Солдатов в Телеграм Telegram 帖子

Сегодня вышел годовой отчет наших коллег из команды GERT (кстати, руководитель этой команды, мой коллега и друг - Константин Сапронов, сегодня на AM Live) по данным проектов в 2024. Наш отчет по данным инцидентов MDR (собственно, его подготовка - основная причина моего немногословия в этом канале с начала года) вышел чуть ранее.

Оба отчета пока на английском языке (на русском выйдут в ближайшее время, напишу) и доступны здесь. Пересечения в отчетах искать не нужно, как минимум потому что команды MDR и DFIR подключаются на абсолютно разных этапах, поэтому видят инцидент совсем по-разному. Респондеры, как правило, заходят, когда последствия инцидента (это нередко уже тактика Ущерб) налицо, а задача MDR как раз не допустить ущерба, отработать ранее, т.е. сделать так, чтобы команде DFIR не надо было подключаться.

Замечу, что кое-какие философско-стратегические идеи, из разряда - "не хочешь стать героем отчета DFIR - стань героем отчета MDR!", все-таки можно извлечь из анализа отчетов, может, когда-нибудь об этом тоже напишу. А пока, приятного чтения отчетов!

#MDR

Трудно не согласиться с доводами Саши.
Ну что ж поделать...

Все более-менее объемные (когда написание занимает более 30 мин) мысли я публикую в Дзен. Старые публикации доступны еще на blogspot, также там можно встретить мысли моих бывших коллег и друзей - Игоря и Амирана.

С пропаданием Телеги, видимо, будем на связи в Дзен.
Не потеряемся!

#РФ #мир

MS в январе выпустило исследование Lessons from Red Teaming 100 Generative AI Products - блог, документ.

За вычетом маркетинга, что они такие молодцы, что одними из первых, аж с 2018, начали заниматься безопасностью ИИ, и что безопасность - основной принцип их ИИ-решений, в очередной раз муссировалась идея, что ИИ - как и любая новая технология, расширяет поверхность атаки - это мы уже обсуждали здесь, вместе с "Зенитными кодексами Аль-Эфесби"

В блоге выделены 3 важные идеи, но все 8 заслуживают внимания.

1. Understand what the system can do and where it is applied - когда исследуем безопасность ИИ-системы, надо разобраться в сценариях ее использования.

2. You don’t have to compute gradients to break an AI system - ИИ-пентестеры это промпт-инженеры. Почему-то вспомнились темы манипуляций и ведения переговоров (даю ссылки на неплохие, я бы сказал, базовые, книжки по этим темам, рекомендую к прочтению), только, очевидно, с машиной договориться проще, чем с человеком, иначе тест Тьюринга не работал бы 😁

3. AI red teaming is not safety benchmarking - бенчмаркинг не очень хорошо работает в случае с ИИ (хотя, наличие бенчмаркингов все равно лучше, чем их отсутствие), т.е. какого-то перечня проверок, прохождение которых будет давать уверенность в том, что моя ИИ - безопасна, не может быть, так как теоретически можно найти бесконечное количество уязвимостей - этим и занимаются ИИ-пентестеры, для этого им и надо понимать сценарии использования, чтобы хоть как-то сузить область исследований. Хотя, таким же динозаврам бумажной ИБ, как и я сам, известен основной принцип безопасности - принцип минимума полномочий\функционала, т.е. все что не используется должно быть выключено - ИИ, ввиду своей универсальности, этому принципу не соответствует

4. Automation can help cover more of the risk landscape - поскольку у нас бесконечная (ну, или очень большая) поверхность атаки, очевидно, автоматизации поможет выявить больше уязвимостей

5. The human element of AI red teaming is crucial - никто не сравнится с Человеком в умении обманывать\манипулировать\разводить\эффективно вести переговоры с ИИ

6. Responsible AI harms are pervasive but difficult to measure - очень сложно как-либо оценить безопасность ИИ (рассматриваем RAI), поскольку, ввиду вероятностности работы, нередки ситуации, когда ИИ выдает вредоносный ответ на безобидный запрос (запрос без злого умысла)

7. LLMs amplify existing security risks and introduce new ones - здесь все понятно: новая функциональность -> новые вектора атак -> новые риски

8. The work of securing AI systems will never be complete - выше уже писал, что поверхность атаки сложно оценить, а то, что нельзя инвентаризировать, невозможно защитить, поэтому эти Авгиевы конюшни нам не вычистить никогда, об этом тоже писал

#ml #книги

Мой коллега и друг, Доменико, прекрасный аналитик SOC, исключительный профессионал, для кого работа в операционке - не только рутина, но и возможность поисследовать интересные атаки, коих немало, действительно, каждый видит мир ровно так, как желает его видеть, сегодня стартовал серию статей по мотивом реальных инцидентов MDR.

Сегодня вышла первая статья

#MDR

В блоге Бизона увидел ссылку на прекрасную статью Виталия Моргунова о EDR. Мне статья очень понравилась, да и Виталий - замечательный эксперт, чьи публикации нечасты, но их крайне полезно просматривать, а экспертиза Бизона не вызывает сомнений - это замечательная компания, одна из немногих на нашем рынке, которой на месте заказчика я бы доверился (после ЛК, конечно же 😁 ).

Но как раз потому, что мне далеко небезразлично что пишет Бизон вообще и Виталий в частности, позволю себе не согласиться с идеей выделения EDR из состава EPP, так как это, на мой взгляд, формирует некорректное понимание рынка решений по безопасности как потребителями, так и производителями. Поток сознания на эту тему я изложил в небольшой статье.

Я не претендую на истину и никого ни в чем не убеждаю, просто делюсь собственным мнением - это относится ко всем моим публикациям.

#MDR

На прошлой неделе вышел отчет по статистикам работы MDR в 2024. Как отмечал, не все наблюдения получается вместить в отчет, поэтому позволю себе ряд заметок по отсутствующим в отчете интересным статистикам. Сегодня поговорим про типы High severity инцидентов.

Итак, мы различаем следующие типы инцидентов критичности High:
- inc_apt - целевые атаки или в общем случае любая активность, где заметно непсредственное участие человека (human driven)
- inc_apt_trace - артефакты прошлых человекоуправляемых атак, но на момент обнаружения атака не была в активной фаза
- inc_rt - тоже человекоуправляемая атака, однако, заказчик подтвердил, что активность легитимная, что это - какие-либо киберучения
- inc_sec_policy_h - обнаружена подозрительная активность, выполненная от учетных записей, для которых не оснований считать, что они были скомпрометированы
- inc_insider_impact - такая же активность, выполненная от легитимных нескомпрометированных УЗ, но заказчик явно подтвердил, что имеет место работа внутреннего злоумышленника
- inc_mw_impact - инцидент, связанный с работой ВПО без непосредственного участия человека-атакующего, но потенциальный или фактический ущерб большой
- inc_se_impact - успешная социальная инженерия с развитием, с потенциальным или фактическим большим ущербом, возможно, атрибутированная к известным целевым кампаниям
- inc_vuln_impact - обнаружение критической уязвимости, эксплуатация которой очень вероятна
- inc_dos_impact - обнаружение [D]DOS атаки с потенциальным или фактическим большим ущербом

Ежегодно мы даем статистику распределения high severity инцидентов по этим типам, обычные лидеры - inc_apt, inc_mw_impact, inc_apt_trace, inc_rt. С прошлого года была введена inc_sec_policy_h, как возможность уточнения inc_insider, который также нередко занимал значимую долю.

Но всегда интересно оглянуться назад и сравнить статистики прошлых лет, что и предлагаю в этой заметке.

21-ый год был выдающимся по количеству high severity инцидентов (14,34%) но в том же 2021 наблюдалась и наибольшая доля человекоуправляемых атак - 40,66% от общего количества критичных инцидентов (инцидентов с severity High). 2024 был не менее интересным: не смотря на малую долю high инцидентов (4,69%), процент inc_apt был наибольший за историю наблюдения с 2020 - 43,01%.

#MDR

В воскресенье выбрался в музей русского импрессионизма!

Возможно, для профессионалов, словосочетание "русский импрессионизм" покажется странным, ибо классический импрессионизм, ну конечно же, французский, но для меня, далекого от хрестоматийного искусства любителя, и любителя все обобщать, очевидны параллели, как по части сюжетов и техники исполнения, так и по части настроения, создаваемого работами (ну конечно же, это ж импрессионизм!). В небольшой статье о Передвижниках я уже отмечал очевидные элементы импрессионизма в работах Коровина и Серова, так вот, на выставке "Изображая воздух" они, и многие другие, широко известные, как Илья Репин или Василий Поленов, и не очень, как Антонина Ржевская или Николай Харитонов, раскрылись в полной мере!

Я очень надеюсь, что у меня найдется время написать небольшую статью именно о русских импрессионистах, а пока, делюсь фото картин, которые заставили меня задуматься (~ понравились).

И кое-что еще, - импрессионистов нельзя смотреть на репродукциях в альбомах, нужно именно смотреть оригинал, - только так заметны техники и приемы письма, а, вспоминая, что цель - не сюжет, а передача настроения, эти технические особенности создания картины очень важны для полноты восприятия.

#искусство

20.02 выйдет наш ежегодный отчет по результатам работы MDR в 2024 (пока на английском языке, по-русски будет попозже).

По сложившейся традиции хочется в достаточно скучную тему вдохнуть немного искусства... в общем, по части оформления мы тоже пытались креативить и очень старались. Но, не все о чем хотелось бы сказать на страницах отчета, удалось в него вместить, поэтому буду потихоньку выпускать небольшие заметки о моментах, которые мне кажутся важными.

И в сегодняшей статье я расскажу о временных параметрах, учитываемых в метриках SLA, и фактических временах по ходу работы над инцидентом. Одной из целей статьи было желание объяснить некорректность попыток сравнения представленных в отчете времен обработки инцидента и метрик SLA. В целом, мне казалось, что это очевидно, ибо наши коллеги по индустрии, да и родственное подразделение DFIR, постоянно публикуют средние dwell time, измеряемые неделями и месяцами, едва ли умещающиеся в минутные и часовые TTD (и вы напрасно думаете, что у всех, кого ломают, нет SOC с SLA), однако, вопросы о том, почему время реакции в час такое большое, и что кто-то у себя в SLA с гордостью указал 15 мин и, вроде как, его выполняет, продолжают возникать, что и послужило причиной для сегодняшней заметки.

#MDR

А да, про спер-дешевый Squier...

Мне нужна была гитара, я пришел в Музторг и, как нередко делаю, начал изучать уцененки с витрины. Выбрал Squier, который, несмотря на всю свою фанерность, звучал весьма неплохо. Играл я на нем довольно долго, пока он не рассохся и не развалился в экстремальных условия проживания на даче в зимнее время с печным отоплением, когда то ужасно жарко, то ужасно холодно, а воздух - очень сухой. О том Squier-е осталась память, вот эта запись. Squier - черная, на ней играет Андрей. У Андрея - абсолютный слух и тот факт, что из двух предложенных он выбрал именно мой черный Squier, еще одно подтверждение высокого качества его звучания, не смотря на цену.

Технически на нем играть было сложнее, что понял уже играя на Washburn-е: Squier жесткий, плохо отстраивается - либо струны далеко от грифа, либо цепляют, а гриф толще - по ощущениям, толщина грифа эквивалентна Yamaha-е.

#музыка

Я писал о Duolingo в статье про изучение иностранных языков. По моему мнению - далеко, не самое эффективное приложение для изучения, но и времени много оно не требует, и есть ряд положительных сторон, таких как:
- форсирование регулярности - приложение стимулирует и поощряет регулярность, причем чем длиннее у нас Streak, тем страшнее его потерять,
- гемификация - кое-какой есть соревновательный момент
- при прочих равных - это замечательный таймкиллер, когда кого-то ждешь, стоишь в очереди, или где-то выдалась пауза в ~10 минут.
Много где написано, что надо культивировать развитие у себя полезных привычек и бороться с вредными. Это приложение может стать неплохим тренажером для выработки у себя полезных привычек (типа как, 15 мин в день на изучение чего-то).

Наверно, вам может быть интересно, что происходит, когда все упражнения пройдены, - собственно, об этом и заметка. В моем случае, все упражнения по испанскому языку, проходя в день 1-2 упражнения (у меня была вполне скромная цель - не менее 20 очков), я закончил примерно за три года, мой текущий Streak 1443 дня, т.е. примерно столько дней я занимался без перерывов дольше чем 3 дня за 40 дней (примерно так работает заморозка).
После того, как упражнения заканчиваются Duo переходит в режим Daily refresh, когда на каждый день она подготавливает 6 новых упражнений. Каждый день - Daily refresh - это 6 упражнений, что создает иллюзию возможности бесконечно заниматься.

Однако, здесь же я заметил проблемы\недоработки:
- Daily refresh состоит не из новых упражнений, а из пройденных ранее. В целом, не исключаю, что когда-нибудь они начнут надоедать, правда, очень нескоро, так как упражнений реально много, а с обновлениями приложения появляются новые (правда, немного).
- Duo никак не анализирует мой прогресс и не подбирает для меня упражнения, например, с фокусом на мои ошибки, а можно было бы...
- ну и важное, по крайней мере для меня, - мне важно куда-то идти, важно видеть цель: когда я вижу сколько мне упражнений осталось до конца, это меня стимулирует двигаться вперед, сейчас же, с ежедневным бесконечным Daily refresh, как бы пропала цель, а вместе с ней и мотивация. Буду оживлять свой полностью потерянный немецкий....

#саморазвитие