Серия эфиров Threat Zone. Новогодний спецвыпуск

Подводим итоги года, обсуждаем его тренды и отвечаем на вопросы о киберразведке. 00:00 — Приветствие. 01:48 — Обсуждаем, что нового и интересного команда Threat Intelligence обнаружила в деятельности кластеров активности в 2024 году. 25:24 — Отвечаем на вопросы зрителей. 25:46 — Вопросы: «Не увидел на платформе Threat Intelligence в разделе Threat Actors информацию об опаснейшем новогоднем киберпреступнике — Гринче. Какие TTPs ему характерны и работает ли он по .ru?», «Какие IoCs мониторят в резиденциях Деда Мороза?» 31:15 — Вопрос: «В этом году много говорили про различные способы построения ландшафта угроз. Используя его результаты, можно выстроить процесс разработки детектирующей логики как в молодых, так и зрелых командах. Какие знания о текущем ландшафте угроз организации могут быть эффективно интегрированы в процесс разработки контента и его приоритизации?» 33:20 — Вопрос: «Какой мем, на ваш взгляд, лучше всего описывает работу в киберразведке?» 35:45 — Вопрос: «Если бы киберугрозы были кулинарными блюдами, что бы вы подали на новогоднем столе?» 37:47 — Вопрос: «Как определить приоритетные направления поиска информации об угрозах при внедрении процесса TI?» 41:15 — Вопрос: «Где обучаться хард скиллам по направлению TI?» 42:05 — Вопрос: «Если бы вы были Гринчем, какой вектор атаки вы бы украли навсегда в канун Нового года? )» 43:12 — Вопрос: «На что нужно ориентироваться при построении ландшафта киберугроз в нынешних реалиях, где все реже встречаются целенаправленные атаки и чаще атакуют тех, до кого просто “можно дотянуться“?» 45:53 — Вопрос: «К сожалению, гиену и волка скрестить нельзя, так как гиены — кошкообразные, а волки — псовые. Как по вашей таксонометрии относиться к атакующим, которые сначала просят денег, а в случае их неполучения резко становятся политически мотивированными Threat Actor’ами?» 48:30 — Вопрос: «Если бы у вас был добровольно-принудительный выбор, то к какому из выделенных вами видов группировок (кластеру активности) вы бы присоединились и почему?» 49:27 — Вопрос: «Какие самые необычные техники в этом году видели на этапе продвижения по сети?» 51:10 — Вопрос: «Как вы считаете, если бы было сражение Деда Мороза и Санта Клауса по захвату инфраструктуры друг друга, чье волшебство (и вектора) победили бы?» 52:15 — Вопрос: «Какие тренды можете выделить на следующий год по итогам прошедшего? Какие за прошедший год были зафиксированы интересные/уникальные схемы/инструменты социальной инженерии?» 54:07 — Вопрос: «Много фишинговых писем, сгенерированных ИИ?» 56:56 — Вопрос: «Как изменилось использование ИИ и машинного обучения в атаках и защите?» 57:45 — Вопрос: «Есть ли пример кейса, где использование киберразведки помогло предотвратить значительные убытки?» 58:24 — Вопрос: «Как компании среднего и малого бизнеса могут эффективно использовать киберразведданные, учитывая ограниченные ресурсы?» 1:01:13 — Вопрос: «Подскажите, как защититься от некачественных фидов, которые поставляет внешний поставщик? Например, я загружаю фиды на мониторинг или блокировку, и в них попадает IP-адрес . Как от этого защититься? Проводить ручной анализ или включать первое время в режиме мониторинга без алерта?» 1:04:30 — Вопрос: «Планируется ли создавать бесшовную экосистему продуктов ИБ? Например, когда информация из TI грузится не только в SOC для анализа, но и в другие продукты — защита DNS, CPT и пр.?» 1:05:50 — Вопрос: «Ваш маскот — бизон. Злоумышленники — это волки, оборотни и гиены. А какой маскот, согласно вашей таксономии, вы бы присвоили своим заказчикам?» 1:06:22 — Вопрос: «Как часто злоумышленники используют опенсорсные агенты для blue team (wazuh, velociraptor и т. д.) в качестве агентов управления зараженными хостами? И какие инструменты уже были замечены в таких атаках?» 1:07:59 — Вопрос: «Поделитесь самым интересным открытием этого года лично для вас (в сфере TI, разумеется)». 1:09:09 — Вопрос: «У злоумышленников, в частности, при работе с шифровальщиками, развита схема привлечения аффилированных лиц, которые используют инструмент для шифрования, и в случае успешной атаки платят фиксированный процент от выкупа создателю шифровальщика. Внимание, вопрос: возможна ли организация подобной схемы со стороны защитников, которые будут так же заинтересованы выявлять атаки или мотивированы делиться индикаторами и т. д.?» 1:12:02 — Вопрос: «Как связать алмазную модель с последней тенденцией деления акторов на кластерную активность?» 01:13:28 — Вопрос: «Олег, подскажите, где можно взять исходники лого волков? Хочется себе на рабочий стол». 1:13:55 — Вопрос: «Какие атаки этого года можно описать как эффект бабочки, когда маленькое действие приводит к большим последствиям?» 1:15:20 — Выбираем лучшие вопросы. 1:21:29 — Бонус: выбираем лучшие вопросы среди тех, которые не успели задать.