Перейти к содержанию

Как понять, что вам пора покупать XDR | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Есть такое когнитивное искажение «отклонение в сторону статус-кво». Оно про то, что нам всем не нравятся перемены, поскольку «ущерб от потери статус-кво воспринимается как больший, чем потенциальная выгода». А еще есть эффект владения, когда человек больше ценит вещи, которыми уже владеет, а не те, которыми может овладеть. И еще 13 разных искажений, которые заставляют нас предпочитать то, во что уже вложены время и усилия.

К чему это я и при чем тут XDR? А я это к тому, что мы не особо любим новое. И хотя вроде бы при принятии решений об использовании того или иного нового ИБ-продукта мы хорошенько все обдумываем и взвешиваем, причем не в одиночку, в конечном итоге все равно решение принимают люди.

Как правило, если рынок начинает активно обсуждать какую-то новую систему, то реальную ее полезность пользователи признают только через пару-тройку лет. И это в лучшем случае. Есть еще вариант, когда система вообще не проходит это испытание и либо плавно сливается с существующим классом решений, либо вовсе исчезает.

Сейчас новым кандидатом, проходящим тест на полезность, стал XDR. И в данном случае под XDR я буду подразумевать платформу, в состав которой входит как минимум EDR, NTA, TI, SIEM и SOAR/IRP. То есть защита сети и конечных точек, система мониторинга и автоматизации реагирования (плейбуки разной степени вложенности и вот это все).

И, возможно, наша нелюбовь к изменениям — это очень даже неплохо. Как будто бы это поможет нам подготовиться и выжать из XDR максимум пользы. Мы же помним, что в стратегиях MITRE есть одна из заповедей, которая говорит, что надо обязательно «максимизировать пользу от закупленных технологий». Да и вообще, вдруг нам не нужен XDR? Как понять, стоит ли отдать много денег вендору?

Как понять, не пора ли купить XDR?

На мой взгляд, существует достаточно четкий критерий: XDR должен автоматизировать уже существующие процессы и механизмы, а не становиться новым продуктом в SOC. Ну в крайнем случае — автоматизировать процессы и механизмы, о которых сотрудники SOC уже задумались и реализацию которых запланировали. Потому что если автоматизировать бардак — получится просто автоматизированный бардак. А хотелось бы получить процесс управления информационной безопасностью.

Получается, если мы хотим использовать XDR — нам надо сначала выстроить все процессы. От выявления до реагирования. Давайте посмотрим, что тут можно сделать своими руками, без волшебной «XDR-коробки» от вендора. А потом подумаем, в каком случае она все-таки может нам пригодиться.

Если посмотреть на классические определения SOC, то вы увидите, что это либо исключительно команда аналитиков, либо совокупность людей, процессов и только в последнюю очередь — технологий.

Поэтому первым делом нужно выстраивать процессы в общечеловеческом понимании: определить, что в целом происходит в инфраструктуре, кто за что отвечает и кто поможет решить какие проблемы в случае чего. И тут особо не помогут никакая автоматизация и никакие инструменты: придется что-то придумывать самостоятельно. Ну или списать готовое, это тоже хороший вариант — не зря же методологи пишут тонны всевозможных документов про лучшие практики.

 

Посмотреть статью полностью

Umnik

Umnik

Опубликовано
Опубликовано

Я не знаю, что такое XDR. Честно не знаю. Решил почитать статью и... Редакторы, делайте вычитывание, пожалуйста.

 

Quote

«ущерб от потери статус-кво воспринимается как больший, чем потенциальная выгода»

Цитата из Википедии и она не полная. Эта цитата создаёт ощущение у читателя, что суть с самом статусе. Но нет, полная цитата из Вики не оставляет двоякости восприятия:

Quote

ущерб от потери статус-кво воспринимается как больший, чем потенциальная выгода при его смене на альтернативный вариант

Только второе предложение и уже лажа. Впрочем, в вики описание тоже такое себе. Я часто решаю сохранять как есть в разных вопросах, потому что выработанные стратегии эффективны, а изменение не бесплатное. Потенциальная выгода может быть, а может не быть. Если же стратегия не эффективная, то без проблем можно менять. Разумеется, частный пример не считается, но просто такого объяснения в вики не было (или я не увидел), что ставит статью под сомнение. И, как итог, эту статью, которая использует цитирование из Вики. А, и кстати, тоже интересное замечание. Приведённая цитата в Вики была взята из источника, которого более не существует. Других ссылок нет. То есть вот эта статья про XDR (я ещё не знаю, что это) начинается с НЕПРАВИЛЬНОЙ цитаты того, что даже уже проверить нельзя. Источник удалён. Единственный источник.

 

 

 

Quote

человек больше ценит вещи, которыми уже владеет, а не те, которыми может овладеть

Снова из википедии цитата. Полез проверять, там так и написано. А я сижу и не понимаю, а как может иначе то быть? У меня ЕСТЬ вещь и я её ЦЕНЮ. У меня НЕТ вещи и как тогда я могу её ценить? Но внизу этот статьи есть всего одно вот такое предложение:

Quote

Они провели более надежный эксперимент с теми же товарами, используемыми Канеманом, Кнетчем и Талером[5] (шоколадные батончики и кружки) и этот эффект не подтвердился.

Кажется, это то, с чего вообще стоило начинать. Есть мнение, что человек выше цени то, чем владеет, чем то, чем не владеет. Своя рубашка ближе к телу, лучше синица в руке и всё такое. Тоже мне, феномен. Так ещё потом оказывается, что тут не всё так просто, а значит этот "феномен" (такой феномен, что все знают, что поговорки про это столетия уже) выбросить можно.

 

1 hour ago, KL FC Bot said:

И еще 13 разных искажений, которые заставляют нас предпочитать то, во что уже вложены время и усилия

Все остальные такие же не пришей кобыле хвост?

 

Quote

Сейчас новым кандидатом, проходящим тест на полезность, стал XDR. И в данном случае под XDR я буду подразумевать платформу, в состав которой входит как минимум EDR, NTA, TI, SIEM и SOAR/IRP. То есть защита сети и конечных точек, система мониторинга и автоматизации реагирования (плейбуки разной степени вложенности и вот это все).

Да что это такое?! Чем это отличается от уже существующих систем, которые под капотом грепают логи и рисует графики для бездельников на экране?

 

Quote

Но очень велик шанс, что нам никто не разрешит просто так взять и заблокировать что-то где-то — это потребует согласования.

Не имеет отношения к делу. Это вопрос организации работы. Тут вообще никакое решение, кроме антивируса не требуется:

  1. Антивирус обнаруживает проблему
  2. Сообщает на сервер администрирования об инциденте
  3. Сервер переводит его в карантинную подсеть. Туда можно добраться для пролечивания и проверок удалённых, но нельзя добраться до других узлов. Просто изолированная подсеть

Не вижу здесь никаких проблем. Проблема может быть, если бы это был компьютер, который нельзя изолировать от сети. Но опять же, это организационный вопрос. Сели, репу почесали, как делать в том или ином случае и создали правила. Весь мир так живёт, тонны оффлайн событий так работают: вот тебе правила на снегопад, вот на наводнение, вот на прорыв канализации, вот на отключение электроэнергии и так далее. И только бедные айтишнички не знают, что проработать поведение можно заранее? Нужно купить какое-то решение, которое обяжет тебя проработать события?

 

Quote

И что с этим всем будет, если я захочу уехать после всей этой настройки отдохнуть, а в процессе согласования что-то изменится? А если захочу переехать в теплые страны и больше никогда не работать? Есть ощущение, что ничего хорошего не выйдет.

Звучит так, будто у тебя очень низкий фактор автобуса. И это плохо говорит о менеджменте. Какие решения не покупай, с какими бы сказочными правилами они не были, низкий фактор автобуса будет означать, что решениями нельзя будет пользоваться по назначению. Деньги на ветер.

 

Quote

Просто потому, что ценный человеческий ресурс лучше не тратить там, где рутинную работу заменяет правило корреляции или плейбук.

  1. Ценность ресурса, созданная низким фактором автобуса — это ложная ценность
  2. Что такое плейбук?
  3. Так что такое XDR? Грепалка логов, рисующая графики в браузере?

image.png.5d0b9ef7c2a989d3eaf6a7fa4acd0df8.png

Честно, я себя тупым чувствую.

kmscom

kmscom

Опубликовано
Опубликовано
56 минут назад, Umnik сказал:

Я не знаю, что такое XDR. Честно не знаю.

https://encyclopedia.kaspersky.ru/glossary/xdr-extended-detection-and-response/
и это не тоже самое 
https://ru.wikipedia.org/wiki/External_Data_Representation
хотя я не понял, про какую именно статью речь, цитату из которой вы привели

58 минут назад, Umnik сказал:

Цитата из Википедии и она не полная

я цитату не нашел. Поиск производился среди статей на русском языке
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Секс-шантаж с использованием ИИ: новая угроза приватности | Блог Касперского
      Автор KL FC Bot
      В 2025 году исследователи кибербезопасности обнаружили несколько открытых баз данных различных ИИ-инструментов для генерации изображений. Уже этот факт заставляет задуматься о том, насколько ИИ-стартапы заботятся о приватности и безопасности данных своих пользователей. Но куда большую тревогу вызывает характер контента в этих базах.
      Большое количество сгенерированных картинок в этих базах данных — изображения женщин в белье или вовсе обнаженных. Часть из них явно была создана на основе детских фотографий или же предполагала омоложение и оголение взрослых женщин. И наконец, самое неприятное. Некоторые порнографические изображения были сгенерированы на основе совершенно невинных фотографий настоящих людей, вероятно, взятых из соцсетей.
      Сегодня поговорим о том, что такое секс-шантаж и почему из-за ИИ-инструментов его жертвой может стать любой, опишем содержание обнаруженных открытых баз данных, а также дадим советы, как не стать жертвой секс-шантажа в эпоху ИИ.
      Что такое секс-шантаж
      Секс-шантаж в эпоху Интернета превратился в настолько распространенное явление, что даже обрел в мире собственное название – sextortion (сочетание слов sex и extortion – вымогательство). Разные его виды мы уже подробно рассматривали в посте Пятьдесят оттенков секс-шантажа. Напомним, что при этой разновидности шантажа жертву запугивают публикацией интимных изображений или видео, чтобы заставить выполнить какие-то действия или выманить деньги.
      Ранее жертвами секс-шантажа обычно становились работницы индустрии для взрослых или женщины, поделившиеся интимным контентом с ненадежным человеком.
      Однако активное развитие искусственного интеллекта и особенно технологии преобразования текста в изображения (text-to-image) коренным образом изменило ситуацию. Теперь жертвой секс-шантажа может стать буквально любой человек, выложивший в публичный доступ свои самые невинные фотографии. Все дело в том, что генеративный ИИ дает возможность быстро, легко и достаточно правдоподобно «оголить» людей на любых цифровых изображениях или за несколько секунд подставить к голове человека сгенерированное обнаженное тело.
       
      View the full article
    • KL FC Bot
      Кража денег при помощи прямой и обратной ретрансляции NFC | Блог Касперского
      Автор KL FC Bot
      Благодаря удобству технологии NFC и оплаты смартфоном, в наши дни многие вообще перестали носить кошелек и не могут вспомнить ПИН-код от банковской карты. Все карты «живут» в платежном приложении, оплатить которым покупку быстрее и проще, чем доставать физическую карту. Мобильные платежи еще и безопасны — технология разрабатывалась относительно недавно и предусматривает многочисленные защитные меры от мошенничества. Тем не менее злоумышленники изобрели несколько вариантов злоупотребления NFC для кражи денег с ваших карточек. К счастью, для защиты своих средств достаточно знать об этих трюках и избегать опасных сценариев пользования NFC.
      Что такое ретрансляция NFC и NFCGate
      Ретрансляция NFC — это техника, при которой данные, бесконтактно передаваемые между источником (например, банковской картой) и приемником (например, платежным терминалом), перехватываются на одном промежуточном устройстве и в реальном времени передаются на другое. Приложение для ретрансляции устанавливается на два смартфона, связанных через Интернет. Карту прикладывают к первому смартфону, а второй смартфон подносят к считывателю в терминале или банкомате — и с их стороны все выглядит так, будто рядом находится настоящая карта, хотя физически она может быть в другом городе или даже стране.
       
      View the full article
    • KL FC Bot
      Основные сценарии атак с подделкой сайта и бренда организации
      Автор KL FC Bot
      Подделка бренда, веб-сайта и рассылок компании стала распространенной техникой злоумышленников, продолжающей набирать популярность. Всемирная организация интеллектуальной собственности (WIPO) отмечает значительный рост подобных инцидентов в 2025 году. Хотя чаще всего жертвами имперсонации становятся технологические компании и потребительские бренды, в целом этой угрозе подвержены все индустрии и во всех странах — отличается только способ, которым самозванцы эксплуатируют подделку. На практике встречаются следующие сценарии атаки:
      клиентов и покупателей бренда заманивают на поддельный сайт и выманивают реквизиты доступа в настоящий онлайн-магазин фирмы либо платежные данные для прямой кражи средств; сотрудников и партнеров компании заманивают на фальшивую страницу входа в корпоративные порталы, чтобы получить легитимные учетные данные для проникновения в сеть организации; клиентов и покупателей побуждают связаться с мошенниками под разными предлогами: получение техподдержки, возврат ошибочного платежа, участие в опросе с призами, получение компенсации за те или иные публично известные события, связанные с брендом. Далее у жертвы пытаются украсть побольше денег; партнеров и сотрудников компании заманивают на специально созданные страницы, имитирующие внутренние системы фирмы, чтобы получить одобрение платежа или перенаправить легитимный платеж мошенникам; клиентам, партнерам и сотрудникам предлагают скачать на фальшивом сайте компании вредоносное ПО, чаще всего инфостилер, замаскированный под корпоративные приложения. За словами «заманивают» и «предлагают» скрывается широкий спектр тактик: почтовые рассылки, сообщения в мессенджерах и посты в соцсетях, напоминающие официальную рекламу, сайты-двойники, продвигаемые в поисковых системах инструментами SEO и даже платной рекламой.
       
      View the full article
    • KL FC Bot
      Инфостилер с маскировкой активности | Блог Касперского
      Автор KL FC Bot
      Наши эксперты обнаружили очередную волну рассылки вредоносных писем на адреса российских коммерческих организаций. Цель атаки — установка на компьютеры жертв инфостилера. Особенно любопытна эта атака тем, что в этот раз злоумышленники потратили определенные усилия для маскировки своей активности под коммуникацию с известным сайтом и работу легитимного ПО.
      Начало атаки
      Злоумышленники рассылают письмо с вредоносным вложением, замаскированным под обычный документ в формате PDF. На самом деле файл является исполняемым, просто его иконка заменена на иконку PDF, поэтому при двойном клике по файлу запускается цепочка заражения компьютера жертвы. В исследованной нами рассылке у вредоносных файлов были имена «УВЕДОМЛЕНИЕ о возбуждении исполнительного производства» и «Дополнительные выплаты», однако нельзя исключать, что злоумышленники используют и другие названия для того, чтобы убедить жертву кликнуть на файл.
      По факту, замаскированный под документ вредоносный файл является загрузчиком, собранным при помощи фреймворка .NET. Он скачивает другой загрузчик, устанавливаемый в системе в качестве службы, для закрепления на машине жертвы. Тот, в свою очередь, получает с командного сервера строчку в формате JSON с зашифрованными файлами, которые затем сохраняются на атакованном компьютере в папку C:\ProgramData\Microsoft Diagnostic\Tasks, а затем один за другим исполняются.
      Пример ответа от сервера
      Ключевая особенность такого метода доставки файлов на компьютер жертвы заключается в том, что злоумышленники могут возвращать с командного сервера абсолютно любую вредоносную нагрузку, которую загрузчик послушно скачивает и исполняет. В настоящий момент злоумышленники используют в качестве конечной нагрузки инфостилер, но потенциально эта атака может быть использована и для доставки более опасных угроз — шифровальщиков, вайперов или инструментов для более глубокого распространения в инфраструктуре жертвы.
       
      View the full article
    • KL FC Bot
      Новые законы и тенденции кибербезопасности в 2026 году | Блог Касперского
      Автор KL FC Bot
      Прошедший 2025 год серьезно изменил то, куда и как мы получаем доступ в Сети. Радикальные законодательные инициативы, появление ИИ-ассистентов и защита сайтов от ИИ-ботов перестраивают Интернет на наших глазах. Что нужно знать об этих изменениях и какие знания и привычки взять с собой в 2026 год? По традиции опишем это в виде восьми новогодних обещаний. Что обещаем себе в 2026?
      Изучить новые законы своего региона
      Минувший год был богат на законодательные инициативы, значительно меняющие правила пользования Сетью для обычных людей. За последнее время законодатели различных стран:
      запретили соцсети подросткам; ввели строгую проверку возраста, например по удостоверению личности, при посещении тех или иных категорий сайтов; потребовали получать явное родительское согласие на доступ несовершеннолетних ко многим онлайн-сервисам; применяли разные формы давления, включая блокировки и судебные иски к онлайн-платформам, не соблюдающим уже принятые законы о защите детей — наиболее яркая ситуация здесь у Roblox. Почитайте новости на сайтах, подающих их спокойно и не сенсационно, изучите комментарии юристов. Надо понять, какие обязательства ложатся на вас, а если у вас есть несовершеннолетние дети — что меняется для них.
      Возможно, с детьми предстоят трудные разговоры о новых правилах пользования соцсетями или играми. Важно, чтобы подростковый протест не привел детей к опасным ошибкам, таким как установка вредоносного ПО, замаскированного под «мод обхода ограничений», или уход в мелкие и никем не модерируемые соцсети. Подстраховать подрастающее поколение поможет надежная защита их компьютеров и смартфонов вместе с инструментами родительского контроля.
      Но дело не сводится к простому соблюдению законов. Почти наверняка вы столкнетесь с негативными побочными эффектами, которые законодатели не предусмотрели.
       
      View the full article
×
×
  • Создать...