Перейти к содержанию

Как обучить специалиста по incident response | Блог Касперского


Рекомендуемые сообщения

Когда компания подвергается кибератаке или происходит утечка корпоративных данных, бизнес лихорадочно пытается решить две задачи: минимизировать ущерб и как можно скорее вернуться к нормальному рабочему процессу. При этом основная нагрузка ложится на команду по реагированию на инциденты.

От грамотности и оперативности их действий зависит не только, как быстро будет найден источник проблемы, но и насколько надежно компания будет защищена от повторения инцидента. Ведь современные киберпреступники пытаются запутать расследование и уничтожить следы своего присутствия в инфраструктуре жертвы, а без точного выявления всей цепочки атаки нельзя гарантировать надежную защиту от использования тех же вредоносных тактик в будущем.

Наши эксперты определили набор ключевых навыков, необходимых специалисту по реагированию на инциденты:

  • выявление инцидента;
  • сбор улик;
  • анализ логов;
  • анализ сетевой активности;
  • создание индикаторов компрометации;
  • исследование оперативной памяти.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В наши дни многие люди уже знают о том, что не стоить переходить по ссылкам из непроверенных источников. При этом к QR-кодам пользователи часто относятся с значительно меньшей осторожностью. Между тем сканировать неизвестный QR-код может быть даже более опасно. Ведь обычную ссылку можно проверить просто внимательно к ней присмотревшись. А вот с QR-кодами этот метод, конечно, не работает. С учетом всего выше сказанного, новости об атаке с помощью фишинговых QR-кодов в Китая не удивляет.
      Что случилось?
      Согласно этой новости неизвестные преступники распространяли фишинговые QR-коды, отсканировав которые пользователи якобы могли получить бесплатный доступ к играм. На самом деле с помощью этой уловки мошенники угоняли их аккаунты в QQ.
      QQ — это китайском медиа-платформа, которая представляет собой мессенджер и социальную сеть в одном флаконе. За пределами Китая она не слишком известна. Но внутри Поднебесной это сверхпопулярный онлайн-сервис с аудиторией в сотни миллионов активных пользователей. На QQ можно и смотреть фильмы, и читать блоги, и играть в видеоигры (последнее особенно важно в контексте этой истории). Платформа была создана китайским техногигантом Technet.
      Из-за региональной специфики мы точно не знаем, как атака началась и какое количество аккаунтов было угнано. Однако понятно, что инцидент был достаточно масштабным — Technet даже пришлось публично за него извиниться в посте в Sina Weibo, китайском аналоге Твиттера.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Период экономической нестабильности — время раздолья для различного рода мошенников. Люди в стрессе пытаются побыстрее что-то сделать с деньгами, пока они не обесценились. Один из популярных вариантов, куда же их деть, — покупка дорогостоящей электроники. Возникшим ажиотажем пользуются мошенники, которые создают поддельные версии сайтов популярных онлайн-магазинов электроники.
      Ссылки на них могут распространяться по-разному. Зачастую мошенники используют рассылки по электронной почте или в мессенджерах, а также рекламу в поисковиках, чтобы ссылки на фальшивые сайты появлялись в верхних строках выдачи по интересующим их запросам. О подобных случаях мы уже рассказывали в посте про поддельные сайты по продаже билетов в театры и на концерты. Теперь же разберем подробнее на конкретном примере, как это работает в случае онлайн-магазинов электроники.
      Неправдоподобно низкие цены
      Обычно мошенников довольно легко распознать по грамматическим ошибкам, неряшливой верстке, малому количеству информации и тому подобным признакам. Но некоторые поддельные онлайн-магазины могут выглядеть на удивление убедительно.
      Сайт очень убедительно притворяется известным онлайн-магазином электроники
      При этом технику на них предлагают по очень привлекательным ценам. В нашем случае iPhone 13 Pro в небесно-голубом цвете на поддельном сайте на момент снятия скриншотов стоил всего 80 500 рублей, в то время как на сайте настоящего магазина аналогичное устройство можно было купить за 149 880 рублей.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Недавно «Лаборатория Касперского» объявила об инвестициях в компанию «Мотив НТ», разрабатывающую собственный нейроморфный процессор «Алтай». Давайте разберемся, что же такое нейропроцессоры, чем они отличаются от обычных и почему это очень перспективное направление развития компьютерной техники.
      Компьютерный мозг
      В любом современном компьютере, планшете, смартфоне, цифровом плеере есть процессор — универсальное устройство, созданное для выполнения программ. Принципы работы традиционного процессора были заложены еще в сороковых годах прошлого века и не особо менялись: CPU считывает команды и выполняет их по очереди. Любая программа на уровне, который понятен процессору, разбита на самые простые задачи. Она состоит из команд вроде «считать из памяти», «записать в память», «сложить два числа», «умножить», «разделить» и так далее. Нюансов работы процессоров много, но для нашей сегодняшней темы важно, что процессоры долгое время могли выполнять только одну операцию за цикл работы. Этих циклов могло быть очень много — сначала сотни тысяч, потом миллионы, а теперь и миллиарды в секунду. Тем не менее до недавнего времени (до середины первого десятилетия XXI века) в типичном домашнем компьютере или ноутбуке было не более одного процессора.
      Многозадачность, или возможность выполнять одновременно несколько программ на одном процессоре, достигалась за счет распределения ресурcов: несколько циклов или тактов отдаем одной программе, потом передаем ресурсы другой, потом третьей и так далее. Когда в продажу поступили доступные по цене многоядерные процессоры, появилась и возможность более эффективно распределять ресурсы. Не только запускать разные программы на разных ядрах, но и выполнять одну программу на нескольких ядрах одновременно. Поначалу это было нелегкой задачей, многие программы еще некоторое время не были оптимизированы для многоядерных или многопроцессорных систем.
      Современные процессоры, которые доступны обычному пользователю в магазине, могут иметь 16 или даже 32 вычислительных ядра. Это внушительная цифра, но далеко не максимальная даже в обычной технике для потребителя. Так, в видеокарте Nvidia GeForce 3080Ti установлено 10 240 вычислительных ядер! Почему такая разница? Дело в том, что традиционные процессоры гораздо сложнее вычислительных ядер в видеокарте. Обычные процессоры выполняют ограниченный набор простых функций, но специализированные вычислительные модули в видеокарте еще примитивнее, они способны только на совсем уж элементарные операции. Зато они делают это быстро и особенно выгодны там, где нужно выполнять миллиарды таких операций в секунду. Как в играх, где, например, для расчета освещенности сцены нужно сделать очень много относительно простых вычислений для каждой точки в изображении.
      Несмотря на такую специфику, вычислительные устройства обычных центральных процессоров или видеокарт мало чем фундаментально отличаются друг от друга. Нейроморфные процессоры (ура, вот они!) отличаются от них радикально. Они не пытаются реализовать набор элементов для выполнения арифметических операций, последовательно или параллельно. В них исследователи делают попытку воспроизвести структуру человеческого мозга!
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Онлайн-шопинг прочно вошел в нашу повседневную жизнь: мы покупаем еду, одежду, предметы интерьера и оформляем доставку до двери чуть ли не в один клик. Те, кто привык заказывать в Интернете много и часто, вполне могут забыть о посылке или пропустить звонок от курьера. Вероятно, именно так рассуждают злоумышленники, когда в качестве приманки используют уведомления от служб доставки.
      В данном случае киберпреступники притворяются международной службой экспресс-доставки DHL, а вместо ссылки на фишинговый сайт используют QR-код. Зачем они это делают — сейчас расскажем.
      Ваша посылка прибыла на почту
      Атака начинается с письма якобы от DHL. В адресе, с которого пришло сообщение, — случайный набор слов, ничем не похожих на название международной службы доставки. Зато тело письма преступники оформили вполне убедительно: добавили логотип компании, номер заказа, пусть и ненастоящий, и предполагаемую дату получения посылки.
      В самом сообщении (в данном случае оно написано на испанском) говорится, что заказ прибыл на почту, но курьер не смог доставить его лично. Обычно после подобной «наживки» злоумышленники добавляют ссылку, по которой нужно перейти, чтобы решить вопрос. Но в этот раз они поступили иначе и вставили вместо нее QR-код.
      Письмо с QR-кодом якобы от DHL. На всякий случай мы заменили QR-код на скриншоте на безопасный
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Традиционно принято считать, что маленькие компании с небольшим уровнем дохода не очень интересны киберпреступникам. С одной стороны, действительно, потенциальной выгоды от атаки на такие организации меньше. С другой — у малого бизнеса гораздо меньшие бюджеты на защитные решения, а выделенного специалиста, занимающегося информационной безопасностью, как правило, и вовсе нет. А это значительно повышает успех возможной атаки. Но это все теоретические рассуждения. Давайте лучше посмотрим на пять реальных причин, по которым маленькая компания может оказаться жертвой кибератаки.
      Существование рынка первоначальных доступов
      Недавно наши эксперты исследовали теневой рынок первоначальных доступов к корпоративной инфраструктуре. Согласно результатам этого исследования, большая часть объявлений, размещенных в даркнете, предлагает доступ именно к небольшим компаниям. На практике это означает, что злоумышленники не будут тратить время и ресурсы на подготовку — они просто купят доступ у посредника и используют его для заражения зловредом или похищения конфиденциальной информации.
       
      View the full article
×
×
  • Создать...