невольно поймал себя на мысли, что никогда не подходил к рассмотрению с точки зрения интересных фактов и чисел. Хотя иногда вечерами люблю "залипать" в атмосферные технические документалки на различных видео-платформах.🎥📺
Решил исправиться, и на целый вечер погрузился в аналитику чисел и фактов, уж очень захватило🙈🙈
Ну и пока готовится обещанная статья (постараюсь выложить на следующей неделе🙏🏻), предлагаю Вам ознакомиться с результатами моих поисков. Что-то уже знал, но все равно было увлекательно и интересно. И конечно, буду рад обсудить😉
Приступим:
📍1970-е - время появления первых прародителей современных SOC (хотя MITRE придерживается 1990-х). Тут, думаю, стоит делать акцент на том, что считали центром мониторинга в 1970-х?)) Честно признаюсь, совсем мало информации удалось найти. Так что сделаю предположение, что в конце 1970-х с точки зрения безопасности контролировали просто работоспособность ЭВМ. А уж первые подобия тех SOC, которые мы наблюдаем сегодня, появились всё-таки в 1990-х. В общем, есть простор для дискуссии, что думаете?))🧐🧐
📍3-5 лет - среднее время построения зрелого SOC с нуля. Каждый случай индивидуален (очень много сопутствующих факторов). Например, SOC Wildberries, судя по их активности хотя бы в части найма персонала, идет с очень большим опережением. Но усредненное количество времени, которое придется потратить на организацию и оттачивание всех процессов - именно в этом промежутке.🕑🕑
📍37 - функций SOC выделяет корпорация MITRE, известная прежде всего своей базой уязвимостей (cve.mitre.org) и структурированным списком тактик и техник злоумышленников ATT&CK (attack.mitre.org). Является методологической "законодательницей мод" в мире кибербезопасности, в том числе и в части построения SOC. Вообще, у них еще много иных интересных направлений. Их мы также все рассмотрим с Вами в дальнейшем (думаю, интересная тема для статьи).📝📝
📍1.643 млрд $ - достигнет к 2027 году объем рынка услуг SOC (по результатам исследований консалтинговой фирмы Verified Market Research). Среднегодовой темп роста составит 28.1%. Хотя я бы поспорил. В текущей геополитической ситуации объем рынка уже сейчас неофициально оценивается в 3 раза больше (а ведь исследование VMR было опубликовано в августе 2023 года).💵💵
📍3 млн - алертов ежедневно обрабатывает крупнейший SOC России (Solar JSOC). В нем работают 600+ человек, обеспечивающих безопасность более 280 компаний, в том числе и портал "Госуслуги". Таких впечатляющих результатов коллеги добились спустя 12 лет усердной работы (началось всё в таком далеком 2012 году).👏🏻👏🏻
🔥7👍3❤1
Часть 2✅
📍43.8 минуты - среднее время обнаружения инцидента высокого уровня критичности SOC Kaspersky (по данным на апрель 2023 года). Наиболее атакуемыми отраслями были промышленность (24% от общего количества заказчиков), финансовые организации (20%), ИТ-компании (17%), транспорт (14%) и СМИ (12%). Имел честь работать с данным SOC в последние пару лет. Коллеги - большие молодцы, очень нам помогали.❤️🫶🏻
📍1.300 - самостоятельно разработанных правил корреляции событий для противодействия киберугрозам используются в SOC BI.ZONE (по состоянию на январь 2023). На их разработку потребовалось более 4 лет. Не сомневаюсь, что коллеги не сбавляют оборотов и за прошедший год существенно пополнили свою "коллекцию".🔝🔝
📍117.868 - 8.633 - общий результат набранных очков в рамках кибербитвы, прошедшей на последнем SOC-Forum 2023. Да-да, я не ошибся, 13-кратный перевес!!! И да, в пользу Blue Team (мои "красненькие" коллеги, не грустите, как-нибудь в другой раз и только на тестовых стендах).🥳🥳
📍13 - фишинговых писем мы заблокировали 25 января. Инфраструктура, которую мы сейчас покрываем, совсем небольшая относительно вышеобозначенных лидеров рынка, так что есть к чему стремиться и что улучшать. Будем работать еще усерднее💪🏻💪🏻
📍137 - минут я потратил на поиск и написание этого поста. Так-так, ну и что там по SLA?😂😂
В общем-то, это всё)) Надеюсь, что Вам было интересно.🙏🏻
С признанием в факте восхищения Вами (спасибо, что собрались на нашем канале),
Ваш @dolgihser 😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
📍43.8 минуты - среднее время обнаружения инцидента высокого уровня критичности SOC Kaspersky (по данным на апрель 2023 года). Наиболее атакуемыми отраслями были промышленность (24% от общего количества заказчиков), финансовые организации (20%), ИТ-компании (17%), транспорт (14%) и СМИ (12%). Имел честь работать с данным SOC в последние пару лет. Коллеги - большие молодцы, очень нам помогали.❤️🫶🏻
📍1.300 - самостоятельно разработанных правил корреляции событий для противодействия киберугрозам используются в SOC BI.ZONE (по состоянию на январь 2023). На их разработку потребовалось более 4 лет. Не сомневаюсь, что коллеги не сбавляют оборотов и за прошедший год существенно пополнили свою "коллекцию".🔝🔝
📍117.868 - 8.633 - общий результат набранных очков в рамках кибербитвы, прошедшей на последнем SOC-Forum 2023. Да-да, я не ошибся, 13-кратный перевес!!! И да, в пользу Blue Team (мои "красненькие" коллеги, не грустите, как-нибудь в другой раз и только на тестовых стендах).🥳🥳
📍13 - фишинговых писем мы заблокировали 25 января. Инфраструктура, которую мы сейчас покрываем, совсем небольшая относительно вышеобозначенных лидеров рынка, так что есть к чему стремиться и что улучшать. Будем работать еще усерднее💪🏻💪🏻
📍137 - минут я потратил на поиск и написание этого поста. Так-так, ну и что там по SLA?😂😂
В общем-то, это всё)) Надеюсь, что Вам было интересно.🙏🏻
С признанием в факте восхищения Вами (спасибо, что собрались на нашем канале),
Ваш @dolgihser 😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
👍10🔥5❤2
💥 Привет! На связи @pyfffe. Хочу поднять такую тему, как уязвимости в компьютерных играх 🎮
Устанавливая игры с различных торрентов, все (надеюсь) прекрасно знают, что в файлах игры может сидеть малварь. Соответственно, можно сделать вывод, что лицензионная копия без 🦠“пасхалок” не будет считаться угрозой. А вот как бы не так. Это такое же стороннее ПО, как и любая программа, а значит может содержать разного характера уязвимости. Далее я приведу несколько примеров, чтобы показать, что уязвимости в играх — это не только про вирусы или читерство.
1️⃣ Начнем с самой продаваемой игры — Minecraft👾 В ноябре 2021 года всем вышла CVE-2021-44228 под кодовым названием “Log4Shell”. Это была уязвимость в библиотеке log4J для Java, позволяющая внедрить инъекцию и выполнить RCE на стороне сервера. Minecraft не остался в стороне. На версиях с 1.8 по 1.18 можно было написать эксплоит в чат и все, кто находился на сервере и увидели сообщение, могли быть подвергнуты атаке. Причем сервер тоже не будет оставаться в стороне. Mojang через пару дней написали о срочном обновлении версии игры. В открытом доступе лежит PoC.
2️⃣ Далее взглянем на более старую CVE-2009-4768 в Warcraft: Frozen Throne на версиях до 1.24b включительно. Она также имеет оценку CVSS 10.0, её суть заключается во внедрении RCE при создании карты с использованием скриптового языка JASS. Можно подумать, что сейчас она неактуальна, но ведь есть олды геймеры, которые любят поиграть на новых кастомных картах (естественно, от неизвестных источников).
3️⃣ И снова вернемся к Minecraft. Но в этот раз упомяну не саму игру, а модификации. Так получилось, что это не только самая продаваемая игра, но на неё пишут больше всего модов, В частности, популярный мод OpenComputers, который добавляет программирование внутри игры (на языке Lua👨💻). Ну тут уязвимость прямо напрашивается. Ну так и получилось - CVE-2023-37261 позволяет проводить SSRF запросы от лица сервера Minecraft. Забавно то, что для эксплуатации необходимо скрафтить компьютер из мода (Забавно, естественно, не для администраторов).
4️⃣ Закончу на не такой опасной, но интересной CVE в игре Counter Strike 2. Несколько месяцев назад, после релиза, у игроков на экранах вместе с HUD стали отображаться нецензурные фотографии и их автоматически кикало с сервера. Это оказалась html-инъекция в никах игроков. Стоит вписать что-то вроде
Ну и подводя итог, не стоит недооценивать уязвимости в играх. Они опасны не меньше других CVE. Конечный потребитель не задумывается о наличии уязвимостей в играх. Еще есть такое понятие — Vulnerability Management (управление уязвимостями). И почему-то я думаю, что в разработке модов его мало кто применяет 🤔 Кстати, про последнюю уязвимость я не нашел официальный номер CVE.
Понятно, что устанавливая игры из надежных источников, риск быть взломанным будет минимальным. Но ведь zero-day никто не отменял. Пора бы открывать полноценные bugbounty платформы по играм. 😁
#REDtalk #cybersecurity #hacking #games #ИБ #кибербезопасность
Устанавливая игры с различных торрентов, все (надеюсь) прекрасно знают, что в файлах игры может сидеть малварь. Соответственно, можно сделать вывод, что лицензионная копия без 🦠“пасхалок” не будет считаться угрозой. А вот как бы не так. Это такое же стороннее ПО, как и любая программа, а значит может содержать разного характера уязвимости. Далее я приведу несколько примеров, чтобы показать, что уязвимости в играх — это не только про вирусы или читерство.
1️⃣ Начнем с самой продаваемой игры — Minecraft👾 В ноябре 2021 года всем вышла CVE-2021-44228 под кодовым названием “Log4Shell”. Это была уязвимость в библиотеке log4J для Java, позволяющая внедрить инъекцию и выполнить RCE на стороне сервера. Minecraft не остался в стороне. На версиях с 1.8 по 1.18 можно было написать эксплоит в чат и все, кто находился на сервере и увидели сообщение, могли быть подвергнуты атаке. Причем сервер тоже не будет оставаться в стороне. Mojang через пару дней написали о срочном обновлении версии игры. В открытом доступе лежит PoC.
2️⃣ Далее взглянем на более старую CVE-2009-4768 в Warcraft: Frozen Throne на версиях до 1.24b включительно. Она также имеет оценку CVSS 10.0, её суть заключается во внедрении RCE при создании карты с использованием скриптового языка JASS. Можно подумать, что сейчас она неактуальна, но ведь есть олды геймеры, которые любят поиграть на новых кастомных картах (естественно, от неизвестных источников).
3️⃣ И снова вернемся к Minecraft. Но в этот раз упомяну не саму игру, а модификации. Так получилось, что это не только самая продаваемая игра, но на неё пишут больше всего модов, В частности, популярный мод OpenComputers, который добавляет программирование внутри игры (на языке Lua👨💻). Ну тут уязвимость прямо напрашивается. Ну так и получилось - CVE-2023-37261 позволяет проводить SSRF запросы от лица сервера Minecraft. Забавно то, что для эксплуатации необходимо скрафтить компьютер из мода (Забавно, естественно, не для администраторов).
4️⃣ Закончу на не такой опасной, но интересной CVE в игре Counter Strike 2. Несколько месяцев назад, после релиза, у игроков на экранах вместе с HUD стали отображаться нецензурные фотографии и их автоматически кикало с сервера. Это оказалась html-инъекция в никах игроков. Стоит вписать что-то вроде
<img src="https://i.pinimg.com/originals/8a/39/03/8a390326148f845c0e26c23d56b7fde9.gif"> — и гифка появится на всех мониторах.☠️Ну и подводя итог, не стоит недооценивать уязвимости в играх. Они опасны не меньше других CVE. Конечный потребитель не задумывается о наличии уязвимостей в играх. Еще есть такое понятие — Vulnerability Management (управление уязвимостями). И почему-то я думаю, что в разработке модов его мало кто применяет 🤔 Кстати, про последнюю уязвимость я не нашел официальный номер CVE.
Понятно, что устанавливая игры из надежных источников, риск быть взломанным будет минимальным. Но ведь zero-day никто не отменял. Пора бы открывать полноценные bugbounty платформы по играм. 😁
#REDtalk #cybersecurity #hacking #games #ИБ #кибербезопасность
👍6🔥4
Исследовать — значит видеть то, что видели все, и думать так, как не думал никто...
©Альберт Сент-Дьёрди
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Как Вы уже могли понять из предыдущего моего поста - я большой фанат аналитики и фактов. А уж когда сталкиваешься с действительно обширными и, в некоторой степени, фундаментальными с точки зрения масштабности исследованиями, тем более в мире кибербезопасности, то одно удовольствие погрузиться в них по полной и изучать.😋😋
Собственно говоря, именно с таким исследованием я недавно и столкнулся. Сегодня в мировой паутине можно найти информацию практически обо всём (и это великолепно), но в текучке ежедневных забот у меня иногда возникает огромная потребность в том, чтобы получить информацию структурированно, буквально разложенную по полочкам. Думаю, многие из Вас также сталкиваются с этим🙈🙈
Поэтому спешу поделиться с Вами результатами работы Сектора аналитических исследований университета Иннополис "Данные без опасности". Отчет вышел осенью 2023 (при этом я наткнулся на него совсем недавно, уж не знаю, как я мог это упустить😴) и охватывает мир кибербезопасности в 2021-2022 и первое полугодие 2023 года. Я очень надеюсь, что кто-то из Вас уже его видел, ну а с теми, кто, как и я, чуть запоздал, спешу поделиться.
Уверен, каждый почерпнет для себя что-нибудь интересное: тут и про рынок, и про вендоров с их продуктами, и про группировки с их инструментами. Даже time-line развития киберугроз отрисовали (да и в целом оформление супер). Одним словом, молодцы.👏🏻👏🏻
В общем, лично для меня было занятно и поучительно (при этом кое с какой информацией я и не согласился), надеюсь, что понравится и Вам. Ну и будем ждать продолжение🥳
С любовью к аналитике,
Ваш @dolgihser😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
©Альберт Сент-Дьёрди
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Как Вы уже могли понять из предыдущего моего поста - я большой фанат аналитики и фактов. А уж когда сталкиваешься с действительно обширными и, в некоторой степени, фундаментальными с точки зрения масштабности исследованиями, тем более в мире кибербезопасности, то одно удовольствие погрузиться в них по полной и изучать.😋😋
Собственно говоря, именно с таким исследованием я недавно и столкнулся. Сегодня в мировой паутине можно найти информацию практически обо всём (и это великолепно), но в текучке ежедневных забот у меня иногда возникает огромная потребность в том, чтобы получить информацию структурированно, буквально разложенную по полочкам. Думаю, многие из Вас также сталкиваются с этим🙈🙈
Поэтому спешу поделиться с Вами результатами работы Сектора аналитических исследований университета Иннополис "Данные без опасности". Отчет вышел осенью 2023 (при этом я наткнулся на него совсем недавно, уж не знаю, как я мог это упустить😴) и охватывает мир кибербезопасности в 2021-2022 и первое полугодие 2023 года. Я очень надеюсь, что кто-то из Вас уже его видел, ну а с теми, кто, как и я, чуть запоздал, спешу поделиться.
Уверен, каждый почерпнет для себя что-нибудь интересное: тут и про рынок, и про вендоров с их продуктами, и про группировки с их инструментами. Даже time-line развития киберугроз отрисовали (да и в целом оформление супер). Одним словом, молодцы.👏🏻👏🏻
В общем, лично для меня было занятно и поучительно (при этом кое с какой информацией я и не согласился), надеюсь, что понравится и Вам. Ну и будем ждать продолжение🥳
С любовью к аналитике,
Ваш @dolgihser😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
🔥9👍4
🚀 Друзья, привет! 🌐 Если вы когда-то задумывались о том, как работают Endpoint Detection and Response (EDR), то у нас есть отличная статья для вас!
Вместе с автором вы не только глубоко познаете процесс работы EDR, но и даже сможете написать свой простенький EDR😉
🔗 Ссылка на статью: SenseCon 23: From Windows Drivers to an Almost Fully Working EDR
#REDtalk #blueteam #ИБ #ИнформационнаяБезопасность #cybersecurity #security #кибербезопасность
Вместе с автором вы не только глубоко познаете процесс работы EDR, но и даже сможете написать свой простенький EDR😉
🔗 Ссылка на статью: SenseCon 23: From Windows Drivers to an Almost Fully Working EDR
#REDtalk #blueteam #ИБ #ИнформационнаяБезопасность #cybersecurity #security #кибербезопасность
🔥7✍1
🎉 Привет, друзья! 🎉
Завтра, в 13:00, на канале нашего уважаемого друга и эксперта в области безопасности - Владимира Кочанова, пройдет потрясающий стрим! 🚀
Аудит функции СБ! По результатам - увольнения?
Вместе с ведущим вы узнаете о том, что представляет из себя аудит СБ, как он может помочь вашей компании и как этот процесс происходит на самом деле. 🕵️♂️
Не упустите возможность приобрести ценные знания о безопасности вашего бизнеса! 💼
Завтра, в 13:00, на канале нашего уважаемого друга и эксперта в области безопасности - Владимира Кочанова, пройдет потрясающий стрим! 🚀
Аудит функции СБ! По результатам - увольнения?
Вместе с ведущим вы узнаете о том, что представляет из себя аудит СБ, как он может помочь вашей компании и как этот процесс происходит на самом деле. 🕵️♂️
Не упустите возможность приобрести ценные знания о безопасности вашего бизнеса! 💼
Telegram
СБ Про Бизнес | Безопасность
Канал для бизнеса о безопасности в бизнесе! Ритейл и производство, логистика и автотранспорт - безопасность может быть полезной для бизнеса!
"Держать и не пущщать" — это не про нас😉
Автор @vladimir_sbprobiz
Реклама на канале: https://telega.in/c/sbprobiz
"Держать и не пущщать" — это не про нас😉
Автор @vladimir_sbprobiz
Реклама на канале: https://telega.in/c/sbprobiz
🔥8👍3
Пунктуальность — умение угадывать, на сколько опоздает другой...🕰 🕰
©Эван Эзар
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Да, этот момент настал. Я наконец-то могу представить Вам на рассмотрение свою дебютную статью. Прошу прощения за задержку🙏🏻
Как ранее и говорилось, обсудим виды и модели SOC, а также поймем, как их классифицировать.🌐
Верю, что это удастся. Я очень старался.🧑🏻💻
Примечание: этой статьей/постом мы потихоньку заканчиваем с введением в общую тематику SOC и далее уже будем углубляться в процессы, технологии, людей.✍🏻
С благодарностью к Вашей пунктуальности,
Ваш @dolgihser😊
🔗 Статья доступна по ссылке: SOC. Введение в тематику. Какие бывают и как их определять.
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
©Эван Эзар
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Да, этот момент настал. Я наконец-то могу представить Вам на рассмотрение свою дебютную статью. Прошу прощения за задержку🙏🏻
Как ранее и говорилось, обсудим виды и модели SOC, а также поймем, как их классифицировать.🌐
Верю, что это удастся. Я очень старался.🧑🏻💻
Примечание: этой статьей/постом мы потихоньку заканчиваем с введением в общую тематику SOC и далее уже будем углубляться в процессы, технологии, людей.✍🏻
С благодарностью к Вашей пунктуальности,
Ваш @dolgihser😊
🔗 Статья доступна по ссылке: SOC. Введение в тематику. Какие бывают и как их определять.
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
Telegraph
SOC. Введение в тематику. Какие бывают и как их определять.
Приветствую Вас, дорогие друзья! Ну что ж, вот, наконец, и вышла моя первая статья на нашем канале. В ней мы познакомимся с тем, какие Security Operation Centers (далее - SOC) существуют и как правильно их классифицировать. Итак, ранее в постах мы с Вами…
🔥16
🔒 Друзья, привет!
🎉 Недавно у нашего хорошего друга, Владимира Кочанова, прошел интересный стрим на тему "Аудит функции СБ! Увольнения?".
Для тех, кто не смог посмотреть в прямом эфире, Владимир подготовил запись, которой мы с удовольствием делимся с вами.
🔍 На стриме Владимир затронул следующие важные вопросы:
1️⃣ Уволят ли руководителя службы безопасности после аудита и почему ему выгодно проявить инициативу?
2️⃣ Как проходит аудит и к чему нужно готовиться?
3️⃣ В каких компаниях нужен аудит функции службы безопасности?
4️⃣ Как сэкономить на стоимости аудита и что делать с результатами?
❓ Если эти вопросы волнуют и вас, не пропустите запись стрима, чтобы получить ответы от эксперта в области безопасности!
🎉 Недавно у нашего хорошего друга, Владимира Кочанова, прошел интересный стрим на тему "Аудит функции СБ! Увольнения?".
Для тех, кто не смог посмотреть в прямом эфире, Владимир подготовил запись, которой мы с удовольствием делимся с вами.
🔍 На стриме Владимир затронул следующие важные вопросы:
1️⃣ Уволят ли руководителя службы безопасности после аудита и почему ему выгодно проявить инициативу?
2️⃣ Как проходит аудит и к чему нужно готовиться?
3️⃣ В каких компаниях нужен аудит функции службы безопасности?
4️⃣ Как сэкономить на стоимости аудита и что делать с результатами?
❓ Если эти вопросы волнуют и вас, не пропустите запись стрима, чтобы получить ответы от эксперта в области безопасности!
👍5❤2
Forwarded from СБ Про Бизнес | Безопасность
♦️Уволят ли руководителя службы безопасности после аудита и почему ему выгодно проявить инициативу?
♦️Как проходит аудит и к чему нужно готовиться?
♦️В каких компаниях нужен аудит функции службы безопасности?
♦️Как сэкономить на стоимости аудита и что делать с результатами?
На все эти вопросы я постарался ответить в течении заявленных 15 минут, но не справился и говорил 30 минут!
Еженедельный выпуск
"15 минут полезности для бизнеса и безопасности бизнеса"
♦️Владимир Кочанов♦️
Автор и создатель канала СБПроБизнес, практикующий эксперт в безопасности бизнеса!
Посмотреть видео можно по ссылкам👇
Дзен👈
YouTube👈
VK👈
Подписавшись на наш ТГ канал https://t.me/sbprobiz сможете выбирать темы "полезностей" и задать вопросы прямо на стриме🤗
P.S. Небольшой спойлер -не уволят, если сам проявит инициативу в аудите😜☝️
#сбполезность #видео
♦️Как проходит аудит и к чему нужно готовиться?
♦️В каких компаниях нужен аудит функции службы безопасности?
♦️Как сэкономить на стоимости аудита и что делать с результатами?
На все эти вопросы я постарался ответить в течении заявленных 15 минут, но не справился и говорил 30 минут!
Еженедельный выпуск
"15 минут полезности для бизнеса и безопасности бизнеса"
♦️Владимир Кочанов♦️
Автор и создатель канала СБПроБизнес, практикующий эксперт в безопасности бизнеса!
Посмотреть видео можно по ссылкам👇
Дзен👈
YouTube👈
VK👈
Подписавшись на наш ТГ канал https://t.me/sbprobiz сможете выбирать темы "полезностей" и задать вопросы прямо на стриме🤗
P.S. Небольшой спойлер -
#сбполезность #видео
👍5❤2🔥1
💥Привет! На связи @pyfffe.
Чем в основном пользуются при пентесте веб-приложений? Конечно же Burp Suite. Но почему именно Burp, если есть Бесплатное решение Owasp Zap? В первую очередь, интерфейс бурпа более user-friendly и более функциональный. К тому же в нём встроен мощный сканер уязвимостей, да и куча других плюшек, как collaborator, repeater, sequencer и так далее по вкладкам 😁 Но самое крутое - это возможность создания своих расширений на Python или Java. Покажу несколько популярных примеров:
1) Начну с Json web tokens. Это расширение позволяет прямо в прокси и репитере, при просмотре запросов, быстро декодировать JWT токены и совершать с ними различные манипуляции, вроде переподписования или изменения алгоритма, прямо на ходу, без применения сторонних утилит. Удобно, когда нужно быстренько с ними что-то сделать.
2) Param Miner — Это расширение, позволяющее проводить поиск названий параметров (в get, post запросах, заголовках, куках). Единственная проблема - он имеет большое количество настроек для запуска (конечно же, это плюс, нужно только прочитать документацию 👨💻).
3) Если вам нужно запустить какое-то хитрое сканирование, а настроек интрудера не хватает, то отлично подойдёт расширение Turbo Intruder. Там вся конфигурация пишется на Python, что позволяет максимально гибко настраивать сканы.
4) Logger++ — тоже отличное расширения для более продвинутого логирования всего. Особенно подойдёт, если нужно быстро экспортировать что-то из логов в файл (любого формата) для других инструментов.
5) Упомяну еще Bypass WAF и 403 Bypasser. Оба они используются для обхода блокировки запрещенных страниц. Первое автоматически в каждый запрос подставляет заголовки типа
Цель этого поста — не показать конкретные расширения, а саму возможность и причины их использовать 🌐. Можно заметить, что все они абсолютно разные и разработаны каждое для своей цели. Всех их можно установить в один клик в соответствующей вкладке Бурпа, а умение ими пользоваться отражает ваш опыт и навыки. Поначалу глаза разбегаются от количества расширений, но есть репа, в которой их можно посмотреть с кратким описанием и отсортированным по уязвимостям.
#REDtalk #cybersecurity #hacking #ИБ #кибербезопасность #BurpSuite #Pentest #BugBounty
Чем в основном пользуются при пентесте веб-приложений? Конечно же Burp Suite. Но почему именно Burp, если есть Бесплатное решение Owasp Zap? В первую очередь, интерфейс бурпа более user-friendly и более функциональный. К тому же в нём встроен мощный сканер уязвимостей, да и куча других плюшек, как collaborator, repeater, sequencer и так далее по вкладкам 😁 Но самое крутое - это возможность создания своих расширений на Python или Java. Покажу несколько популярных примеров:
1) Начну с Json web tokens. Это расширение позволяет прямо в прокси и репитере, при просмотре запросов, быстро декодировать JWT токены и совершать с ними различные манипуляции, вроде переподписования или изменения алгоритма, прямо на ходу, без применения сторонних утилит. Удобно, когда нужно быстренько с ними что-то сделать.
2) Param Miner — Это расширение, позволяющее проводить поиск названий параметров (в get, post запросах, заголовках, куках). Единственная проблема - он имеет большое количество настроек для запуска (конечно же, это плюс, нужно только прочитать документацию 👨💻).
3) Если вам нужно запустить какое-то хитрое сканирование, а настроек интрудера не хватает, то отлично подойдёт расширение Turbo Intruder. Там вся конфигурация пишется на Python, что позволяет максимально гибко настраивать сканы.
4) Logger++ — тоже отличное расширения для более продвинутого логирования всего. Особенно подойдёт, если нужно быстро экспортировать что-то из логов в файл (любого формата) для других инструментов.
5) Упомяну еще Bypass WAF и 403 Bypasser. Оба они используются для обхода блокировки запрещенных страниц. Первое автоматически в каждый запрос подставляет заголовки типа
Originating-IP: 127.0.0.1. Второе вставляет пейлоады в url запросоы для обхода ресурсов c ограничениями. Цель этого поста — не показать конкретные расширения, а саму возможность и причины их использовать 🌐. Можно заметить, что все они абсолютно разные и разработаны каждое для своей цели. Всех их можно установить в один клик в соответствующей вкладке Бурпа, а умение ими пользоваться отражает ваш опыт и навыки. Поначалу глаза разбегаются от количества расширений, но есть репа, в которой их можно посмотреть с кратким описанием и отсортированным по уязвимостям.
#REDtalk #cybersecurity #hacking #ИБ #кибербезопасность #BurpSuite #Pentest #BugBounty
🔥10
🧑💻Привет, друзья! На связи @closed_character
Сегодня мы поговорим о том, как искать скрытые (недекларируемые) параметры web-приложений. Это особенно актуально, когда мы сталкиваемся с "black box", т.е. когда нам неизвестно ничего о приложении. Иногда так много интересного скрыто от нас, но главная задача специалиста по тестированию на проникновение — умение видеть то, что обычному пользователю недоступно.
🛠️ Ручки это конечно здорово, но хороший пентестер - ленивый пентестер. Поэтому давайте поговорим о нескольких инструментах, которые помогут нам автоматизировать данный процесс:
1️⃣ Paraminer — мы уже писали о нем ранее. Отличный инструмент для поиска параметров в get и post запросах, а также скрытых заголовков. Особенно раскрывается с burp pro.
2️⃣ X8 — еще один мощный инструмент для поиска скрытых параметров, написаный на RUST и вобравший в себя все плюсы данного языка. Обладает широким набором функций для более глубокого анализа и обнаружения скрытых ресурсов, такими как исключение из поиска динамических строк, рекурсивный поиск, гибкая настройка отправки параметров за счет шаблонизатора.
3️⃣ Arjun - это инструмент на Python, который предназначен для обнаружения скрытых параметров в HTTP-запросах. Он способен находить параметры в запросах GET/POST/POST-JSON/POST-XML и обеспечивает возможность импорта и экспорта данных из/в Burp Suite/Owasp ZAP. Однако, у него есть недостаток: фиксированное значение параметров при брутфорсе (по умолчанию 500), т.е одновременно будут отсылаться 500 параметров, что может привести к превышению ограничений некоторых серверов и вызвать ошибку "414 Request-URI Too Large”
4️⃣ Paramspider - это замечательный инструмент, который заслуживает внимания. В отличие от других упомянутых инструментов, он извлекает URL-адреса из веб-архивов, что позволяет обнаружить интересные параметры. Кроме того, он способен извлекать параметры из поддоменов.
#REDtalk #BugBounty #hacking #pentest #кибербезопасность #cybersecurity
Сегодня мы поговорим о том, как искать скрытые (недекларируемые) параметры web-приложений. Это особенно актуально, когда мы сталкиваемся с "black box", т.е. когда нам неизвестно ничего о приложении. Иногда так много интересного скрыто от нас, но главная задача специалиста по тестированию на проникновение — умение видеть то, что обычному пользователю недоступно.
🛠️ Ручки это конечно здорово, но хороший пентестер - ленивый пентестер. Поэтому давайте поговорим о нескольких инструментах, которые помогут нам автоматизировать данный процесс:
1️⃣ Paraminer — мы уже писали о нем ранее. Отличный инструмент для поиска параметров в get и post запросах, а также скрытых заголовков. Особенно раскрывается с burp pro.
2️⃣ X8 — еще один мощный инструмент для поиска скрытых параметров, написаный на RUST и вобравший в себя все плюсы данного языка. Обладает широким набором функций для более глубокого анализа и обнаружения скрытых ресурсов, такими как исключение из поиска динамических строк, рекурсивный поиск, гибкая настройка отправки параметров за счет шаблонизатора.
x8 -u https://target_domain/index.php --cookie "session=xyz" --wordlist your_wordlist.txt
3️⃣ Arjun - это инструмент на Python, который предназначен для обнаружения скрытых параметров в HTTP-запросах. Он способен находить параметры в запросах GET/POST/POST-JSON/POST-XML и обеспечивает возможность импорта и экспорта данных из/в Burp Suite/Owasp ZAP. Однако, у него есть недостаток: фиксированное значение параметров при брутфорсе (по умолчанию 500), т.е одновременно будут отсылаться 500 параметров, что может привести к превышению ограничений некоторых серверов и вызвать ошибку "414 Request-URI Too Large”
arjun -u https://target_domain/index.php
4️⃣ Paramspider - это замечательный инструмент, который заслуживает внимания. В отличие от других упомянутых инструментов, он извлекает URL-адреса из веб-архивов, что позволяет обнаружить интересные параметры. Кроме того, он способен извлекать параметры из поддоменов.
paramspider -d target_domain
paramspider -l domains.txt
#REDtalk #BugBounty #hacking #pentest #кибербезопасность #cybersecurity
🔥9❤1
💥 Привет! На связи @pyfffe
Поговорим про классификацию злоумышленников. Как их различают и создают модели. Зачем это нужно и работает ли это вообще?
Начнем с вопроса “Зачем?”🤔. В первую очередь это нужно для упрощения понимания того, как действует злоумышленник (он же хакер, он же Adversary). Классификация и модель угроз сильно помогает разработчикам ids/ips систем и аналитикам SOC. На основе придуманных моделей, о которых я напишу ниже, можно по различным отпечаткам понять кто, как и зачем проводит ту или иную атаку. Наверное, при слове “Модель злоумышленника” у всех на ум сразу приходит Mitre ATT&CK или Cyber Kill Chain.
Mitre ATT&CK — Это таблица (с модным названием “матрица”), которая содержит список тактик - того, чего добивается злоумышленник. Каждая тактика содержит список техник - того, как он этого добивается. Помимо этого, в матрице представлено ПО, используемое в каждой технике и классификацию APT, кто какие техники использует. Существует 3 матрицы - Каждая нацелена на свою область, а именно это корпоративная сеть, мобильные устройства и облачные технологии. При этом используемые тактики в них практически не отличаются, но вот техники разные.
Термин APT (Advanced Persistent Threat) был придуман ВВС США в 2006 году. Под ним понимается некая угроза ИБ, проводимая высококвалифицированной группировкой, обычно спонсируемой государствами. Их также пытаются классифицировать по различным признакам, например по используемому ПО и техникам. Из примеров можно назвать APT38 (Lazarus Group) и Ember Bear.
Помимо Mitre ATT&CK существует еще одна модель — Cyber Kill Chain 🔗. Как и написано в названии, она представляет собой модель цепочки атак из следующих шагов - разведка, вооружение, доставка, заражение, инсталляция, получение контроля и выполнение действий. Если злоумышленник выполнит все эти шаги, то система будет полностью скомпрометирована. Данная модель хорошо подходит для моделирования угроз. Её можно использовать в паре с Mitre ATT&CK.
Есть еще много документов, так или иначе пытающихся классифицировать хакеров. Но важно отметить, что хотя эти модели предоставляют ценные ресурсы, абсолютная точность может быть вызвана сложностью и быстротой эволюции киберугроз, требуя регулярного обновления и адаптации 🛡️.
#REDtalk #cybersecurity #ИБ #кибербезопасность #APT #SOC
Поговорим про классификацию злоумышленников. Как их различают и создают модели. Зачем это нужно и работает ли это вообще?
Начнем с вопроса “Зачем?”🤔. В первую очередь это нужно для упрощения понимания того, как действует злоумышленник (он же хакер, он же Adversary). Классификация и модель угроз сильно помогает разработчикам ids/ips систем и аналитикам SOC. На основе придуманных моделей, о которых я напишу ниже, можно по различным отпечаткам понять кто, как и зачем проводит ту или иную атаку. Наверное, при слове “Модель злоумышленника” у всех на ум сразу приходит Mitre ATT&CK или Cyber Kill Chain.
Mitre ATT&CK — Это таблица (с модным названием “матрица”), которая содержит список тактик - того, чего добивается злоумышленник. Каждая тактика содержит список техник - того, как он этого добивается. Помимо этого, в матрице представлено ПО, используемое в каждой технике и классификацию APT, кто какие техники использует. Существует 3 матрицы - Каждая нацелена на свою область, а именно это корпоративная сеть, мобильные устройства и облачные технологии. При этом используемые тактики в них практически не отличаются, но вот техники разные.
Термин APT (Advanced Persistent Threat) был придуман ВВС США в 2006 году. Под ним понимается некая угроза ИБ, проводимая высококвалифицированной группировкой, обычно спонсируемой государствами. Их также пытаются классифицировать по различным признакам, например по используемому ПО и техникам. Из примеров можно назвать APT38 (Lazarus Group) и Ember Bear.
Помимо Mitre ATT&CK существует еще одна модель — Cyber Kill Chain 🔗. Как и написано в названии, она представляет собой модель цепочки атак из следующих шагов - разведка, вооружение, доставка, заражение, инсталляция, получение контроля и выполнение действий. Если злоумышленник выполнит все эти шаги, то система будет полностью скомпрометирована. Данная модель хорошо подходит для моделирования угроз. Её можно использовать в паре с Mitre ATT&CK.
Есть еще много документов, так или иначе пытающихся классифицировать хакеров. Но важно отметить, что хотя эти модели предоставляют ценные ресурсы, абсолютная точность может быть вызвана сложностью и быстротой эволюции киберугроз, требуя регулярного обновления и адаптации 🛡️.
#REDtalk #cybersecurity #ИБ #кибербезопасность #APT #SOC
🔥9👍3
Хороший процесс не может не родить результат...
©Анатолий Тосс
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Как ранее договорились, приступаем к изучению процессов в SOC. Рассматривайте этот пост как анонс, так как, подумав на досуге, пришел к мнению о том, что детальное описание всего, что хочется Вам рассказать - это, наверное, всё-таки ближе к формату статей.👨🏻💻👨🏻💻
Как ранее уже упоминал, MITRE выделяет около 40 процессов в SOC. Нам же с Вами предлагаю чуть упростить задачу и рассмотреть процессы, объединенные в следующие блоки:
📍Мониторинг событий ИБ
📍Анализ инцидента ИБ
📍Реагирование на инцидент ИБ
📍Аналитика по инциденту ИБ
📍Проактивный поиск угроз
📍Киберкриминалистика
📍Контроль уязвимостей
📍Анализ защищенности
📍Эксплуатация СЗИ (средств защиты информации)
📍Security Awareness (повышение осведомленности сотрудников в части ИБ)
Каждый блок содержит в себе от 1 до 4 процессов, займемся их изучением, ну а по тем, что останутся из MITRE, можно будет сделать отдельный пост/статью (например, про процесс взаимодействия с общественностью и СМИ😁).
Также параллельно начнем рассматривать технические решения по ИБ, которые требуются для обеспечения каждого процесса.
Ну и начать предлагаю с блока "Мониторинг событий ИБ", а в части инструментария - с того, что называют "ядерной триадой SOC" - SIEM, EDR, NTA.🦾🦾
На этом удаляюсь готовить материал, а Вам желаю хороших выходных и максимально продуктивной недели.❤️
С любовью к процессам и Вам,
Ваш @dolgihser😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
©Анатолий Тосс
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
Как ранее договорились, приступаем к изучению процессов в SOC. Рассматривайте этот пост как анонс, так как, подумав на досуге, пришел к мнению о том, что детальное описание всего, что хочется Вам рассказать - это, наверное, всё-таки ближе к формату статей.👨🏻💻👨🏻💻
Как ранее уже упоминал, MITRE выделяет около 40 процессов в SOC. Нам же с Вами предлагаю чуть упростить задачу и рассмотреть процессы, объединенные в следующие блоки:
📍Мониторинг событий ИБ
📍Анализ инцидента ИБ
📍Реагирование на инцидент ИБ
📍Аналитика по инциденту ИБ
📍Проактивный поиск угроз
📍Киберкриминалистика
📍Контроль уязвимостей
📍Анализ защищенности
📍Эксплуатация СЗИ (средств защиты информации)
📍Security Awareness (повышение осведомленности сотрудников в части ИБ)
Каждый блок содержит в себе от 1 до 4 процессов, займемся их изучением, ну а по тем, что останутся из MITRE, можно будет сделать отдельный пост/статью (например, про процесс взаимодействия с общественностью и СМИ😁).
Также параллельно начнем рассматривать технические решения по ИБ, которые требуются для обеспечения каждого процесса.
Ну и начать предлагаю с блока "Мониторинг событий ИБ", а в части инструментария - с того, что называют "ядерной триадой SOC" - SIEM, EDR, NTA.🦾🦾
На этом удаляюсь готовить материал, а Вам желаю хороших выходных и максимально продуктивной недели.❤️
С любовью к процессам и Вам,
Ваш @dolgihser😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
🔥10👍3❤1
💥 Привет! На связи @pyfffe
Как-то в начале зимы я захотел поиграть с антивирусами, понять, как они работают и как их обходить. И решил переписать мои наблюдения в статью. Но внезапно оказалось, что материала очень много 🤔, после чего я решил сделать не серию статей, но как минимум, разделить его на несколько частей.
И вот, спустя несколько месяцев, наконец сделал продолжение. Если первая часть была больше про теорию, то тут мы уже немного поиграем в хацкеров.
Приятного чтения! Ну а я пока возьму небольшой двухнедельный перерыв. Оставляю канал в надёжных руках @closed_character и @dolgihser
🔗 Часть 1. Немного теории о работе антивирусов
🔗 Часть 2. Немного практики по их обходу
#REDTalk #CyberSecurity #InfoSec #MalwareAnalysis #AVBypass #Redteam #ИБ #Кибербезопасность #Антивирусы
Как-то в начале зимы я захотел поиграть с антивирусами, понять, как они работают и как их обходить. И решил переписать мои наблюдения в статью. Но внезапно оказалось, что материала очень много 🤔, после чего я решил сделать не серию статей, но как минимум, разделить его на несколько частей.
И вот, спустя несколько месяцев, наконец сделал продолжение. Если первая часть была больше про теорию, то тут мы уже немного поиграем в хацкеров.
Приятного чтения! Ну а я пока возьму небольшой двухнедельный перерыв. Оставляю канал в надёжных руках @closed_character и @dolgihser
🔗 Часть 1. Немного теории о работе антивирусов
🔗 Часть 2. Немного практики по их обходу
#REDTalk #CyberSecurity #InfoSec #MalwareAnalysis #AVBypass #Redteam #ИБ #Кибербезопасность #Антивирусы
pyfffe on Notion
Неправильный обход антивирусов. Часть 1. Теория | Notion
🔥12👏1
🔒 Привет, друзья! 👋 На связи @closed_character!
Сегодня я расскажу вам про боковое перемещение (Lateral Movement). 🛡️ Это тактика, которую хакеры применяют для постепенного продвижения по сети после взлома одной точки входа. Они ищут ценные данные или другие активы для утечки.
Один из таких методов - это захват сеанса RDP (RDP Session Hijacking). Если хакер получил полный контроль над системой (права SYSTEM), он может захватить сеанс RDP другого пользователя. Это позволяет ему обходить процесс поиска учетных данных этого пользователя.
Но что для этого нужно знать? Сначала неплохо бы посмотреть список сеансов. Это можно сделать двумя способами. Для любителей GUI: загляните в Диспетчер задач Windows на вкладку «Пользователи». Ну, и кстати, это менее заметный способ.
Второй способ - воспользоваться утилитой query. 🕵️♂️
А далее мы можем воспользоваться встроенной утилитой tscon. Она используется для управления сеансами пользователей RDP. С ее помощью можно перенаправить сеанс пользователя на другой сеанс, например, для перемещения сеанса пользователя с одного терминального сервера на другой. Сделать это можно следующей командой:
Или можно воспользоваться mimikatz. 🔍
Так что друзья, помните, что после завершения работы с удаленным рабочим столом (RDP), важно корректно завершить сеанс. Для этого необходимо кликнуть “ПУСК→ваш профиль→Выйти”
Подписывайтесь на канал, чтобы быть в курсе интересных тем из мира ИБ! И не забывайте, обеспечение безопасности - это дело каждого из нас. Давайте сделаем этот мир чуточку безопаснее🛡️🔐
#REDtalk #cybersecurity #pentest #redteam #кибербезопасность #purpleteam #ИБ
Сегодня я расскажу вам про боковое перемещение (Lateral Movement). 🛡️ Это тактика, которую хакеры применяют для постепенного продвижения по сети после взлома одной точки входа. Они ищут ценные данные или другие активы для утечки.
Один из таких методов - это захват сеанса RDP (RDP Session Hijacking). Если хакер получил полный контроль над системой (права SYSTEM), он может захватить сеанс RDP другого пользователя. Это позволяет ему обходить процесс поиска учетных данных этого пользователя.
Но что для этого нужно знать? Сначала неплохо бы посмотреть список сеансов. Это можно сделать двумя способами. Для любителей GUI: загляните в Диспетчер задач Windows на вкладку «Пользователи». Ну, и кстати, это менее заметный способ.
Второй способ - воспользоваться утилитой query. 🕵️♂️
query.exe user
А далее мы можем воспользоваться встроенной утилитой tscon. Она используется для управления сеансами пользователей RDP. С ее помощью можно перенаправить сеанс пользователя на другой сеанс, например, для перемещения сеанса пользователя с одного терминального сервера на другой. Сделать это можно следующей командой:
tscon.exe session_id /dest:session_name
Или можно воспользоваться mimikatz. 🔍
privilege::debug
token::elevate
ts::remote /id:session_id
Так что друзья, помните, что после завершения работы с удаленным рабочим столом (RDP), важно корректно завершить сеанс. Для этого необходимо кликнуть “ПУСК→ваш профиль→Выйти”
Подписывайтесь на канал, чтобы быть в курсе интересных тем из мира ИБ! И не забывайте, обеспечение безопасности - это дело каждого из нас. Давайте сделаем этот мир чуточку безопаснее🛡️🔐
#REDtalk #cybersecurity #pentest #redteam #кибербезопасность #purpleteam #ИБ
👍11👾1
Уж лучше совсем не помышлять об отыскании каких бы то ни было истин, чем делать это без всякого метода...
©Рене Декарт
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
В ходе выстраивания процессов SOC (по которым сейчас готовлю для Вас материалы) очень важно с заданной периодичностью определять текущее местоположение, динамику работы, и, конечно же, планирование того, что требуется делать дальше. Как Вы уже догадались, сегодня затронем тему методологии и стандартизации работы SOC.🚦📚
Любое управляемое развитие требует планирования и непрерывной оценки зрелости, и SOC здесь не исключение (вне зависимости от его типа). И тут перед нами встает вопрос: по каким критериям и как я могу оценить уровень зрелости, четко определить "тонкие" места, тормозящие развитие, и зафиксировать конкретные шаги, направленные на улучшение всей работы SOC? Иными словами, где взять такой опросник, который всё поможет однозначно определить? 🤔🤔
В своей работе для оценки работы моего подразделения я применяю и руководствуюсь моделью SOC-CMM. Она появилась в 2017 году как результат магистерской диссертации, написанной Робом ван Осом в ходе обучения в Лулеоском Технологическом Университете (LTU, Netherlands). SOC-CMM стала настолько популярной, что к сегодняшнему дню де-факто стала уже глобальным стандартом для оценки уровня зрелости SOC, который многие крупные компании используют для прохождения внутреннего аудита и сертификации. Ну а Роб ван Ос стал стратегическим советником по развитию многих центров мониторинга и реагирования на киберугрозы.🔥🔥
SOC-CMM представляет собой, если упрощенно, объемный "опросник", затрагивающий абсолютно все аспекты работы SOC. Есть 2 типа "опросников": basic и advanced. Я на текущий момент использую basic (на нынешнем этапе развития моего подразделения вполне достаточно). По результатам заполнения Вы получаете метрики всех областей работы, а также диаграмму "паутину", на которой наглядно показана работа (ну либо бездействие🙈) и четко видно, куда двигаться дальше. Отмечу, что прохождение таких аудитов "зрелости" - мероприятие достаточно объемное. Но если Вы сторонник непрерывного развития, то проводить его нужно обязательно.
В общем-то, это всё, чем хотел бы поделиться с Вами сегодня)) Надеюсь, что этим постом помогу Вам найти ответы на обозначенные Выше вопросы.🙏🏻🙏🏻
🔗Ссылка на официальный сайт SOC-CMM: https://soc-cmm.com/
С одержимостью к развитию,
Ваш @dolgihser😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
©Рене Декарт
Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser
В ходе выстраивания процессов SOC (по которым сейчас готовлю для Вас материалы) очень важно с заданной периодичностью определять текущее местоположение, динамику работы, и, конечно же, планирование того, что требуется делать дальше. Как Вы уже догадались, сегодня затронем тему методологии и стандартизации работы SOC.🚦📚
Любое управляемое развитие требует планирования и непрерывной оценки зрелости, и SOC здесь не исключение (вне зависимости от его типа). И тут перед нами встает вопрос: по каким критериям и как я могу оценить уровень зрелости, четко определить "тонкие" места, тормозящие развитие, и зафиксировать конкретные шаги, направленные на улучшение всей работы SOC? Иными словами, где взять такой опросник, который всё поможет однозначно определить? 🤔🤔
В своей работе для оценки работы моего подразделения я применяю и руководствуюсь моделью SOC-CMM. Она появилась в 2017 году как результат магистерской диссертации, написанной Робом ван Осом в ходе обучения в Лулеоском Технологическом Университете (LTU, Netherlands). SOC-CMM стала настолько популярной, что к сегодняшнему дню де-факто стала уже глобальным стандартом для оценки уровня зрелости SOC, который многие крупные компании используют для прохождения внутреннего аудита и сертификации. Ну а Роб ван Ос стал стратегическим советником по развитию многих центров мониторинга и реагирования на киберугрозы.🔥🔥
SOC-CMM представляет собой, если упрощенно, объемный "опросник", затрагивающий абсолютно все аспекты работы SOC. Есть 2 типа "опросников": basic и advanced. Я на текущий момент использую basic (на нынешнем этапе развития моего подразделения вполне достаточно). По результатам заполнения Вы получаете метрики всех областей работы, а также диаграмму "паутину", на которой наглядно показана работа (ну либо бездействие🙈) и четко видно, куда двигаться дальше. Отмечу, что прохождение таких аудитов "зрелости" - мероприятие достаточно объемное. Но если Вы сторонник непрерывного развития, то проводить его нужно обязательно.
В общем-то, это всё, чем хотел бы поделиться с Вами сегодня)) Надеюсь, что этим постом помогу Вам найти ответы на обозначенные Выше вопросы.🙏🏻🙏🏻
🔗Ссылка на официальный сайт SOC-CMM: https://soc-cmm.com/
С одержимостью к развитию,
Ваш @dolgihser😊
#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk
Soc-Cmm
The SOC-CMM is a capability maturity model and self-assessment tool for Security Operations Centers (SOCs). The model is based on solid research into the characteristics of SOCs and verified with ...
🔥10👍1
Привет, друзья! Сегодня у нас для вас отличный материал по анализу защищенности 1С! 🔍💻
Автор статьи проделал большую работу. Он собрал всю доступную информацию в одном месте, структурировал её и подтвердил на практике. 🕵
А пока мы готовим для вас кое-что крайне интересное 🤫, настоятельно рекомендуем ознакомиться с этой статьей!
📝 Ссылка на статью: https://ardent101.github.io/posts/1c/
#REDtalk #cybersecurity #pentest #redteam #1C
Автор статьи проделал большую работу. Он собрал всю доступную информацию в одном месте, структурировал её и подтвердил на практике. 🕵
А пока мы готовим для вас кое-что крайне интересное 🤫, настоятельно рекомендуем ознакомиться с этой статьей!
📝 Ссылка на статью: https://ardent101.github.io/posts/1c/
#REDtalk #cybersecurity #pentest #redteam #1C
Ardent101
Еще 1 раз про пентест 1С
Введение Настоящий материал по большей части состоит из общедоступных наработок других людей. Целью было проверить указанные наработки на практике и собрать получившиеся результаты в одном месте. Именно этим объясняется название статьи.
Продолжу рассуждение…
Продолжу рассуждение…
👍8❤1