-
Video
-
Audio
-
Files
-
Table of contents
-
Video
-
Audio
-
Files

- Description
- Transcript
- Discussion
About the talk
В докладе будет рассказано о процессной организации операционного сервиса "Охота на угрозы". Излагаемые подходы можно легко взять на вооружение и использовать при построение собственных подразделений мониторинга и поиска угроз.
00:06 О теме доклада
01:50 О целях презентации
03:28 О двух направлениях совершенствовании при использовании SOC
03:58 Подробно о технологическом совершенствовании
06:22 MDR и MSSP: «обычные» и «продвинутые» угрозы
08:05 Об «alerting» и «hunting»
09:44 Что нужно для поиска угроз?
10:46 Об источниках угроз
12:38 Полезные ссылки на продукты
13:40 Детально об автоматизации активного поиска угроз. Опыт компании спикера
16:18 Перечень событий, полезных для анализа
16:58 Воронка обработки
19:27 Об обогащении событий EDR репутацией. Пример из практики спикера
21:45 Об обогащении EDR данными EPP
25:09 Пример комбинирования AM-детектов с поведением
25:52 Об атрибутах ACCESS TOKEN операционной системы. Как этим пользоваться?
27:23 Атрибуты файловой системы - легковесная форенсика при анализе событий. Примеры использования
31:09 Атрибуты VERSIONINFO. Пример поиска процессов из переименованных файлов
31:47 Как обнаружить эксплуатацию специальных возможностей
32:19 Альтернативный поток ZONE.IDENTIFIES
33:19 Об HTTP соединении и загрузке контента по HTTP
33:58 Анализ контента, полученного по почте
34:15 Пример экспресс-форенсики
35:03 А вас ломали «кобальты»? События операционной системы - важный источник информации
36:22 О «модных атаках»: обнаружение атак на Kerberos на основе анализа параметров билетов
37:45 «Если вы делаете события, обязательно подумайте о том, как связать их между собой»
38:07 TTP-BASED на основе «хантов» (детекторов)
38:35 Идея и свойства «ханта»
39:08 «Ханты» и техники MITRE ATT&CK. Примеры реальной атаки
43:10 Операционные исследования vs AD-HOC
43:45 Визуализация инфраструктуры анализа угроз
45:17 Схема цикла данных об угрозах
47:20 О контексте угрозы и контексте среды. Взаимодействие команд
49:23 Маршрутизация по точности
50:08 Какой бывает TI и для кого?
50:30 Цикл реагирования на инциденты в MDR
51:33 Что почитать про измерение эффективности людей: полезные ссылки
52:09 Для чего нужна «фиолетовая команда»?
53:28 Безопасность - это процесс, в основе которого лежат уникальные исследования
54:50 Вопрос: что означает термин «вердикт», который вы использовали?
56:21 Вопрос: как работает ваш сервис с точки зрения отказоустойчивости?
59:00 Вопрос: где крупные компании могут брать мощности под новые задачи?
1:00:53 Вопрос: почему, несмотря на работу вашей компании, угроз кибератак становится все больше и больше?
1:03:37 Вопрос: ваш сервис умеет blockchain?
About speaker
Более 13 лет занимается бумажной и практической информационной безопасностью, умеет писать программы на C/C++, Python и Perl. Был докладчиком на некоторых технических и нетехнических конференциях, включая Hack in the Box, Positive Hack Days, ZeroNights. Имеет сертификаты CISA и CISSP. Место работы — Лаборатория Касперского. Должность — Руководитель Центра мониторинга кибербезопасности.
View the profileмой доклад о том что современная таки требует несколько новых подходов к их расследования и обнаружению о том что для этого нужно фреона технологии и определенные навыки и его доклада люди которые пытаются купить это как сервис узнают такие технологии Какие навыки должны быть у поставщика услуг А если решили это делать сами то опять же Какие технологии навыки нужны реализовать в своей команде уровень То есть ты менеджер среднего звена которой как раз принимает решение по поводу делать эту задачу самому или найти поставщика
услуг такого такого рода я рассказывал о как раз феномене Magic Action response А как он соотносится с современным понятиям сервис провайдера по безопасности том что это когда-то сольётся вместе И почему вообще эта ситуация сейчас есть современные угрозы они эволюционируют и вместе с этим должны эволюционирует наши подходы к борьбе с ними про это был мой доклад ну