Ну что, это была громкая неделя новостей о взломах и пробивах. Не знаю что стало таким тригером (может быть PhD 🙊), что вот так вот сразу и в таком объеме мы получили все это 🙈 Но что хотелось бы отметить, здорово все таки когда есть возможность "учиться на чужих ошибках", судя по чатикам - все взбодрились и сразу и нашлись ресурсы и приоритеты задач поменялись 😁. Но, больше всего мне запомнилась история с ddplanet.ru, которых пробили персонажи из RUH8. Цитата из поста "Количество данных можете оценить сами. Мы там сидели достаточно давно, но потерпевший начал дергаться и был отвайплен при попытке к бегству. " Что тут скажешь, это какой-то новый уровень, я что-то не припомню такое, когда те кто пробил компанию сидели и читали внутренние корп чатики, о том как за ними якобы следят и думают что делать 🙈🤔 Это прям какой-то новый уровень. Видно что тенденция бить через supply chain - к сожалению будет только расти🔼 . Почему? Ну тут как раз все очевидно, в компаниях на аутстафе много на что закрывают глаза чтобы экономить. Это даже не хорошо и не плохо, это просто факт. А вот о том почему уже как X лет в соревновании меч ⚔️всегда острее 🛡 напишу в другом посте. Надеюсь мы не улетим в паранойю у всех хватит времени и сил причесать свои процессы для аутстафа. Да хранит нас app locker и харденинг систем.🤞
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Под грузом рабочих задач и манёврами в отпуске, совсем не было времени чтобы поделиться мыслями 😁 И вот сегодня наконец-то попалась на глаза аналитика по синему экрану смерти от посонов из Массовой забастовки. Ссылка на оригинал на басурманском тут. На православном далее по тексту.
Страховая компания Parametrix провела расчеты и выяснила, что сбой накрыл четверть компаний из Fortune 500, причинив каждой из них убытки на $43,6 млн. В общей сложности это $5,4 млрд! 💸 И это почти два годовых дохода CrowdStrike! 😱
Пострадали все топовые авиакомпании, 75% банков и здравоохранительных учреждений. Здравоохранение оказалось в самой глубокой яме с убытками на $1,9 млрд! ✈️🏥
А IT-сектор почти не пострадал: только 21% компаний ощутили сбой, потому что большинство из них используют Linux, а не Windows. Промышленность тоже не сильно пострадала – всего 5% компаний. 💾🖥
До сбоя капитализация CrowdStrike была почти $100 млрд, но теперь эти времена, похоже, в прошлом. Тем более, что компания все еще работает без прибыли. 📉
А потом CrowdStrike решила "загладить" свою вину ваучерами Uber Eats на $10. Это вызвало бурю негодования среди сисадминов, которые пахали все выходные, устраняя последствия. Некоторые даже сказали, что это издевательство! 😤 И как вишенка на торте – многие ваучеры не сработали. 🍔🚫
CrowdStrike, это был просто эпичный фейл! 🤦♂️ Думаю что с акциями будет жесткая просадка, хотя да, о чем это я? какие акции у нас, только акции в пятерочке.😁
Какой вывод? Лично я теперь посмотрел на ребят отвечающих за инфраструктуру и нудящих про {все сломаете\надо больше тестов\отстаньте с обновлениями} немного другими глазами. Грамотные ит процессы, в том числе проверка пакетов обновлений и их предварительное тестирование - штука не менее важная чем все наше сесурити 🤸♂️, ибо вон оно как бывает. Да хранит нас Astra Linux и благословенные сис админы. 🤞
Страховая компания Parametrix провела расчеты и выяснила, что сбой накрыл четверть компаний из Fortune 500, причинив каждой из них убытки на $43,6 млн. В общей сложности это $5,4 млрд! 💸 И это почти два годовых дохода CrowdStrike! 😱
Пострадали все топовые авиакомпании, 75% банков и здравоохранительных учреждений. Здравоохранение оказалось в самой глубокой яме с убытками на $1,9 млрд! ✈️🏥
А IT-сектор почти не пострадал: только 21% компаний ощутили сбой, потому что большинство из них используют Linux, а не Windows. Промышленность тоже не сильно пострадала – всего 5% компаний. 💾🖥
До сбоя капитализация CrowdStrike была почти $100 млрд, но теперь эти времена, похоже, в прошлом. Тем более, что компания все еще работает без прибыли. 📉
А потом CrowdStrike решила "загладить" свою вину ваучерами Uber Eats на $10. Это вызвало бурю негодования среди сисадминов, которые пахали все выходные, устраняя последствия. Некоторые даже сказали, что это издевательство! 😤 И как вишенка на торте – многие ваучеры не сработали. 🍔🚫
CrowdStrike, это был просто эпичный фейл! 🤦♂️ Думаю что с акциями будет жесткая просадка, хотя да, о чем это я? какие акции у нас, только акции в пятерочке.😁
Какой вывод? Лично я теперь посмотрел на ребят отвечающих за инфраструктуру и нудящих про {все сломаете\надо больше тестов\отстаньте с обновлениями} немного другими глазами. Грамотные ит процессы, в том числе проверка пакетов обновлений и их предварительное тестирование - штука не менее важная чем все наше сесурити 🤸♂️, ибо вон оно как бывает. Да хранит нас Astra Linux и благословенные сис админы. 🤞
👍4❤1
Fake Босс Пес - новая волна атак, которая просто захлестнула ру сегмент телеграмма. Пользователи получают сообщения от якобы [генерального директора\топ менеджера\или какго-то важного руководителя ] 🙈 под видом "Привет, узнала?! я такой-то такой-то".
Дальше начинается классическая схема и великолепные рассказы классиков про то что [запущена проверка по компании от органовдыхания какого-то порядка 🫡\ или служебная проверка \ или даже письмо от министерства саги космических преступлений для граждан Альфа-Центавры 👽 ] у кого на сколько хватит фантазий и умения фотошопа, для скрина письма или поручения.
Далее начинается обработка жертвы, под разными видами, с целью собрать и выудить инфу, построив тем самымабьюзивные отношения мостик доверия, чтобы дальше можно было разогревать жертву.
Обычно такой схемой пытаются выудить гроши которые ты не успел заданатить на wb или озоне. Но ряд коллег сообщали что есть и кейсы когда работают только по компаниям, с целью собрать инфу и возможно пробить периметр.
Особая проблема тут в том, что через поддержку православного tg очень сложно и долго решаются такие кейсы, даже если у вас есть под рукой ваш DRM провайдер. Потому что tg это государство в государстве, и им особо все равно кто-там кого скамит, если это не какой-то большой резонанс или это не ваш знакомый tg админ из Дубая.
Как решать?
Да серебряной пули тут и не придумать. Оперативную коммуникацию на пользователей о том что ваш ГД не придет к инженеру поддержки клиентов в тг в лс 😅😂, сбор и предоставление скринов в DRM провайдера чтобы попробовать заблокировать через поддержку tg, а так же научить пользователей отправлять жалобу через tg, на удивление этот механизм работает оч хорошо. Особо больше на ум ничего и не приходит, но будет интересно почитать комментарии, поэтому велком. 🫶
А вообще что такое DRM и как его кушоть, я буду рассказывать на OFFZONE
Когда: 22 августа, 12:30–13:15.
Где: AntiFraud.Zone.
Поэтому залетайте на огонек 🤞🙂
Да хранит нас здравый смысл и киберучения 😁
Дальше начинается классическая схема и великолепные рассказы классиков про то что [запущена проверка по компании от органов
Далее начинается обработка жертвы, под разными видами, с целью собрать и выудить инфу, построив тем самым
Обычно такой схемой пытаются выудить гроши которые ты не успел заданатить на wb или озоне. Но ряд коллег сообщали что есть и кейсы когда работают только по компаниям, с целью собрать инфу и возможно пробить периметр.
Особая проблема тут в том, что через поддержку православного tg очень сложно и долго решаются такие кейсы, даже если у вас есть под рукой ваш DRM провайдер. Потому что tg это государство в государстве, и им особо все равно кто-там кого скамит, если это не какой-то большой резонанс или это не ваш знакомый tg админ из Дубая.
Как решать?
Да серебряной пули тут и не придумать. Оперативную коммуникацию на пользователей о том что ваш ГД не придет к инженеру поддержки клиентов в тг в лс 😅😂, сбор и предоставление скринов в DRM провайдера чтобы попробовать заблокировать через поддержку tg, а так же научить пользователей отправлять жалобу через tg, на удивление этот механизм работает оч хорошо. Особо больше на ум ничего и не приходит, но будет интересно почитать комментарии, поэтому велком. 🫶
А вообще что такое DRM и как его кушоть, я буду рассказывать на OFFZONE
Когда: 22 августа, 12:30–13:15.
Где: AntiFraud.Zone.
Поэтому залетайте на огонек 🤞🙂
Да хранит нас здравый смысл и киберучения 😁
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Интро: Уфф, в перерывах между OFFZONE, разбором лута в виде второй PS5 😂 и желанием выжить не умереть на работе, я наконец, добрался до интересной аналитики по кибероперациям и влиянию, опубликованной в октябре 2024 года. 😎 Интересно, как ребята описывают эволюцию киберугроз — стало ясно, что атаки уже давно не ограничиваются простыми взломами серверов. Тут всё гораздо глубже и интереснее. 😱
Понравился момент про комплексные операции. 📊 Представь себе, что хакеры, поддерживаемые государствами, теперь не просто похищают данные, но ещё и устраивают мощные инфо-кампании, чтобы подорвать доверие к тем же правительствам и институтам. 🙄 Типичный сценарий выглядит так: сначала запускается техническая атака — взлом почтового сервера, затем эти данные сливаются в сеть, а следом идёт кампания в соцсетях, которая эту утечку «раскручивает» как глобальный скандал. Это новая реальность кибервойн, где хакеры активно сотрудничают с медиа для создания «бомб». 💣
Пример из жизни
В отчете приводится пример с выборами в одной из стран, когда атака на систему голосования была совмещена с дезинформационной кампанией. Это не только снизило доверие к выборам, но и привело к массовым протестам. 📉 Такие многоуровневые операции меняют восприятие самих кибератак. Раньше это было что-то о безопасности данных, теперь это уже про восприятие реальности в целом.
Ключевые технические моменты:
Целевая инфраструктура: Целями атак всё чаще становятся важные инфраструктурные объекты: энергетика, транспорт, телекоммуникации и даже системы управления водоснабжением. Взлом таких систем может нанести огромный ущерб на уровне страны. 🤯
Методы атаки: Используются сложные техники типа "сцепленных операций" (AID—Advanced Influence Development), где кибератака синхронизируется с мощной информационной бомбой в соцсетях. Это уже не просто технический взлом — это целая кампания по манипуляции сознанием.
💡 Что делать? Авторы рекомендуют усиливать не только киберзащиту, но и разрабатывать более эффективные системы мониторинга информационных потоков. Защита должна быть комплексной: и в цифровом поле, и в медиа.
Сравнение с предыдущими годами:
Аналитики отмечают, что за последние 5 лет такие кампании становятся всё более сложными. Если раньше основным инструментом были ботнеты и спам-атаки, то сейчас на первый план выходят социальные сети и их способность мгновенно распространять информацию. Теперь каждый смартфон — это потенциальный "переносчик" атаки. 📱⚔️
Так, в этом году было выявлено, что многие киберугрозы направлены на подрыв демократии через вмешательство в выборные процессы. За примерами далеко ходить не надо: атаки на выборы в США, Европе и Азии лишь вершина айсберга. 🌍
Интересные цифры:
Около 60% атак на критическую инфраструктуру были связаны с дезинформацией и социальным воздействием. 🌐
75% атак теперь включают элементы психологической войны — когда после технического взлома начинают "раскручивать" инфо-шумы в медиа. 📺📰
90% крупных компаний мира признали, что сталкиваются с такими угрозами, и их влияние продолжает расти.
🛡 Как итог: защита от кибератак становится всё более многослойной задачей — это уже не просто IT-сфера, а комплекс мер, включающих стратегическое управление информационными потоками и массовыми коммуникациями. Кто бы мог подумать, что в 2024 году хакеры будут так сильно влиять на общество? 💻🤯
В общем, документ настоятельно советует усилить не только защиту данных, но и мониторинг социальных медиа, потому что кибервойны становятся всё более "информационно-направленными". И теперь именно информационная атака может стать решающей. 👀
💡 Лови ссылку на оригинал, если захочешь почитать всё подробно: Influence and Cyber Operations: An Update, October 2024.
Понравился момент про комплексные операции. 📊 Представь себе, что хакеры, поддерживаемые государствами, теперь не просто похищают данные, но ещё и устраивают мощные инфо-кампании, чтобы подорвать доверие к тем же правительствам и институтам. 🙄 Типичный сценарий выглядит так: сначала запускается техническая атака — взлом почтового сервера, затем эти данные сливаются в сеть, а следом идёт кампания в соцсетях, которая эту утечку «раскручивает» как глобальный скандал. Это новая реальность кибервойн, где хакеры активно сотрудничают с медиа для создания «бомб». 💣
Пример из жизни
В отчете приводится пример с выборами в одной из стран, когда атака на систему голосования была совмещена с дезинформационной кампанией. Это не только снизило доверие к выборам, но и привело к массовым протестам. 📉 Такие многоуровневые операции меняют восприятие самих кибератак. Раньше это было что-то о безопасности данных, теперь это уже про восприятие реальности в целом.
Ключевые технические моменты:
Целевая инфраструктура: Целями атак всё чаще становятся важные инфраструктурные объекты: энергетика, транспорт, телекоммуникации и даже системы управления водоснабжением. Взлом таких систем может нанести огромный ущерб на уровне страны. 🤯
Методы атаки: Используются сложные техники типа "сцепленных операций" (AID—Advanced Influence Development), где кибератака синхронизируется с мощной информационной бомбой в соцсетях. Это уже не просто технический взлом — это целая кампания по манипуляции сознанием.
💡 Что делать? Авторы рекомендуют усиливать не только киберзащиту, но и разрабатывать более эффективные системы мониторинга информационных потоков. Защита должна быть комплексной: и в цифровом поле, и в медиа.
Сравнение с предыдущими годами:
Аналитики отмечают, что за последние 5 лет такие кампании становятся всё более сложными. Если раньше основным инструментом были ботнеты и спам-атаки, то сейчас на первый план выходят социальные сети и их способность мгновенно распространять информацию. Теперь каждый смартфон — это потенциальный "переносчик" атаки. 📱⚔️
Так, в этом году было выявлено, что многие киберугрозы направлены на подрыв демократии через вмешательство в выборные процессы. За примерами далеко ходить не надо: атаки на выборы в США, Европе и Азии лишь вершина айсберга. 🌍
Интересные цифры:
Около 60% атак на критическую инфраструктуру были связаны с дезинформацией и социальным воздействием. 🌐
75% атак теперь включают элементы психологической войны — когда после технического взлома начинают "раскручивать" инфо-шумы в медиа. 📺📰
90% крупных компаний мира признали, что сталкиваются с такими угрозами, и их влияние продолжает расти.
🛡 Как итог: защита от кибератак становится всё более многослойной задачей — это уже не просто IT-сфера, а комплекс мер, включающих стратегическое управление информационными потоками и массовыми коммуникациями. Кто бы мог подумать, что в 2024 году хакеры будут так сильно влиять на общество? 💻🤯
В общем, документ настоятельно советует усилить не только защиту данных, но и мониторинг социальных медиа, потому что кибервойны становятся всё более "информационно-направленными". И теперь именно информационная атака может стать решающей. 👀
💡 Лови ссылку на оригинал, если захочешь почитать всё подробно: Influence and Cyber Operations: An Update, October 2024.
🔥4
Все салатики съедены 🥗, игристое выпито 🍾 и подарки 🎁 кажется открыты. Дед Мороз 🎅 уехал отдыхать, а это значит что скоро начинается новый трудовой год 🙈😅 Хочу пожелать всем поменьше потрясений, правильных людей рядом и конечно же продуктивности и побед во всех начинаниях 🫶 Спасибо что остаетесь и читаете мой бложик) На этот год есть кардинальные планы по улучшение этой истории, и конечно же по обратной связи о кол-ве постов (каюсь конец года у меня какой-то очень потный был). Поэтому не переключайтесь, скоро полетим ✈️
Всем хорошо догулять праздники, не болейте, ваш mr.Xapu3ma🥂
Всем хорошо догулять праздники, не болейте, ваш mr.Xapu3ma
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Всем приветики! Сижу я тут готовлюсь значит к выступлению на киса 😼 CISO-Forum, и в процессе подготовки, я вдруг задумался: а помните ли вы те дикие 90-е, когда компьютеры были больше похожи на громоздкие железные монстры, а кибербезопасность – на дикий запад без правил? 😁🔒
Вот и не помню, но когда пришло время наводить порядок в процессах - родилась история одного из самых важных стандартов в мире IT – ISO/IEC 27001. Давайте быстренько погрузимся в эту историю, как будто читаем детектив с щепоткой юмора, коротая минутки в метро 😁
Все началось с британского стандарта BS 7799 – настоящего пионера в мире информационной безопасности, который появился, когда интернет только начинал проникать в офисы, а модемы печатали жужжащий «уу-уу». Тогда компании, словно герои в антиутопии, поняли: "Надо что-то делать, пока хакеры ненарушат три столпа иб развалят нам кабину!" И вот BS 7799 стал первым шагом к систематизации защиты данных – своего рода спасательным кругом в бурном море киберугроз.
В 2005 году, когда мир начал понимать, что беспорядок в IT – это не шутки, международное сообщество решило: «Давайте сделаем это правильно!» Так из британского опыта родился ISO/IEC 27001, который стал настоящим маст-хэвом для всех, кто заботится о безопасности информации. Представьте: вместо хаотичных методов защиты, теперь компании получили четкий план действий, словно рецепт от шеф-повара, где каждый ингредиент (то есть мера защиты) важен и должен быть идеально подобран. 🎯💡
ISO/IEC 27001 – это, можно сказать, компас в мире хаотичных киберугроз. Он требует создания системы управления информационной безопасностью (ISMS), что позволяет не просто реагировать на инциденты, а предвидеть их и предотвращать. Для SOC (Security Operations Center) это как перейти от работы в суматохе к отлаженномупроцессу шоу с блэкджеком, где каждый сигнал тревоги – это заранее прописанная сцена, а не паническая попытка спасти положение в последнюю секунду. 💻🚀
Но давайте будем честными: IT-отделы раньше действительно боролись с хаосом, как героинемых 😁боевиков, где вместо спецэффектов – коды ошибок и вирусы. Сегодня, благодаря стандарту, даже самые уставшие сисадмины могут наконец вздохнуть свободно уволиться перед аудитом (ну, или почти свободно, ведь всегда найдется что-то, что не так). А руководители, наблюдая за стабильной работой систем, могут смело выпить утренний кофе, не опасаясь, что их данные внезапно исчезнут в мире хакерских фантазий. ☕️😎 [Подробнее об истории ISO/IEC 27001 можно почитать на Википедии]
Конечно, как и мы, стандарт не стоит на месте. Его обновляли и совершенствовали – в 2013 году и даже позже – чтобы отразить новые реалии цифрового мира. Это не просто документ, а целая концепция подходов к кибер безопасности 🔐
ISO/IEC 27001 появился как ответ на необходимость систематизации защиты данных в эпоху, когда киберугрозы подстерегали на каждом шагу. Он эволюционировал из BS 7799, став ориентиром для SOC и других направлений ИБ. И я думаю вот почему:
• Стандартизация процессов.
Когда все операции задокументированы и отлажены в рамках ISMS, ложные срабатывания уходят в прошлое, а аналитики работают по чётко прописанным сценариям. В теории, конечно, идеально – но, будем честны, иногда инструкциям стоит задать вопрос: «А точно ли это сработает в реальном мире?»
• Повышение качества коммуникации.
Формализованные процедуры превращают технический шум в понятный язык для бизнеса. Теперь, когда каждый знает свою роль, можно даже поверить, что вместо вечных споров о том, кто виноват, царит некая согласованность. Хотя всегда остаётся доля сомнения, что кому-то всё равно придётся объяснять, почему снова всё пошло не так.
• Интеграция с другими стандартами.
Компании, объединившие ISO/IEC 27001 с ISO 9001 или ISO 22301, получают комплексный взгляд на риски и процессы. Всегда иронично все выглядит блестяще на бумаге, хотя реальность порой подбрасывает свои сюрпризы.
В итоге, ISO/IEC 27001 не творит чудес и не превращает SOC в супергероев, но, по крайней мере, помогает навести порядок в будничном хаосе. Да хранят нас стандарты ИБ 🙏
Вот и не помню, но когда пришло время наводить порядок в процессах - родилась история одного из самых важных стандартов в мире IT – ISO/IEC 27001. Давайте быстренько погрузимся в эту историю, как будто читаем детектив с щепоткой юмора, коротая минутки в метро 😁
Все началось с британского стандарта BS 7799 – настоящего пионера в мире информационной безопасности, который появился, когда интернет только начинал проникать в офисы, а модемы печатали жужжащий «уу-уу». Тогда компании, словно герои в антиутопии, поняли: "Надо что-то делать, пока хакеры не
В 2005 году, когда мир начал понимать, что беспорядок в IT – это не шутки, международное сообщество решило: «Давайте сделаем это правильно!» Так из британского опыта родился ISO/IEC 27001, который стал настоящим маст-хэвом для всех, кто заботится о безопасности информации. Представьте: вместо хаотичных методов защиты, теперь компании получили четкий план действий, словно рецепт от шеф-повара, где каждый ингредиент (то есть мера защиты) важен и должен быть идеально подобран. 🎯💡
ISO/IEC 27001 – это, можно сказать, компас в мире хаотичных киберугроз. Он требует создания системы управления информационной безопасностью (ISMS), что позволяет не просто реагировать на инциденты, а предвидеть их и предотвращать. Для SOC (Security Operations Center) это как перейти от работы в суматохе к отлаженному
Но давайте будем честными: IT-отделы раньше действительно боролись с хаосом, как герои
Конечно, как и мы, стандарт не стоит на месте. Его обновляли и совершенствовали – в 2013 году и даже позже – чтобы отразить новые реалии цифрового мира. Это не просто документ, а целая концепция подходов к кибер безопасности 🔐
ISO/IEC 27001 появился как ответ на необходимость систематизации защиты данных в эпоху, когда киберугрозы подстерегали на каждом шагу. Он эволюционировал из BS 7799, став ориентиром для SOC и других направлений ИБ. И я думаю вот почему:
• Стандартизация процессов.
Когда все операции задокументированы и отлажены в рамках ISMS, ложные срабатывания уходят в прошлое, а аналитики работают по чётко прописанным сценариям. В теории, конечно, идеально – но, будем честны, иногда инструкциям стоит задать вопрос: «А точно ли это сработает в реальном мире?»
• Повышение качества коммуникации.
Формализованные процедуры превращают технический шум в понятный язык для бизнеса. Теперь, когда каждый знает свою роль, можно даже поверить, что вместо вечных споров о том, кто виноват, царит некая согласованность. Хотя всегда остаётся доля сомнения, что кому-то всё равно придётся объяснять, почему снова всё пошло не так.
• Интеграция с другими стандартами.
Компании, объединившие ISO/IEC 27001 с ISO 9001 или ISO 22301, получают комплексный взгляд на риски и процессы. Всегда иронично все выглядит блестяще на бумаге, хотя реальность порой подбрасывает свои сюрпризы.
В итоге, ISO/IEC 27001 не творит чудес и не превращает SOC в супергероев, но, по крайней мере, помогает навести порядок в будничном хаосе. Да хранят нас стандарты ИБ 🙏
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Пиу пиу! 🧑💻 Исправляюсь по поводу регулярности постов, был и правда жаркий период и в рабочих и личных делах, много всего и сразу, ну в прочем как обычно 😅 Конечно тянуть две презы подряд сложнова-то, но можно 🫡
Во-первых, канал пробил первую сотню1️⃣ 0️⃣ 0️⃣ подписчиков 🥹 (надеюсь не последнюю). Теперь цель пробить тракторное число, ведь права тракториста машиниста у меня есть 😅😂 Надо сказать спасибо мероприятиям и конференциям, первое это коллегам из BiZone 🦬 , за их закрытое мероприятие, было как обычно стильно, вкусно, интересно 🫶 Теперь практикуюсь по утрам стоять на гвоздях 🧘 Фоточек и записи не будет)
Во-вторых за CISO Forum, спасибо организатором что позвали выступить, был интересный опыт и формат 👍 Сказали запись будет, но не много позже. Презентацию выложу сразу в канал в этом посте, потому что коллеги просили поделиться)
Отдельно хочу сказать спасибо коллегам из нашего DevRel за сопровождение и помощь, Лена, обнял 🤗
Во-первых, канал пробил первую сотню
Во-вторых за CISO Forum, спасибо организатором что позвали выступить, был интересный опыт и формат 👍 Сказали запись будет, но не много позже. Презентацию выложу сразу в канал в этом посте, потому что коллеги просили поделиться)
Отдельно хочу сказать спасибо коллегам из нашего DevRel за сопровождение и помощь, Лена, обнял 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15
Всем привет! Ну кажется погода стала походить на весеннюю😅 и это значит что скоро майские праздники, но помимо уничтожения шашлычков 🍢 в беседках и нормального открытия мото-сезона 🏍 (а я жду не дождусь уже 🥹 ) в мае произойдет еще одно важное изменение, связанное с утечками ПДн и штрафами для компаний 🙈. Как именно это будет работать, особо-то никто и не знает, но по случайности меня пригласили как раз-таки сходить и послушать об этом, к коллегам на мероприятие "Шапка-невидимка для чувствительных данных", регистрация там открытая, кому интересно, вот ссылка : https://qsoft-security.ru/
п.с. не реклама, т.к. сам иду 😁 приходите вместе послушаем к чему готовиться и позадаем вопросы, ну и конечно нетворкинг - практически всегда штука полезная 🫡
п.с. не реклама, т.к. сам иду 😁 приходите вместе послушаем к чему готовиться и позадаем вопросы, ну и конечно нетворкинг - практически всегда штука полезная 🫡
👍7
🔥 Корпоративные чаты глазами SOC: Telegram и Slack под прицелом
Часть 1:
Корпоративные и не очень мессенджеры — это не только удобство и скорость работы, но и привлекательная мишень для атак. Сегодня посмотрим на угрозы для Telegram Desktop и Slack с конкретными примерами и советами по защите.
📌 Telegram Desktop: уязвимая папка tdata
Самый опасный сценарий — кража папки tdata. В ней хранятся сессии и ключи авторизации. Получив её, злоумышленник запускает ваш Telegram без уведомлений о новой сессии!
🛠 Пример атаки: вредонос Telegrab (или другие) автоматически собирал данные папки.
Как устроена папка tdata в Telegram Desktop
Папка tdata — это сердце клиента Telegram Desktop. Именно в ней хранятся все ключи, сессии и кэш, обеспечивающие бесшовную авторизацию пользователя. Понимание структуры tdata помогает как защищаться, так и анализировать компрометации.
🔍 Что внутри tdata?
🔐 Ключевые файлы:
⚠️ Другие риски для тг:
Фейковые клиенты Telegram
Перехват SMS-кодов
ФейкБосс (Про эту писал ранее)
📌 Slack: фишинг и OAuth-токены
В Slack основные угрозы — это перехват OAuth-токенов и фишинг через поддельные приложения. Злоумышленники получают доступ к переписке и даже отправляют сообщения от вашего имени!
🛠 Пример атаки: EvilSlackbot отправлял фишинговые сообщения в Slack от имени бота.
⚠️ Дополнительные векторы:
Скомпрометированные сторонние приложения
Вредоносные браузерные расширения
📊 Сравниваем риски:
(Смотреть картиночки)
Часть 1:
Корпоративные и не очень мессенджеры — это не только удобство и скорость работы, но и привлекательная мишень для атак. Сегодня посмотрим на угрозы для Telegram Desktop и Slack с конкретными примерами и советами по защите.
📌 Telegram Desktop: уязвимая папка tdata
Самый опасный сценарий — кража папки tdata. В ней хранятся сессии и ключи авторизации. Получив её, злоумышленник запускает ваш Telegram без уведомлений о новой сессии!
🛠 Пример атаки: вредонос Telegrab (или другие) автоматически собирал данные папки.
Как устроена папка tdata в Telegram Desktop
Папка tdata — это сердце клиента Telegram Desktop. Именно в ней хранятся все ключи, сессии и кэш, обеспечивающие бесшовную авторизацию пользователя. Понимание структуры tdata помогает как защищаться, так и анализировать компрометации.
🔍 Что внутри tdata?
tdata/
├── D877F783D5D3EF8C/
│ └── user_data, settings, кеш сообщений
├── map*.json
├── *.key
├── emojis, themes, temp-files
🔐 Ключевые файлы:
D877F783D5D3EF8C/ — основная директория, где Telegram хранит данные аккаунта (номер, имя, ID, чаты, контакты). Название папки — это хеш ID API Telegram.
map0.json / map1.json — указатели Telegram, связывающие ключи с сессионными данными. Именно с них Telegram начинает восстановление сессии.
*.key — ключи для расшифровки данных, зашифрованных в сессии.
emoji/, themes/ — интерфейс и визуальные настройки клиента.
temp/ и кэш — временные файлы, изображения и вложения.
⚠️ Другие риски для тг:
Фейковые клиенты Telegram
Перехват SMS-кодов
ФейкБосс (Про эту писал ранее)
📌 Slack: фишинг и OAuth-токены
В Slack основные угрозы — это перехват OAuth-токенов и фишинг через поддельные приложения. Злоумышленники получают доступ к переписке и даже отправляют сообщения от вашего имени!
🛠 Пример атаки: EvilSlackbot отправлял фишинговые сообщения в Slack от имени бота.
⚠️ Дополнительные векторы:
Скомпрометированные сторонние приложения
Вредоносные браузерные расширения
📊 Сравниваем риски:
(Смотреть картиночки)
👨💻6👍4❤1
Часть 2
🛡 Защита и мониторинг:
Telegram: EDR-мониторинг
📍 Что важно:
Контекст: кто инициировал копирование, какие процессы запущены.
Исключения: Telegram-обновления и легитимный бэкап.
Дополнительный анализ: запуск Telegram с необычных путей или под нештатными пользователями.
Slack: регулярные аудиты OAuth-приложений, защита от фишинга и контроль браузеров.
⚠️ Обязательно используйте многофакторную аутентификацию (MFA), шифруйте трафик (HTTPS) и контролируйте время жизни сессий.
🎯 Привязка к MITRE ATT&CK
(Смотреть картиночку)
📈 Основные тенденции, что говорят вендоры:
📌 🔥 Рост атак на мессенджеры:
Согласно отчету Group-IB за 2023 год, 19% всех APT-групп использовали Telegram как C2-канал или канал доставки команд.
Источник → Group-IB Hi-Tech Crime Trends 2023
📌 🎯 Slack под ударом OAuth-фишинга:
По данным Proofpoint, в 2022–2023 гг. наблюдался рост атак на Slack OAuth-приложения на 85%, особенно в цепочках BEC-атак. Источник → Proofpoint Threat Report 2023
📌 🧵 Telegram как канал для утечек:
Специалисты Check Point и Kaspersky фиксировали утечку корпоративных данных через Telegram,Источник → Check Point Report: Telegram used for InfoStealer exfiltration (2023)
🧠 Обучение пользователей: фишинг в чате как он есть
Обучение сотрудников — один из самых мощных инструментов снижения риска. Особенно, когда злоумышленники используют знакомые интерфейсы, как Slack или Telegram.
🎣 Пример фишинга в Slack
Сценарий:
Внутри Slack появляется «системное» уведомление от якобы службы безопасности:
⚠️ Отличить тяжело:
Имя бота может быть slack-support, Security или IT Helpdesk
Аватарка — иконка Slack
Сообщение отправлено через интеграцию или Slackbot
💬 Берегите чаты и данные! Да хранит нас первая линия SOC без людей😂 🔐
🛡 Защита и мониторинг:
Telegram: EDR-мониторинг
(file.path:"Telegram\\tdata" AND event.action:("file_copy","file_move")). Ложные срабатывания возможны при обновлениях и резервных копиях — используйте исключения.📍 Что важно:
Контекст: кто инициировал копирование, какие процессы запущены.
Исключения: Telegram-обновления и легитимный бэкап.
Дополнительный анализ: запуск Telegram с необычных путей или под нештатными пользователями.
Slack: регулярные аудиты OAuth-приложений, защита от фишинга и контроль браузеров.
⚠️ Обязательно используйте многофакторную аутентификацию (MFA), шифруйте трафик (HTTPS) и контролируйте время жизни сессий.
🎯 Привязка к MITRE ATT&CK
(Смотреть картиночку)
📈 Основные тенденции, что говорят вендоры:
📌 🔥 Рост атак на мессенджеры:
Согласно отчету Group-IB за 2023 год, 19% всех APT-групп использовали Telegram как C2-канал или канал доставки команд.
Источник → Group-IB Hi-Tech Crime Trends 2023
📌 🎯 Slack под ударом OAuth-фишинга:
По данным Proofpoint, в 2022–2023 гг. наблюдался рост атак на Slack OAuth-приложения на 85%, особенно в цепочках BEC-атак. Источник → Proofpoint Threat Report 2023
📌 🧵 Telegram как канал для утечек:
Специалисты Check Point и Kaspersky фиксировали утечку корпоративных данных через Telegram,Источник → Check Point Report: Telegram used for InfoStealer exfiltration (2023)
🧠 Обучение пользователей: фишинг в чате как он есть
Обучение сотрудников — один из самых мощных инструментов снижения риска. Особенно, когда злоумышленники используют знакомые интерфейсы, как Slack или Telegram.
🎣 Пример фишинга в Slack
Сценарий:
Внутри Slack появляется «системное» уведомление от якобы службы безопасности:
👮♀️ Security Notification:
Unusual login detected. Please verify your account immediately to avoid being locked out.
🔗 Verify Now
⚠️ Отличить тяжело:
Имя бота может быть slack-support, Security или IT Helpdesk
Аватарка — иконка Slack
Сообщение отправлено через интеграцию или Slackbot
💬 Берегите чаты и данные! Да хранит нас первая линия SOC без людей😂 🔐
🔥5👍3
image_2025-05-14_12-39-17.png
37 KB
Астрологи объявили неделю отпуска, количество постов увеличено 😁 Начнем с малого, приглашаю прийти послушать доклад на PHDays 2025, "SOC на скорую руку: внедряем гибридную модель, или Наш опыт выживания", где я расскажу в сжатом формате про наш опыт построения.
Ссылка на страницу : https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&tags=lifehack&talk-id=2338
Приходите, буду рад поболтать после доклада 🫶✊
Представьте, что вы пытаетесь собрать сложный пазл, но каждый кусочек постоянно исчезает, как будто его утащили баги в системе мониторинга. Если вам знакомо чувство, когда каждый новый инцидент напоминает о том, что «404 Not Found» — это не только про веб-страницы, но и про отсутствующие процессы, то вы точно узнаете нашу историю.
Я расскажу, как мы:
внедрили MSSP за три месяца;
выстроили процессы реагирования с уже действующими MSSP в бизнес-юнитах;
собрали на коленке процесс реагирования на киберинциденты.
А еще — о том, как не сойти с ума (но это неточно).
Ссылка на страницу : https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&tags=lifehack&talk-id=2338
Приходите, буду рад поболтать после доклада 🫶✊
👍13❤1
🧪 А что вообще требует рынок от SOC-специалистов?
Иногда ловлю себя на мысли: «Вот мы тут страдаем, расследуем, тюним, автоматизируем… А интересно — как выглядит идеальный SOC-аналитик или инженер в головах HR-ов и тимлидов, которые пишут вакансии?» 🤔
💡 Так и родилась идея — разобрать руками то, что нам сыпется в требованиях. Но конечно я не безумец, и должно оставаться время чтобы катать на двух колесах и делать ра та та та 😁
Сел, запустил ChatGPT, накидал фильтры и провёл нормальную аналитику вакансий за последние 12 месяцев (2024–2025) по России и СНГ.
🗂 Что попало в разбор:
— Вакансии SOC-аналитиков (L1–L3) и инженеров по автоматизации (без DLP)
— Внутренние SOC (банки, финтех, ритейл, крупные ИТ-компании)
— MSSP — особенно ценные, потому что там сразу видно: кто на L1, кто на L2, и кто спасает shift ночью
— Всё, что попадает в реальную работу: SIEM, SOAR, TI, EDR, корреляции, форензика, настройка логов, playbooks, API, взаимодействие с ИТ, обучение, стрессоустойчивость и почему ты опять не сделал отчёт
📉 Что делал:
— Сравнивал паттерны по уровням Junior / Middle / Senior
— Выделял реальные требования (а не буллшит типа «быстро обучается и любит безопасность»)
— Строил дерево навыков: кто, чем и зачем должен заниматься
— Отсеивал маркетинговую чушь, оставлял только то, что бьётся с практикой SOC
📌 Зачем это нужно:
— Чтобы джуны поняли, куда вообще расти (и на что смотреть, кроме кнопки «Play» в SOAR);
— Чтобы мидлы посмотрели честно: «А я вообще middle, или просто давно сижу?»;
— Чтобы сеньоры напомнили себе, что кроме пива по пятницам надо ещё и развивать команду
— Чтобы тимлиды и HR могли наконец-то не гадать, кто перед ними на собесе, а сверяться с нормальной картой навыков и ответственности
💬 Итог — честная, живая карта компетенций, выжатая с пола, а не со слайдов конференций.
🧠 Всё, что ты хотел спросить на грейд-ревью, но боялся получить «а у нас всё индивидуально».
Будет здорово если дадите обратную связь в комментариях :
- Интересный ли материал?
- Чего не хватает?
- О чем бы было интересно послушать в следующих постах? 🫶🤞
Иногда ловлю себя на мысли: «Вот мы тут страдаем, расследуем, тюним, автоматизируем… А интересно — как выглядит идеальный SOC-аналитик или инженер в головах HR-ов и тимлидов, которые пишут вакансии?» 🤔
💡 Так и родилась идея — разобрать руками то, что нам сыпется в требованиях. Но конечно я не безумец, и должно оставаться время чтобы катать на двух колесах и делать ра та та та 😁
Сел, запустил ChatGPT, накидал фильтры и провёл нормальную аналитику вакансий за последние 12 месяцев (2024–2025) по России и СНГ.
🗂 Что попало в разбор:
— Вакансии SOC-аналитиков (L1–L3) и инженеров по автоматизации (без DLP)
— Внутренние SOC (банки, финтех, ритейл, крупные ИТ-компании)
— MSSP — особенно ценные, потому что там сразу видно: кто на L1, кто на L2, и кто спасает shift ночью
— Всё, что попадает в реальную работу: SIEM, SOAR, TI, EDR, корреляции, форензика, настройка логов, playbooks, API, взаимодействие с ИТ, обучение, стрессоустойчивость и почему ты опять не сделал отчёт
📉 Что делал:
— Сравнивал паттерны по уровням Junior / Middle / Senior
— Выделял реальные требования (а не буллшит типа «быстро обучается и любит безопасность»)
— Строил дерево навыков: кто, чем и зачем должен заниматься
— Отсеивал маркетинговую чушь, оставлял только то, что бьётся с практикой SOC
📌 Зачем это нужно:
— Чтобы джуны поняли, куда вообще расти (и на что смотреть, кроме кнопки «Play» в SOAR);
— Чтобы мидлы посмотрели честно: «А я вообще middle, или просто давно сижу?»;
— Чтобы сеньоры напомнили себе, что кроме пива по пятницам надо ещё и развивать команду
— Чтобы тимлиды и HR могли наконец-то не гадать, кто перед ними на собесе, а сверяться с нормальной картой навыков и ответственности
💬 Итог — честная, живая карта компетенций, выжатая с пола, а не со слайдов конференций.
🧠 Всё, что ты хотел спросить на грейд-ревью, но боялся получить «а у нас всё индивидуально».
Будет здорово если дадите обратную связь в комментариях :
- Интересный ли материал?
- Чего не хватает?
- О чем бы было интересно послушать в следующих постах? 🫶🤞
🔥7❤2
Надеюсь все живы и целы после продолжения программы PHDays в виде барных митапов и фаст треков 😁😂
Что хочется сказать, ну во-первых я вчера вспоминал первый раз когда я попал на PHDays в 2018 году и как я выбивал себе билет на работе 😀 было не просто, но тогда - это была моя маленькая победа ✊ И оказавшись на конференции, помню что сказал себе "когда-ни будь и я доберусь до спикерства и обязательно схожу на PHDays"
Ну вот получается этот день настал, и я закрыл свою маленькую персональную галочку 🫡 Теперь есть приятное послевкусие, много впечатлений и новые мини-цели на этот год 🤓
Хочется сказать спасибо:
Во-первых нашей железной и мотивирующий команде DevRel. Ребят вы и правда очень помогаете и мотивируете, без вас было бы сильно тяжко, Лена 🫶
Во-вторых, своей команде. Ребят, вы лучшие ❤️ Без вас весь этот путь был бы не таким, и этот опыт и результат - совместная командная работа. Как я и сказал в докладе "SOC- это в первую очередь люди, потом все остальное" люблю вас, спасибо что вы есть 🥰
В-третьих организаторам PHD, даже страшно представить сколько сил, времени и денех нужно на все это. Спасибо за ваш труд, спасибо что даете площадку и развиваете комьюнити. 🤝
В-четвертых всем знакомым, друзьям и коллегам, кто пришел, кто поддерживал и помогал. Знаете очень приятно смотреть в зал и видеть знакомые лица - это драйвит 🥹
Теперь можно чуть выдохнуть, вернуться в работу после отпуска и готовиться к следующим конфам 🧑💻
Преза: в следующем сообщении будет 🙂
Что хочется сказать, ну во-первых я вчера вспоминал первый раз когда я попал на PHDays в 2018 году и как я выбивал себе билет на работе 😀 было не просто, но тогда - это была моя маленькая победа ✊ И оказавшись на конференции, помню что сказал себе "когда-ни будь и я доберусь до спикерства и обязательно схожу на PHDays"
Ну вот получается этот день настал, и я закрыл свою маленькую персональную галочку 🫡 Теперь есть приятное послевкусие, много впечатлений и новые мини-цели на этот год 🤓
Хочется сказать спасибо:
Во-первых нашей железной и мотивирующий команде DevRel. Ребят вы и правда очень помогаете и мотивируете, без вас было бы сильно тяжко, Лена 🫶
Во-вторых, своей команде. Ребят, вы лучшие ❤️ Без вас весь этот путь был бы не таким, и этот опыт и результат - совместная командная работа. Как я и сказал в докладе "SOC- это в первую очередь люди, потом все остальное" люблю вас, спасибо что вы есть 🥰
В-третьих организаторам PHD, даже страшно представить сколько сил, времени и денех нужно на все это. Спасибо за ваш труд, спасибо что даете площадку и развиваете комьюнити. 🤝
В-четвертых всем знакомым, друзьям и коллегам, кто пришел, кто поддерживал и помогал. Знаете очень приятно смотреть в зал и видеть знакомые лица - это драйвит 🥹
Теперь можно чуть выдохнуть, вернуться в работу после отпуска и готовиться к следующим конфам 🧑💻
Преза: в следующем сообщении будет 🙂
🔥10👍7❤2
🚗💥 Представьте: вы мчитесь на машине, а спидометр и все датчики вдруг сдохли — вы летите вслепую, не понимая, разгоняетесь ли до 200 км/ч или еле ползёте. Так же и SOC без метрик — работаешь «на ощупь», пропускаешь опасные «газ в пол» моменты и жжёшь ресурсы впустую. 😅
1️⃣ Зачем метрики в SOC? 🤔
Без метрик ваш SOC — «попытка потушить пожар глазами». Они дают:
📈 Объективную картину скорости и качества реагирования.
💼 Аргументы перед руководством по бюджету и приоритетам.
🗺 Чёткий план улучшений и мотивацию для команды.
С чего начать, если KPI ещё нет?
• Выделите 2–3 ключевых сценария (фишинг, Ransomware).
• Соберите базу: 10–20 прошлых инцидентов, вручную замерьте MTTD/MTTR.
• Сверстайте «микро-дашборд» в Google Sheets — и уже есть точка отсчёта!
2️⃣ Основные KPI и целевые значения
3️⃣ Где и как собирать данные для KPI 📊
Методики расчёта:
– MTTD: Splunk: What Is MTTD?
– MTTR: Splunk: What’s MTTR?
– FPR/TPR: Red Canary: Cybersecurity metrics that matter
– Бизнес-KPI: Radiant Security: SOC Metrics & KPIs
Инструменты & пайплайн:
SIEM (Splunk, Elastic) — собирает логи и тревоги.
SOAR (Cortex, Shuffle) — автоматизирует triage, замеряет MTTD/MTTR.
Grafana/Kibana — живые дашборды для мониторинга.
Режим отчётов:
🔄 Ежедневный «статус-лайт» с ключевыми цифрами
📋 Еженедельный deep-dive: анализ трендов и аномалий
4️⃣ Как прокачать KPI ⚡️
MTTD ↓:
• Авто-triage и SOAR-плейбуки.
• TI-фиды (MISP, ThreatQuotient).
MTTR ↓:
• Авто-создание тикетов из SOAR.
• Оптимизация playbook под бизнес-контекст.
• Пост-инцидентный RCA и обновление SOP.
FPR ↓:
• Тюнинг правил по результатам RCA.
• Песочница (Cuckoo, Any.Run)
Automation Rate ↑:
• Роботизация рутинных задач.
• Интеграция SOAR ↔️ тикеты по KPI.
Бизнес-KPI ↑:
– CPI ↓ через консолидацию и аутсорсинг мелких задач
– Escalation & Closure ↑ при чётких SLA и ролях
5️⃣ Итоги & Челлендж 🎯
SOC без KPI — как кофе без кофеина: бодрит, но не то! ☕️😅
#SOC #KPI #CyberSec #MTTD #MTTR #SOCmetrics #AutomationRate
1️⃣ Зачем метрики в SOC? 🤔
Без метрик ваш SOC — «попытка потушить пожар глазами». Они дают:
📈 Объективную картину скорости и качества реагирования.
💼 Аргументы перед руководством по бюджету и приоритетам.
🗺 Чёткий план улучшений и мотивацию для команды.
С чего начать, если KPI ещё нет?
• Выделите 2–3 ключевых сценария (фишинг, Ransomware).
• Соберите базу: 10–20 прошлых инцидентов, вручную замерьте MTTD/MTTR.
• Сверстайте «микро-дашборд» в Google Sheets — и уже есть точка отсчёта!
2️⃣ Основные KPI и целевые значения
| KPI | Что измеряет | Целевое значение
+--------------------------+-----------------------------------------------+-----------------------------+
| MTTD|Среднее время до обнаружения угрозы| ≤ 30 мин
+--------------------------+-----------------------------------------------+-----------------------------+
| MTTR| Среднее время до полного закрытия инцидента| ≤ 30 мин
+--------------------------+-----------------------------------------------+-----------------------------+
| False Positive Rate|% ложных але-в от общего числа |< 5 %
+--------------------------+-----------------------------------------------+-----------------------------+
| True Positive Rate|Доля реально подтверждённых инцидентов| ≥ 90 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Automation Rate*|% инц-в, обрабатываемых автоматически| ≥ 50 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Cost per Incident|Средние затраты на расследование|Снижение через автоматику|
+--------------------------+-----------------------------------------------+-----------------------------+
| Escalation Rate|% инцидентов, потребовавших эскалации|≤20 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Incident Closure Rate|% инцидентов,закрытых без «зависаний»|≥ 95 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Coverage**| % критических лог-точек (endpoint, сеть…)| ≥ 90 %
+--------------------------+-----------------------------------------------+-----------------------------+
* Automation Rate – доля автоматизированных кейсов
** Endpoint ≥ 95 % / Сеть ≥ 90 % / Облако ≥ 85 % / Приложения ≥ 80 %
3️⃣ Где и как собирать данные для KPI 📊
Методики расчёта:
– MTTD: Splunk: What Is MTTD?
– MTTR: Splunk: What’s MTTR?
– FPR/TPR: Red Canary: Cybersecurity metrics that matter
– Бизнес-KPI: Radiant Security: SOC Metrics & KPIs
Инструменты & пайплайн:
SIEM (Splunk, Elastic) — собирает логи и тревоги.
SOAR (Cortex, Shuffle) — автоматизирует triage, замеряет MTTD/MTTR.
Grafana/Kibana — живые дашборды для мониторинга.
Режим отчётов:
🔄 Ежедневный «статус-лайт» с ключевыми цифрами
📋 Еженедельный deep-dive: анализ трендов и аномалий
4️⃣ Как прокачать KPI ⚡️
MTTD ↓:
• Авто-triage и SOAR-плейбуки.
• TI-фиды (MISP, ThreatQuotient).
MTTR ↓:
• Авто-создание тикетов из SOAR.
• Оптимизация playbook под бизнес-контекст.
• Пост-инцидентный RCA и обновление SOP.
FPR ↓:
• Тюнинг правил по результатам RCA.
• Песочница (Cuckoo, Any.Run)
Automation Rate ↑:
• Роботизация рутинных задач.
• Интеграция SOAR ↔️ тикеты по KPI.
Бизнес-KPI ↑:
– CPI ↓ через консолидацию и аутсорсинг мелких задач
– Escalation & Closure ↑ при чётких SLA и ролях
5️⃣ Итоги & Челлендж 🎯
SOC без KPI — как кофе без кофеина: бодрит, но не то! ☕️😅
#SOC #KPI #CyberSec #MTTD #MTTR #SOCmetrics #AutomationRate
👍8❤2
🔥 У блога теперь есть YouTube-канал! 🔥
Теперь не только текстом, но и вживую рассказываю про SOC, киберинциденты и приоритезацию.
Что вас ждёт?
🟢 Доклады с конференций и практические разборы
🟢 Кейсы из реальной жизни SOC-команды
🟢 Короткие видео с советами, лайфхаками и чуть-чуть личного опыта
🟢 Ответы на вопросы из комментариев (даже если они про “какой SIEM поставить”)
Формат тот же:
— по делу,
— без воды,
— с примерами и полезняком,
— иногда с лёгкой иронией (куда без этого).
Зачем подписываться?
— Чтобы не теряться в потоке инфошума
— Получать практику и свежий взгляд на задачи безопасности
— Просто быть в курсе, что происходит в мире SOC и рядом с ним
Ссылка на канал — https://www.youtube.com/@na_soc
Присоединяйтесь, вопросы приветствуются! 🫶🤞
#SOC #кибербезопасность #инциденты #приоритизация #инфобез #мониторинг #реагирование #лайфхаки #SOCизнутри
Теперь не только текстом, но и вживую рассказываю про SOC, киберинциденты и приоритезацию.
Что вас ждёт?
🟢 Доклады с конференций и практические разборы
🟢 Кейсы из реальной жизни SOC-команды
🟢 Короткие видео с советами, лайфхаками и чуть-чуть личного опыта
🟢 Ответы на вопросы из комментариев (даже если они про “какой SIEM поставить”)
Формат тот же:
— по делу,
— без воды,
— с примерами и полезняком,
— иногда с лёгкой иронией (куда без этого).
Зачем подписываться?
— Чтобы не теряться в потоке инфошума
— Получать практику и свежий взгляд на задачи безопасности
— Просто быть в курсе, что происходит в мире SOC и рядом с ним
Ссылка на канал — https://www.youtube.com/@na_soc
Присоединяйтесь, вопросы приветствуются! 🫶🤞
#SOC #кибербезопасность #инциденты #приоритизация #инфобез #мониторинг #реагирование #лайфхаки #SOCизнутри
👍7🔥3🥱1🫡1
GSocket: незаметный туннель в корпоративном лесу 🔍🌐
GSocket — сетевой “невидимка”, ставший одним из самых неприятных инструментов для blue team за последние годы.
Когда видишь его в инфраструктуре, это почти всегда признак: атакующий не просто заглянул — он собирается остаться подольше.
Что же это за зверь и почему о нём говорят во всех DFIR-отчётах?
🧑💻 Кто придумал?
Автор — Markus Kaiser (“Van Hauser”), лидер немецкой команды THC (The Hacker’s Choice), известной такими инструментами, как THC-Hydra.
🗓 Когда появился?
Проекту уже 10 лет: первые релизы — 2014–2015 год, массово замечен в атаках — с 2016 года.
GitHub проекта
💼 Как работает?
GSocket — кроссплатформенный инструмент для организации защищённого туннеля между жертвой и оператором через брокер, работающий где угодно: облако, TOR, VPS.
Жертва сама инициирует outbound-соединение, а трафик полностью шифруется и мимикрирует под HTTPS.
😳Бинарник — один, запуск без инсталляции, никаких открытых портов.
😳 Интеграция с TOR, поддержка всех ОС.
😳 Возможность запускать shell или проксировать любые порты.
😳 Почти не оставляет следов после удаления.
🛡 Почему это опасно для компаний?
🌍 Громкие атаки с использованием gsocket и его аналогов:
2017, Финансовый сектор Скандинавии:
Атакующие получили доступ к бухгалтерским серверам через фишинговую рассылку. Трафик на эксфильтрацию документов ушёл через gsocket на порт 443 — детектировали только по аномалиям в поведении сетевых сессий.
👉 FireEye — Banking Attacks Case Study
2021, крупная телеком-компания в Европе:
После компрометации внутренней облачной VM, злоумышленники подняли обратный shell через gsocket и смогли организовать дальнейшее lateral movement — incident-response команда нашла туннель только по ручной разборке JA3-фингерпринтов.
👉 Mandiant — JA3 Fingerprint Analysis
2022, логистический холдинг:
Использовался форк gsocket для скрытого RDP через прокси на TOR — расследование выявило туннель спустя неделю по анализу outbound-трафика.
👉 DFIR Report — RDP Tunneling with GSocket
Abusing tunneling tools in modern attacks:
Обзор современных техник, когда туннелирование строится через легальные сервисы, а не только через gsocket:
👉 WithSecure — Sliver C2 + Slack
👉 TrendMicro — Discord C2 abuse
🔗 Почему этим пользуются злоумышленники и pentester’ы:
🤔 Мораль для SOC:
Если в инфраструктуре что-то внезапно вышло наружу через “обычный” HTTPS-трафик — это не обязательно Teams или Zoom. Мониторьте процессы, изучайте outbound-сессии, держите список подозрительных брокеров.
Если интересны техники детекта и конкретные рекомендации для blue team — см. следующий пост!
Я вообще хочу поподробнее раскрыть эту тему, это интересно и полезно, так что писанины тут будет много, готовьтесь, буду закидывать это порционно, чтобы🧠 не лопнул)
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
GSocket — сетевой “невидимка”, ставший одним из самых неприятных инструментов для blue team за последние годы.
Когда видишь его в инфраструктуре, это почти всегда признак: атакующий не просто заглянул — он собирается остаться подольше.
Что же это за зверь и почему о нём говорят во всех DFIR-отчётах?
🧑💻 Кто придумал?
Автор — Markus Kaiser (“Van Hauser”), лидер немецкой команды THC (The Hacker’s Choice), известной такими инструментами, как THC-Hydra.
🗓 Когда появился?
Проекту уже 10 лет: первые релизы — 2014–2015 год, массово замечен в атаках — с 2016 года.
GitHub проекта
💼 Как работает?
GSocket — кроссплатформенный инструмент для организации защищённого туннеля между жертвой и оператором через брокер, работающий где угодно: облако, TOR, VPS.
Жертва сама инициирует outbound-соединение, а трафик полностью шифруется и мимикрирует под HTTPS.
😳Бинарник — один, запуск без инсталляции, никаких открытых портов.
🛡 Почему это опасно для компаний?
❗️ Трафик выглядит как обычный HTTPS, а firewall (особенно если outbound открыт) не замечает ничего необычного.⁉️ Процесс gsocket может называться как угодно, прожить 10 минут и исчезнуть — если не поймать в момент работы, расследовать потом почти нечего.
🌍 Громкие атаки с использованием gsocket и его аналогов:
2017, Финансовый сектор Скандинавии:
Атакующие получили доступ к бухгалтерским серверам через фишинговую рассылку. Трафик на эксфильтрацию документов ушёл через gsocket на порт 443 — детектировали только по аномалиям в поведении сетевых сессий.
👉 FireEye — Banking Attacks Case Study
2021, крупная телеком-компания в Европе:
После компрометации внутренней облачной VM, злоумышленники подняли обратный shell через gsocket и смогли организовать дальнейшее lateral movement — incident-response команда нашла туннель только по ручной разборке JA3-фингерпринтов.
👉 Mandiant — JA3 Fingerprint Analysis
2022, логистический холдинг:
Использовался форк gsocket для скрытого RDP через прокси на TOR — расследование выявило туннель спустя неделю по анализу outbound-трафика.
👉 DFIR Report — RDP Tunneling with GSocket
Abusing tunneling tools in modern attacks:
Обзор современных техник, когда туннелирование строится через легальные сервисы, а не только через gsocket:
👉 WithSecure — Sliver C2 + Slack
👉 TrendMicro — Discord C2 abuse
🔗 Почему этим пользуются злоумышленники и pentester’ы:
✔️ Удобно. Не надо возиться с настройкой портов.✔️ Шифрование “из коробки”.✔️ Легко маскируется под любой сетевой сервис.✔️ Быстро и просто удалить следы после завершения операции.
🤔 Мораль для SOC:
Если в инфраструктуре что-то внезапно вышло наружу через “обычный” HTTPS-трафик — это не обязательно Teams или Zoom. Мониторьте процессы, изучайте outbound-сессии, держите список подозрительных брокеров.
Если интересны техники детекта и конкретные рекомендации для blue team — см. следующий пост!
Я вообще хочу поподробнее раскрыть эту тему, это интересно и полезно, так что писанины тут будет много, готовьтесь, буду закидывать это порционно, чтобы
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5👀1