Продолжительность 01:04:17
16+
Воспроизвести
Видео

Исследования как операционный сервис

Аудио доступно только после покупки доступа к докладу
К билетам
Файлы доступны только после покупки доступа к докладу
К билетам
Сергей Солдатов
Руководитель Центра мониторинга кибербезопасности в Лаборатория Касперского
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ ПРОФИ 2018 | Сочи
26 июля 2018, Сочи, Россия
Код ИБ ПРОФИ 2018 | Сочи
Видеозапись
Исследования как операционный сервис
Доступно
В корзине
1 200 ₽
1 200 ₽
$16
$16
€ 15
€ 15
В избранное
66
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
1 200 ₽
1 200 ₽
$16
$16
€ 15
€ 15
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

  • Сергей Солдатов
    Руководитель Центра мониторинга кибербезопасности в Лаборатория Касперского
Более 13 лет занимается бумажной и практической информационной безопасностью, умеет писать программы на C/C++, Python и Perl. Был докладчиком на некоторых технических и нетехнических конференциях, включая Hack in the Box, Positive Hack Days, ZeroNights. Имеет сертификаты CISA и CISSP. Место работы — Лаборатория Касперского. Должность — Руководитель Центра мониторинга кибербезопасности.

О докладе

В докладе будет рассказано о процессной организации операционного сервиса "Охота на угрозы". Излагаемые подходы можно легко взять на вооружение и использовать при построение собственных подразделений мониторинга и поиска угроз.

00:06 О теме доклада

01:50 О целях презентации

03:28 О двух направлениях совершенствовании при использовании SOC

03:58 Подробно о технологическом совершенствовании

06:22 MDR и MSSP: «обычные» и «продвинутые» угрозы

08:05 Об «alerting» и «hunting»

09:44 Что нужно для поиска угроз?

10:46 Об источниках угроз

12:38 Полезные ссылки на продукты

13:40 Детально об автоматизации активного поиска угроз. Опыт компании спикера

16:18 Перечень событий, полезных для анализа

16:58 Воронка обработки

19:27 Об обогащении событий EDR репутацией. Пример из практики спикера

21:45 Об обогащении EDR данными EPP

25:09 Пример комбинирования AM-детектов с поведением

25:52 Об атрибутах ACCESS TOKEN операционной системы. Как этим пользоваться?

27:23 Атрибуты файловой системы - легковесная форенсика при анализе событий. Примеры использования

31:09 Атрибуты VERSIONINFO. Пример поиска процессов из переименованных файлов

31:47 Как обнаружить эксплуатацию специальных возможностей

32:19 Альтернативный поток ZONE.IDENTIFIES

33:19 Об HTTP соединении и загрузке контента по HTTP

33:58 Анализ контента, полученного по почте

34:15 Пример экспресс-форенсики

35:03 А вас ломали «кобальты»? События операционной системы - важный источник информации

36:22 О «модных атаках»: обнаружение атак на Kerberos на основе анализа параметров билетов

37:45 «Если вы делаете события, обязательно подумайте о том, как связать их между собой»

38:07 TTP-BASED на основе «хантов» (детекторов)

38:35 Идея и свойства «ханта»

39:08 «Ханты» и техники MITRE ATT&CK. Примеры реальной атаки

43:10 Операционные исследования vs AD-HOC

43:45 Визуализация инфраструктуры анализа угроз

45:17 Схема цикла данных об угрозах

47:20 О контексте угрозы и контексте среды. Взаимодействие команд

49:23 Маршрутизация по точности

50:08 Какой бывает TI и для кого?

50:30 Цикл реагирования на инциденты в MDR

51:33 Что почитать про измерение эффективности людей: полезные ссылки

52:09 Для чего нужна «фиолетовая команда»?

53:28 Безопасность - это процесс, в основе которого лежат уникальные исследования

54:50 Вопрос: что означает термин «вердикт», который вы использовали?

56:21 Вопрос: как работает ваш сервис с точки зрения отказоустойчивости?

59:00 Вопрос: где крупные компании могут брать мощности под новые задачи?

1:00:53 Вопрос: почему, несмотря на работу вашей компании, угроз кибератак становится все больше и больше?

1:03:37 Вопрос: ваш сервис умеет blockchain?

Поделиться

мой доклад о том что современная таки требует несколько новых 00:01 подходов к их расследования и обнаружению о том что для этого нужно фреона технологии и определенные навыки и его 00:11 доклада люди которые пытаются купить это как сервис узнают такие технологии Какие навыки должны быть у поставщика услуг А если решили это делать 00:20 сами то опять же Какие технологии навыки нужны реализовать в своей команде уровень То есть ты менеджер среднего звена которой 00:30 как раз принимает решение по поводу делать эту задачу самому или найти поставщика 00:40

услуг такого такого рода я рассказывал о как раз феномене Magic Action response А как он соотносится с современным понятиям сервис 00:50 провайдера по безопасности том что это когда-то сольётся вместе И почему вообще эта ситуация сейчас есть современные угрозы они 00:59 эволюционируют и вместе с этим должны эволюционирует наши подходы к борьбе с ними про это был мой доклад 01:08 ну 01:14

Полный текст расшифровки доклада будет доступен после его покупки
Комментарии для сайта Cackle

Купить этот доклад

Доступ к докладу «Исследования как операционный сервис»
Доступно
В корзине
1 200 ₽
1 200 ₽
$16
$16
€ 15
€ 15

Видео

Доступ к записям всех докладов «Код ИБ ПРОФИ 2018 | Сочи»
Доступно
В корзине
9 900 ₽
9 900 ₽
$132
$132
€ 119
€ 119
Билет

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

26 марта 2020
Москва
6
8
иб, ибнужныпрофи, информационная безопасность, информационные технологии, ит в финансах, код иб, код иб профи, онлайн

Купить это видео

Видеозапись

Доступ к видеозаписи доклада 'Исследования как операционный сервис'
Доступно
В корзине
1 200 ₽
1 200 ₽
$16
$16
€ 15
€ 15