Солдатов в Телеграм Telegram 帖子

В СССР были замечательные хард-рок команды, о которых, к сожалению, почти никто и не помнит. Одной из таких групп является - Стелла. Группа была создана в 1988 году из проекта "Иск" – дуэта, в который входили вокалист Александр Кирсанов и басист Владимир Ширяев. Директором и художественным руководителем коллектива стал Валерий Иванов.

В 1989 году, уже 35 лет назад, у ребят вышел второй, и самый успешный их альбом, "Лихорадка". Однако, после этого альбома как-то раширить свою популярность группе не удалось, не помогли даже поздние эксперементы с попсой.

Группа попыталась возродиться в 2010 году усилиями автора всех песен и вокалиста Александра Кирсанова и продюсера Валерия Иванова, но широкой известности снова не приобрела.

20 июля 2021 года Валерий Иванов скончался от последствий COVID-19, 15 октября 2023 года умер Александр Кирсанов, а вместе с ними и окончательно ушла в историю группа Стелла.

"Мост нашей встречи" - вещь с альбома "Лихорадка", наверно, самая известная, на нее даже есть клип. Клип невольно вызывает улыбку, так как вспоминаются и Bon Jovi (и по части картинки, и по части звучания), и Helloween, и Skid Row, и много кто еще. Я эту песню услышал на сборнике русского рока, когда учился в институте и, как это водится с понравившимися вещами, разучил и иногда пою до сих пор.

Предлагаемая запись, как и все остальные, записанные дома на мобильный телефон, очевидно, не идеальна, однако, здесь, кроме всего прочего, есть ощущение, что я и не совсем правильно ее подобрал, тогда, будучи студентом, в 1997-м. Будем считать, что это мое индивидуальное исполнение.

#музыка

Непригодность нейросетей для решения задач нередко объясняется нашим "неумением их готовить". Поясню. У нас есть экспериментальный Волшебник Мерлин, который подсказывает аналитикам на что обратить внимание при расследовании алертов. О нем я упоминал в презентации на слайде 15. В качестве Подсказчика Мерлина используется обычная, не расширенная никакими RAG-ами и фью-шотами, развернутая в корпоративной инфраструктуре, LLM, в нашем случае - LLaMA. В ходе экспериментов было замечено, что если в Мерлина подать необработанный JSON алерта, то результат будет неудовлетворительным, однако, если JSON алерта переписать текстом, то результат будет вполне приемлемым. В нашем случае алерт - это совокупность событий, а каждому событию несложно поставить в соответствие его словесное описание (для этого не требуется никакой машобуч, там биективное соответствие)

Я уже писал о том, что конволюционные (по-русски, можно встретить термин "сверточные") нейросети (CNN), придуманные изначально для компьютерного зрения, стали пытаться применять для анализа связей в графах наряду с графовыми нейросетями (GNN).

Но вот эта публикация мне предсталяется более перспективной (абстракт, pdf). Здесь ребята извлекают фичи из образцов и преобразуют их в вид QR- и Aztec-кодов. Далее, полученные представления образца в виде QR/Aztec подают на вход CNN, классифицирующей малвару.

В целом, QR, как будто, хорошее представление входных данных для CNN, но под вопросом емкость такого представления, да и ограниченность на статистическом анализе малвары тоже не способствует универсальности метода. Но попытка засчитана!

Что ожидаю:
- повышение емкости входных данных для анализа. Если мы говорим о CNN, спроектированных для анализа изображений, то, может, кто-нибудь предложит трансформировать входные данные для анализа в изображение или видео.
- покрытие динамики. Динамика, на мой взгляд, более перспективна чем статика. Он закроет использование обфусцированной и полиморфной малвары, но, что еще более актуально, - сценарии Living-off-the-Land и поведенческое детектирование. Будем следить.

А еще, чем больше я изучаю различных прикладные применения нейросетей, невольно вспоминаю "Зенитные кодексы Аль-Эфесби" ... Нужно понимать, что новые функциональные возможности открывают новые сценарии атак.

#MDR #ml

Ребята из A1 поделились видео о прошедшем мероприятии.

Всего две минуты прекрасно передают атмосферу A1 Tech Day. По-моему, на видео можно заметить всех докладчиков, в том числе и вашего покорного слугу.

В общем, предлагаю иметь в виду эту площадку для общения за пределами РФ, а если представится возможность - увидимся в Минске!

#vCISO

Мой коллега и друг Сарим, из нашей команды SOC Consulting, 23 декабря с 17 до 18 по Москве будет рассказывать методологические основы построения функции Detection Engineering-а на основе нашей практики проектов консалтинга по построению SOC.

Live webcast: From chaos to control: streamlining detection engineering in Security Operation Centers

Увидимся на мероприятии!

(язык вебинара - английский)

#MDR #vCISO #kaspersky

В прошедшую субботу был частью арт-ужина, на сей раз обсуждали искусство Возрождения.

Как, наверно, любой человек, я люблю красоту, но, ввиду, возможно, образования и рода деятельности, не обладаю должным пониманием, которое как раз и дают подобные мероприятия. А когда понимание накладывается на ощущения, личное восприятие, это приводит к множеству размышлений. Частью из которых я поделился в новой статье Возрождение.

Как вкус приходит во время еды, так и новые знания об искусстве усиливают нашу любовь к нему. Я испытал это на себе, а что думаете вы, пишите в комментариях.

#искусство

Друзья из БИзона опубликовали презентации и фотоотчет с крайнего митапа, посвящённого облегчению работы аналитиков в SOC. Там есть много интересного для автоматизаторов и методологов.

#MDR

В ряде последних бизнес презентаций я использовал неочевидные картинки с облаками и лужами, и как обещал, в новом лонгриде публикую поясненния.

Если необходимость подъема технических уязвимостей до уровня бизнес-рисков (и проецирование бизнес-рисков на автоматизацию соответствующих БП) не очевидна или представляется сложной\ невозможной, пишите в комментариях, буду придумывать как обфусцировать (и можно ли вообще) пару реальных проектов из практики, либо придумывать синтетику в качестве иллюстрации. Но, по-моему, все очевидно, понятно, ничего сложного.

#vCISO #управление

На круглом столе присутствовал представитель АНО "Координационный центр национального домена сети Интернет", а освещаемый им вопрос - "Какие тенденции можно считать сегодня актуальными с точки зрения изменений в системах общих доменных имен как верхнего уровня, так и национального? С какими задачами сегодня сталкиваются специалисты в этой и смежных областях?"

Однако, в этой заметке хочется затронуть вопросы от представителей реального бизнеса, а их было примерно два:
1. Киберсквоттинг. Т.е. защита бренда компаний. Что делают регистраторы для того, чтобы ловкие ребята не захватывали доменные имена, релевантные крупным компаниям и не перепродавали их затем за бешеные деньги?
2. Фишинговые домены. Т.е. защита от появления доменов вредоносной направленности (по схеме тайпосквоттинга и т.п.), реализующие, например, воровство аутентификационных данных. Что делают регистраторы для того, чтобы подобные фишинговые сайты (пример, из последнего) не возникали в таком количестве, ввиду недопустимой простоты регистрации домена.

Короткий ответ на оба вопроса: регистраторы для решения проблем пп. 1-2 не дели ничего в 2001 году (мое первое место работы), ничего не делают сейчас, и не планируют. И для того, чтобы они что-то начали с этим делать, их надо обязать на уровне регулятора.

Дело здесь в том, что Регистратор - это коммерческая контора и, по большому счету, ему все равно с кого он получит свои $20 за домен, а чем больше регистрируется доменов - тем выше у него объем продаж. Поэтому, перекрывая какую-то долю потока регистрации доменов или как-то затрудняя процесс, что приведет к снижению регистраций доменов, Регистратор будет просто сокращать свои продажи, что, очевидно, экономически невыгодно. Поэтому здесь единственный инструмент - compliance, который надо потребовать со стороны госрегулятора.

Мероприятия по решению обеих обозначенных проблем (и захват доменов, и создание фишинговых сайтов) будут одинаковые, и в рамках круглого стола они были озвучены, приведу их:
0. Решить вопрос с SSL/TLS в стране, иначе проверить подлинность сайта не представляется возможным.
1. Заявления на регистрацию домена принимать только подписанными квалифицированной электронной подписью (КЭП).
2. Реализовать алгоритмы, аналогичные применяемым в услугах защиты бренда, по поиску доменных имен похожих на уже существующие. Направлять их на дополнительную проверку, как минимум. Можно даже начать с банального: если есть домен в зоне RU, при попытке регистрации такого же имени в другой зоне (SU, РФ и пр.) - уточнять, что то же юрлицо.

На мой взгляд п.1 уже будет вполне эффективным первым шагом.

Что еще можно предложить, пожалуйста, пишите в комментариях.

#РФ

Вчера, ура!, добрался до Передвижников в Третьяковке.

Эти художники и эти картины также откликаются в моей памяти, как Щелкунчик или Мастер и Маргарита. Всегда интересно вспомнить свои мысли тридцатилетней давности...

Ну, а о чем я размышлял, прогуливаясь по выставке вчера, описал в небольшой статье "Передвижники" на Дзен.
Сразу замечу, что я не разбираюсь в искусстве и, вполне возможно, некоторые моменты вижу или понимаю неправильно, я - любитель, поэтому несогласных и инициативных приглашаю в комментарии, обсудим, буду стараться не упустить свою возможность узнать и понять что-то новое.

#искусство

Наверно, это очевидно, что на КПЭ команд разработки положительно влияют выполненные ими CR/BRQ (Change Request, Business ReQurements) и негативно влияют дефекты (ошибки, bugs). Однако, даже от таких гигантов как Microsoft мы до сих пор нередко слышим, что какой-то баг - это вовсе не баг, а фича, что лишний раз подтверждает, что даже в зрелых конторах дефекты не всегда распознают как дефекты, или .... у них те же КПЭ - плюсы в карму за фичи, и минусы за баги.

Но в этом случае следует опасаться, что КПЭ сработает ровно наоборот: можно писать некачественный код с кучей багов, выявленные и зарегистрированные в трекере баги объявлять фичами, переводить их в CR-ы и получать плюсы в карму за их реализацию.

#dev #пятница