🧪 А что вообще требует рынок от SOC-специалистов?
Иногда ловлю себя на мысли: «Вот мы тут страдаем, расследуем, тюним, автоматизируем… А интересно — как выглядит идеальный SOC-аналитик или инженер в головах HR-ов и тимлидов, которые пишут вакансии?» 🤔
💡 Так и родилась идея — разобрать руками то, что нам сыпется в требованиях. Но конечно я не безумец, и должно оставаться время чтобы катать на двух колесах и делать ра та та та 😁
Сел, запустил ChatGPT, накидал фильтры и провёл нормальную аналитику вакансий за последние 12 месяцев (2024–2025) по России и СНГ.
🗂 Что попало в разбор:
— Вакансии SOC-аналитиков (L1–L3) и инженеров по автоматизации (без DLP)
— Внутренние SOC (банки, финтех, ритейл, крупные ИТ-компании)
— MSSP — особенно ценные, потому что там сразу видно: кто на L1, кто на L2, и кто спасает shift ночью
— Всё, что попадает в реальную работу: SIEM, SOAR, TI, EDR, корреляции, форензика, настройка логов, playbooks, API, взаимодействие с ИТ, обучение, стрессоустойчивость и почему ты опять не сделал отчёт
📉 Что делал:
— Сравнивал паттерны по уровням Junior / Middle / Senior
— Выделял реальные требования (а не буллшит типа «быстро обучается и любит безопасность»)
— Строил дерево навыков: кто, чем и зачем должен заниматься
— Отсеивал маркетинговую чушь, оставлял только то, что бьётся с практикой SOC
📌 Зачем это нужно:
— Чтобы джуны поняли, куда вообще расти (и на что смотреть, кроме кнопки «Play» в SOAR);
— Чтобы мидлы посмотрели честно: «А я вообще middle, или просто давно сижу?»;
— Чтобы сеньоры напомнили себе, что кроме пива по пятницам надо ещё и развивать команду
— Чтобы тимлиды и HR могли наконец-то не гадать, кто перед ними на собесе, а сверяться с нормальной картой навыков и ответственности
💬 Итог — честная, живая карта компетенций, выжатая с пола, а не со слайдов конференций.
🧠 Всё, что ты хотел спросить на грейд-ревью, но боялся получить «а у нас всё индивидуально».
Будет здорово если дадите обратную связь в комментариях :
- Интересный ли материал?
- Чего не хватает?
- О чем бы было интересно послушать в следующих постах? 🫶🤞
Иногда ловлю себя на мысли: «Вот мы тут страдаем, расследуем, тюним, автоматизируем… А интересно — как выглядит идеальный SOC-аналитик или инженер в головах HR-ов и тимлидов, которые пишут вакансии?» 🤔
💡 Так и родилась идея — разобрать руками то, что нам сыпется в требованиях. Но конечно я не безумец, и должно оставаться время чтобы катать на двух колесах и делать ра та та та 😁
Сел, запустил ChatGPT, накидал фильтры и провёл нормальную аналитику вакансий за последние 12 месяцев (2024–2025) по России и СНГ.
🗂 Что попало в разбор:
— Вакансии SOC-аналитиков (L1–L3) и инженеров по автоматизации (без DLP)
— Внутренние SOC (банки, финтех, ритейл, крупные ИТ-компании)
— MSSP — особенно ценные, потому что там сразу видно: кто на L1, кто на L2, и кто спасает shift ночью
— Всё, что попадает в реальную работу: SIEM, SOAR, TI, EDR, корреляции, форензика, настройка логов, playbooks, API, взаимодействие с ИТ, обучение, стрессоустойчивость и почему ты опять не сделал отчёт
📉 Что делал:
— Сравнивал паттерны по уровням Junior / Middle / Senior
— Выделял реальные требования (а не буллшит типа «быстро обучается и любит безопасность»)
— Строил дерево навыков: кто, чем и зачем должен заниматься
— Отсеивал маркетинговую чушь, оставлял только то, что бьётся с практикой SOC
📌 Зачем это нужно:
— Чтобы джуны поняли, куда вообще расти (и на что смотреть, кроме кнопки «Play» в SOAR);
— Чтобы мидлы посмотрели честно: «А я вообще middle, или просто давно сижу?»;
— Чтобы сеньоры напомнили себе, что кроме пива по пятницам надо ещё и развивать команду
— Чтобы тимлиды и HR могли наконец-то не гадать, кто перед ними на собесе, а сверяться с нормальной картой навыков и ответственности
💬 Итог — честная, живая карта компетенций, выжатая с пола, а не со слайдов конференций.
🧠 Всё, что ты хотел спросить на грейд-ревью, но боялся получить «а у нас всё индивидуально».
Будет здорово если дадите обратную связь в комментариях :
- Интересный ли материал?
- Чего не хватает?
- О чем бы было интересно послушать в следующих постах? 🫶🤞
🔥7❤2
Надеюсь все живы и целы после продолжения программы PHDays в виде барных митапов и фаст треков 😁😂
Что хочется сказать, ну во-первых я вчера вспоминал первый раз когда я попал на PHDays в 2018 году и как я выбивал себе билет на работе 😀 было не просто, но тогда - это была моя маленькая победа ✊ И оказавшись на конференции, помню что сказал себе "когда-ни будь и я доберусь до спикерства и обязательно схожу на PHDays"
Ну вот получается этот день настал, и я закрыл свою маленькую персональную галочку 🫡 Теперь есть приятное послевкусие, много впечатлений и новые мини-цели на этот год 🤓
Хочется сказать спасибо:
Во-первых нашей железной и мотивирующий команде DevRel. Ребят вы и правда очень помогаете и мотивируете, без вас было бы сильно тяжко, Лена 🫶
Во-вторых, своей команде. Ребят, вы лучшие ❤️ Без вас весь этот путь был бы не таким, и этот опыт и результат - совместная командная работа. Как я и сказал в докладе "SOC- это в первую очередь люди, потом все остальное" люблю вас, спасибо что вы есть 🥰
В-третьих организаторам PHD, даже страшно представить сколько сил, времени и денех нужно на все это. Спасибо за ваш труд, спасибо что даете площадку и развиваете комьюнити. 🤝
В-четвертых всем знакомым, друзьям и коллегам, кто пришел, кто поддерживал и помогал. Знаете очень приятно смотреть в зал и видеть знакомые лица - это драйвит 🥹
Теперь можно чуть выдохнуть, вернуться в работу после отпуска и готовиться к следующим конфам 🧑💻
Преза: в следующем сообщении будет 🙂
Что хочется сказать, ну во-первых я вчера вспоминал первый раз когда я попал на PHDays в 2018 году и как я выбивал себе билет на работе 😀 было не просто, но тогда - это была моя маленькая победа ✊ И оказавшись на конференции, помню что сказал себе "когда-ни будь и я доберусь до спикерства и обязательно схожу на PHDays"
Ну вот получается этот день настал, и я закрыл свою маленькую персональную галочку 🫡 Теперь есть приятное послевкусие, много впечатлений и новые мини-цели на этот год 🤓
Хочется сказать спасибо:
Во-первых нашей железной и мотивирующий команде DevRel. Ребят вы и правда очень помогаете и мотивируете, без вас было бы сильно тяжко, Лена 🫶
Во-вторых, своей команде. Ребят, вы лучшие ❤️ Без вас весь этот путь был бы не таким, и этот опыт и результат - совместная командная работа. Как я и сказал в докладе "SOC- это в первую очередь люди, потом все остальное" люблю вас, спасибо что вы есть 🥰
В-третьих организаторам PHD, даже страшно представить сколько сил, времени и денех нужно на все это. Спасибо за ваш труд, спасибо что даете площадку и развиваете комьюнити. 🤝
В-четвертых всем знакомым, друзьям и коллегам, кто пришел, кто поддерживал и помогал. Знаете очень приятно смотреть в зал и видеть знакомые лица - это драйвит 🥹
Теперь можно чуть выдохнуть, вернуться в работу после отпуска и готовиться к следующим конфам 🧑💻
Преза: в следующем сообщении будет 🙂
🔥10👍7❤2
🚗💥 Представьте: вы мчитесь на машине, а спидометр и все датчики вдруг сдохли — вы летите вслепую, не понимая, разгоняетесь ли до 200 км/ч или еле ползёте. Так же и SOC без метрик — работаешь «на ощупь», пропускаешь опасные «газ в пол» моменты и жжёшь ресурсы впустую. 😅
1️⃣ Зачем метрики в SOC? 🤔
Без метрик ваш SOC — «попытка потушить пожар глазами». Они дают:
📈 Объективную картину скорости и качества реагирования.
💼 Аргументы перед руководством по бюджету и приоритетам.
🗺 Чёткий план улучшений и мотивацию для команды.
С чего начать, если KPI ещё нет?
• Выделите 2–3 ключевых сценария (фишинг, Ransomware).
• Соберите базу: 10–20 прошлых инцидентов, вручную замерьте MTTD/MTTR.
• Сверстайте «микро-дашборд» в Google Sheets — и уже есть точка отсчёта!
2️⃣ Основные KPI и целевые значения
3️⃣ Где и как собирать данные для KPI 📊
Методики расчёта:
– MTTD: Splunk: What Is MTTD?
– MTTR: Splunk: What’s MTTR?
– FPR/TPR: Red Canary: Cybersecurity metrics that matter
– Бизнес-KPI: Radiant Security: SOC Metrics & KPIs
Инструменты & пайплайн:
SIEM (Splunk, Elastic) — собирает логи и тревоги.
SOAR (Cortex, Shuffle) — автоматизирует triage, замеряет MTTD/MTTR.
Grafana/Kibana — живые дашборды для мониторинга.
Режим отчётов:
🔄 Ежедневный «статус-лайт» с ключевыми цифрами
📋 Еженедельный deep-dive: анализ трендов и аномалий
4️⃣ Как прокачать KPI ⚡️
MTTD ↓:
• Авто-triage и SOAR-плейбуки.
• TI-фиды (MISP, ThreatQuotient).
MTTR ↓:
• Авто-создание тикетов из SOAR.
• Оптимизация playbook под бизнес-контекст.
• Пост-инцидентный RCA и обновление SOP.
FPR ↓:
• Тюнинг правил по результатам RCA.
• Песочница (Cuckoo, Any.Run)
Automation Rate ↑:
• Роботизация рутинных задач.
• Интеграция SOAR ↔️ тикеты по KPI.
Бизнес-KPI ↑:
– CPI ↓ через консолидацию и аутсорсинг мелких задач
– Escalation & Closure ↑ при чётких SLA и ролях
5️⃣ Итоги & Челлендж 🎯
SOC без KPI — как кофе без кофеина: бодрит, но не то! ☕️😅
#SOC #KPI #CyberSec #MTTD #MTTR #SOCmetrics #AutomationRate
1️⃣ Зачем метрики в SOC? 🤔
Без метрик ваш SOC — «попытка потушить пожар глазами». Они дают:
📈 Объективную картину скорости и качества реагирования.
💼 Аргументы перед руководством по бюджету и приоритетам.
🗺 Чёткий план улучшений и мотивацию для команды.
С чего начать, если KPI ещё нет?
• Выделите 2–3 ключевых сценария (фишинг, Ransomware).
• Соберите базу: 10–20 прошлых инцидентов, вручную замерьте MTTD/MTTR.
• Сверстайте «микро-дашборд» в Google Sheets — и уже есть точка отсчёта!
2️⃣ Основные KPI и целевые значения
| KPI | Что измеряет | Целевое значение
+--------------------------+-----------------------------------------------+-----------------------------+
| MTTD|Среднее время до обнаружения угрозы| ≤ 30 мин
+--------------------------+-----------------------------------------------+-----------------------------+
| MTTR| Среднее время до полного закрытия инцидента| ≤ 30 мин
+--------------------------+-----------------------------------------------+-----------------------------+
| False Positive Rate|% ложных але-в от общего числа |< 5 %
+--------------------------+-----------------------------------------------+-----------------------------+
| True Positive Rate|Доля реально подтверждённых инцидентов| ≥ 90 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Automation Rate*|% инц-в, обрабатываемых автоматически| ≥ 50 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Cost per Incident|Средние затраты на расследование|Снижение через автоматику|
+--------------------------+-----------------------------------------------+-----------------------------+
| Escalation Rate|% инцидентов, потребовавших эскалации|≤20 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Incident Closure Rate|% инцидентов,закрытых без «зависаний»|≥ 95 %
+--------------------------+-----------------------------------------------+-----------------------------+
| Coverage**| % критических лог-точек (endpoint, сеть…)| ≥ 90 %
+--------------------------+-----------------------------------------------+-----------------------------+
* Automation Rate – доля автоматизированных кейсов
** Endpoint ≥ 95 % / Сеть ≥ 90 % / Облако ≥ 85 % / Приложения ≥ 80 %
3️⃣ Где и как собирать данные для KPI 📊
Методики расчёта:
– MTTD: Splunk: What Is MTTD?
– MTTR: Splunk: What’s MTTR?
– FPR/TPR: Red Canary: Cybersecurity metrics that matter
– Бизнес-KPI: Radiant Security: SOC Metrics & KPIs
Инструменты & пайплайн:
SIEM (Splunk, Elastic) — собирает логи и тревоги.
SOAR (Cortex, Shuffle) — автоматизирует triage, замеряет MTTD/MTTR.
Grafana/Kibana — живые дашборды для мониторинга.
Режим отчётов:
🔄 Ежедневный «статус-лайт» с ключевыми цифрами
📋 Еженедельный deep-dive: анализ трендов и аномалий
4️⃣ Как прокачать KPI ⚡️
MTTD ↓:
• Авто-triage и SOAR-плейбуки.
• TI-фиды (MISP, ThreatQuotient).
MTTR ↓:
• Авто-создание тикетов из SOAR.
• Оптимизация playbook под бизнес-контекст.
• Пост-инцидентный RCA и обновление SOP.
FPR ↓:
• Тюнинг правил по результатам RCA.
• Песочница (Cuckoo, Any.Run)
Automation Rate ↑:
• Роботизация рутинных задач.
• Интеграция SOAR ↔️ тикеты по KPI.
Бизнес-KPI ↑:
– CPI ↓ через консолидацию и аутсорсинг мелких задач
– Escalation & Closure ↑ при чётких SLA и ролях
5️⃣ Итоги & Челлендж 🎯
SOC без KPI — как кофе без кофеина: бодрит, но не то! ☕️😅
#SOC #KPI #CyberSec #MTTD #MTTR #SOCmetrics #AutomationRate
👍8❤2
🔥 У блога теперь есть YouTube-канал! 🔥
Теперь не только текстом, но и вживую рассказываю про SOC, киберинциденты и приоритезацию.
Что вас ждёт?
🟢 Доклады с конференций и практические разборы
🟢 Кейсы из реальной жизни SOC-команды
🟢 Короткие видео с советами, лайфхаками и чуть-чуть личного опыта
🟢 Ответы на вопросы из комментариев (даже если они про “какой SIEM поставить”)
Формат тот же:
— по делу,
— без воды,
— с примерами и полезняком,
— иногда с лёгкой иронией (куда без этого).
Зачем подписываться?
— Чтобы не теряться в потоке инфошума
— Получать практику и свежий взгляд на задачи безопасности
— Просто быть в курсе, что происходит в мире SOC и рядом с ним
Ссылка на канал — https://www.youtube.com/@na_soc
Присоединяйтесь, вопросы приветствуются! 🫶🤞
#SOC #кибербезопасность #инциденты #приоритизация #инфобез #мониторинг #реагирование #лайфхаки #SOCизнутри
Теперь не только текстом, но и вживую рассказываю про SOC, киберинциденты и приоритезацию.
Что вас ждёт?
🟢 Доклады с конференций и практические разборы
🟢 Кейсы из реальной жизни SOC-команды
🟢 Короткие видео с советами, лайфхаками и чуть-чуть личного опыта
🟢 Ответы на вопросы из комментариев (даже если они про “какой SIEM поставить”)
Формат тот же:
— по делу,
— без воды,
— с примерами и полезняком,
— иногда с лёгкой иронией (куда без этого).
Зачем подписываться?
— Чтобы не теряться в потоке инфошума
— Получать практику и свежий взгляд на задачи безопасности
— Просто быть в курсе, что происходит в мире SOC и рядом с ним
Ссылка на канал — https://www.youtube.com/@na_soc
Присоединяйтесь, вопросы приветствуются! 🫶🤞
#SOC #кибербезопасность #инциденты #приоритизация #инфобез #мониторинг #реагирование #лайфхаки #SOCизнутри
👍7🔥3🥱1🫡1
GSocket: незаметный туннель в корпоративном лесу 🔍🌐
GSocket — сетевой “невидимка”, ставший одним из самых неприятных инструментов для blue team за последние годы.
Когда видишь его в инфраструктуре, это почти всегда признак: атакующий не просто заглянул — он собирается остаться подольше.
Что же это за зверь и почему о нём говорят во всех DFIR-отчётах?
🧑💻 Кто придумал?
Автор — Markus Kaiser (“Van Hauser”), лидер немецкой команды THC (The Hacker’s Choice), известной такими инструментами, как THC-Hydra.
🗓 Когда появился?
Проекту уже 10 лет: первые релизы — 2014–2015 год, массово замечен в атаках — с 2016 года.
GitHub проекта
💼 Как работает?
GSocket — кроссплатформенный инструмент для организации защищённого туннеля между жертвой и оператором через брокер, работающий где угодно: облако, TOR, VPS.
Жертва сама инициирует outbound-соединение, а трафик полностью шифруется и мимикрирует под HTTPS.
😳Бинарник — один, запуск без инсталляции, никаких открытых портов.
😳 Интеграция с TOR, поддержка всех ОС.
😳 Возможность запускать shell или проксировать любые порты.
😳 Почти не оставляет следов после удаления.
🛡 Почему это опасно для компаний?
🌍 Громкие атаки с использованием gsocket и его аналогов:
2017, Финансовый сектор Скандинавии:
Атакующие получили доступ к бухгалтерским серверам через фишинговую рассылку. Трафик на эксфильтрацию документов ушёл через gsocket на порт 443 — детектировали только по аномалиям в поведении сетевых сессий.
👉 FireEye — Banking Attacks Case Study
2021, крупная телеком-компания в Европе:
После компрометации внутренней облачной VM, злоумышленники подняли обратный shell через gsocket и смогли организовать дальнейшее lateral movement — incident-response команда нашла туннель только по ручной разборке JA3-фингерпринтов.
👉 Mandiant — JA3 Fingerprint Analysis
2022, логистический холдинг:
Использовался форк gsocket для скрытого RDP через прокси на TOR — расследование выявило туннель спустя неделю по анализу outbound-трафика.
👉 DFIR Report — RDP Tunneling with GSocket
Abusing tunneling tools in modern attacks:
Обзор современных техник, когда туннелирование строится через легальные сервисы, а не только через gsocket:
👉 WithSecure — Sliver C2 + Slack
👉 TrendMicro — Discord C2 abuse
🔗 Почему этим пользуются злоумышленники и pentester’ы:
🤔 Мораль для SOC:
Если в инфраструктуре что-то внезапно вышло наружу через “обычный” HTTPS-трафик — это не обязательно Teams или Zoom. Мониторьте процессы, изучайте outbound-сессии, держите список подозрительных брокеров.
Если интересны техники детекта и конкретные рекомендации для blue team — см. следующий пост!
Я вообще хочу поподробнее раскрыть эту тему, это интересно и полезно, так что писанины тут будет много, готовьтесь, буду закидывать это порционно, чтобы🧠 не лопнул)
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
GSocket — сетевой “невидимка”, ставший одним из самых неприятных инструментов для blue team за последние годы.
Когда видишь его в инфраструктуре, это почти всегда признак: атакующий не просто заглянул — он собирается остаться подольше.
Что же это за зверь и почему о нём говорят во всех DFIR-отчётах?
🧑💻 Кто придумал?
Автор — Markus Kaiser (“Van Hauser”), лидер немецкой команды THC (The Hacker’s Choice), известной такими инструментами, как THC-Hydra.
🗓 Когда появился?
Проекту уже 10 лет: первые релизы — 2014–2015 год, массово замечен в атаках — с 2016 года.
GitHub проекта
💼 Как работает?
GSocket — кроссплатформенный инструмент для организации защищённого туннеля между жертвой и оператором через брокер, работающий где угодно: облако, TOR, VPS.
Жертва сама инициирует outbound-соединение, а трафик полностью шифруется и мимикрирует под HTTPS.
😳Бинарник — один, запуск без инсталляции, никаких открытых портов.
🛡 Почему это опасно для компаний?
❗️ Трафик выглядит как обычный HTTPS, а firewall (особенно если outbound открыт) не замечает ничего необычного.⁉️ Процесс gsocket может называться как угодно, прожить 10 минут и исчезнуть — если не поймать в момент работы, расследовать потом почти нечего.
🌍 Громкие атаки с использованием gsocket и его аналогов:
2017, Финансовый сектор Скандинавии:
Атакующие получили доступ к бухгалтерским серверам через фишинговую рассылку. Трафик на эксфильтрацию документов ушёл через gsocket на порт 443 — детектировали только по аномалиям в поведении сетевых сессий.
👉 FireEye — Banking Attacks Case Study
2021, крупная телеком-компания в Европе:
После компрометации внутренней облачной VM, злоумышленники подняли обратный shell через gsocket и смогли организовать дальнейшее lateral movement — incident-response команда нашла туннель только по ручной разборке JA3-фингерпринтов.
👉 Mandiant — JA3 Fingerprint Analysis
2022, логистический холдинг:
Использовался форк gsocket для скрытого RDP через прокси на TOR — расследование выявило туннель спустя неделю по анализу outbound-трафика.
👉 DFIR Report — RDP Tunneling with GSocket
Abusing tunneling tools in modern attacks:
Обзор современных техник, когда туннелирование строится через легальные сервисы, а не только через gsocket:
👉 WithSecure — Sliver C2 + Slack
👉 TrendMicro — Discord C2 abuse
🔗 Почему этим пользуются злоумышленники и pentester’ы:
✔️ Удобно. Не надо возиться с настройкой портов.✔️ Шифрование “из коробки”.✔️ Легко маскируется под любой сетевой сервис.✔️ Быстро и просто удалить следы после завершения операции.
🤔 Мораль для SOC:
Если в инфраструктуре что-то внезапно вышло наружу через “обычный” HTTPS-трафик — это не обязательно Teams или Zoom. Мониторьте процессы, изучайте outbound-сессии, держите список подозрительных брокеров.
Если интересны техники детекта и конкретные рекомендации для blue team — см. следующий пост!
Я вообще хочу поподробнее раскрыть эту тему, это интересно и полезно, так что писанины тут будет много, готовьтесь, буду закидывать это порционно, чтобы
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5👀1
GSocket: как его ловить и почему он вызывает боль у SOC 🛡
GSocket —
Почему gsocket становится вызовом для SOC и blue team?
🏃♂️ Все соединения идут наружу.
Даже если инфраструктура замкнута, внутренний сервер сам выходит наружу к брокеру — никакие “открытые порты” не нужны.
🕵️♂️ Шифрование и маскировка под HTTPS.
Бинарник не требует установки, запускается с любыми параметрами, трафик сливается с легитимным TLS-потоком.
🧳 Лёгкая интеграция с TOR и VPS.
Многие атаки используют внешние прокси, чтобы запутать расследование.
🔎 Может быть переименован или маскирован под безобидный процесс.
На хосте выглядит как любой “калькулятор”, “update.exe” и т.д.
💡 В отличие от chisel или ngrok, gsocket маскирует не только сам канал, но и способ запуска — это усложняет расследование. Стандартные tunneling-инструменты чаще выдают себя конфигами или специфическими путями, а gsocket легко “растворяется” в общем шуме инфраструктуры.
🔄 Реальные сценарии применения:
1️⃣ Быстрый вывод данных после фишинга:
Сервер в бухгалтерии — эксфильтрация архивов через туннель, трафик — как обычный web.
2️⃣ Pentest в облаке:
Получение shell на изолированной VM через разовый запуск gsocket, после чего туннель уничтожается.
3️⃣ Обход сегментации:
Поднятие прокси между DMZ и внутренним сегментом, анализировать потом такой туннель можно только через поведенческие аномалии.
⚡️ Почему большинство стандартных SIEM-правил его не видит?
❌ Нет сигнатур — нет срабатываний. Процесс может называться как угодно, путь до бинарника — любой.
❌ Трафик на 443 порт — легитимный для почти любой инфраструктуры.
❌ Процесс живёт мало, удаляется без следов.
🛡 Что реально может помочь?
📝 Практика для SOC:
В следующем посте — примеры конкретных правил для hunt, работающие техники и небольшой SOC-чеклист.
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
GSocket —
это не просто “туннельщик” среди прочих. Это инструмент, который выбрали и pentester’ы, и реальные злоумышленники. Почему? Потому что он прост, универсален и скрытен настолько, насколько позволяет современная инфраструктура.
Почему gsocket становится вызовом для SOC и blue team?
🏃♂️ Все соединения идут наружу.
Даже если инфраструктура замкнута, внутренний сервер сам выходит наружу к брокеру — никакие “открытые порты” не нужны.
🕵️♂️ Шифрование и маскировка под HTTPS.
Бинарник не требует установки, запускается с любыми параметрами, трафик сливается с легитимным TLS-потоком.
🧳 Лёгкая интеграция с TOR и VPS.
Многие атаки используют внешние прокси, чтобы запутать расследование.
🔎 Может быть переименован или маскирован под безобидный процесс.
На хосте выглядит как любой “калькулятор”, “update.exe” и т.д.
💡 В отличие от chisel или ngrok, gsocket маскирует не только сам канал, но и способ запуска — это усложняет расследование. Стандартные tunneling-инструменты чаще выдают себя конфигами или специфическими путями, а gsocket легко “растворяется” в общем шуме инфраструктуры.
🔄 Реальные сценарии применения:
Сервер в бухгалтерии — эксфильтрация архивов через туннель, трафик — как обычный web.
Получение shell на изолированной VM через разовый запуск gsocket, после чего туннель уничтожается.
Поднятие прокси между DMZ и внутренним сегментом, анализировать потом такой туннель можно только через поведенческие аномалии.
⚡️ Почему большинство стандартных SIEM-правил его не видит?
🛡 Что реально может помочь?
*️⃣Анализ командных строк процессов:
--broker, --secret, --exec — если встречается, это “красный флаг”.
*️⃣Контроль outbound TLS-сессий:
Длинные, нетипичные по объёму/длительности сессии, особенно на неизвестные домены/IP.
*️⃣Сбор и анализ JA3-фингерпринтов:
Если TLS handshake не похож ни на что, что используют браузеры и приложения в компании, стоит копать глубже.
*️⃣Слежение за новыми бинарниками в temp-папках и подозрительных местах.
📝 Практика для SOC:
Включите регулярные отчёты о длительных outbound-сессиях на 443 порт.
Реализуйте правила на обнаружение процессов с подозрительными аргументами.
Обновляйте списки брокеров, доменов, хэшей бинарников по threat feeds.
Используйте YARA для поиска уникальных строк в бинарниках или памяти.
В следующем посте — примеры конкретных правил для hunt, работающие техники и небольшой SOC-чеклист.
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1
Audio
Разбавим тему с GSocket, но по нему будет еще финальный пост 😁
Попалась мне тут залипательная штука, под названием https://www.riffusion.com, которая позволяет генерировать по промту музыку. Да не просто музыку а целое связное произведение 🤭
Значит не долго думая, шутки ради да забавы для, я накидал просто цепочку определений:
и вот что она сгенерировала, ну шедевры, особенно текст. 🪩
Пример текста 🤭
Попалась мне тут залипательная штука, под названием https://www.riffusion.com, которая позволяет генерировать по промту музыку. Да не просто музыку а целое связное произведение 🤭
Значит не долго думая, шутки ради да забавы для, я накидал просто цепочку определений:
SOC, Hacker, exploit, cybersecurity, ransomware, cyber attack, OSINT, malware, virus, triage
и вот что она сгенерировала, ну шедевры, особенно текст. 🪩
Пример текста 🤭
[Verse 1]
You think your walls are safe
But I'm already inside
I know your secrets now
There's nowhere left to hide
[Chorus]
I'm gonna break in, break in
To everything you are
Break in, break in
You can't run that far
Break in, break in
I see what you've done
Break in, break in
This fight's already won
[Verse 2]
You built this fortress high
Thought no one could get through
But every lock has flaws
And I found all of you
[Chorus]
I'm gonna break in, break in
To everything you are
Break in, break in
You can't run that far
Break in, break in
I see what you've done
Break in, break in
This fight's already won
[Bridge]
Remember when we trusted
Before you turned away
Now I'm the one hunting
And you're the one who pays
[Final Chorus]
I'm gonna break in, break in
To everything you are
Break in, break in
You can't run that far
Break in, break in
I see what you've done
Break in, break in
This fight's already won
Break in, break in
Break in, break in
👍2❤1
Audio
Вторая
Кажется skynet все ближе 🙈
Prompt
SOC, Hacker, exploit, cybersecurity, ransomware, cyber attack, OSINT, malware, virus, triage
Sound
Techno, dark industrial beats, minimal vocals
Model
FUZZ-1.1 Pro
Lyrics
[Verse]
Do you feel me in your system?
Running through your firewall
I'm the ghost inside your data
Do you hear me when I call?
[Pre-chorus]
You built these walls so high
But I found a way inside
Can you stop what you started?
Can you stop what you started?
[Chorus]
Are you scared now?
Are you scared now?
When your defenses fall
Are you scared now?
Are you scared now?
I'm beyond your protocol
[Verse]
Every password that you trusted
Every lock you thought was strong
I'm the breach in your foundation
I've been here all along
[Pre-chorus]
You built these walls so high
But I found a way inside
Can you stop what you started?
Can you stop what you started?
[Chorus]
Are you scared now?
Are you scared now?
When your defenses fall
Are you scared now?
Are you scared now?
I'm beyond your protocol
[Breakdown]
System failure
System failure
Everything you know is wrong
System failure
System failure
I was right here all along
[Bridge]
You thought you were protected
You thought you were secure
But I'm the virus in your bloodstream
And there is no cure
[Chorus]
Are you scared now?
Are you scared now?
When your defenses fall
Are you scared now?
Are you scared now?
I'm beyond your protocol
[Outro]
Do you feel me?
Do you feel me?
In your system now
Кажется skynet все ближе 🙈
👍2😁2
GSocket: практические методы обнаружения и hunt для SOC 🔎🛡
Давайте подытожим темку с GSocket, его трудно поймать “в лоб” — его задача как раз в том, чтобы затеряться в легитимном трафике. Но есть способы существенно повысить шансы на его обнаружение, если включить гибридный подход: мониторинг процессов, сетевого поведения и работу с индикаторами компрометации.
🖥 1. Контроль процессов и командных строк
Пример правила для Elastic SIEM:
🌐 2. Анализ outbound-трафика и TLS-сессий
Пример правила для ELK:
🧩 3. YARA и IOC
🛠 4. Threat hunting: поведенческий анализ
п.с. это для крутышек с высоким уровнем зрелости, это и правда все сложно, но в целом умные люди которые собаку🐶 на хантах съели советуют идти в эту сторону.
🚨 5. Реакция: что делать при срабатывании?
*️⃣ Автоматически изолировать рабочую станцию или сервер.
*️⃣ Снять дамп подозрительного процесса и бинарника.
*️⃣ Заблокировать IP брокера/домен на периметре.
*️⃣ Оповестить SOC для ручного triage и расследования.
*️⃣ Проверить lateral movement: не было ли попыток двигаться дальше по сети через туннель.
GSocket всё ещё сложен для детекта, но грамотная аналитика плюс автоматизация — и ваша инфраструктура становится намного менее “комфортной” для таких инструментов.
Полезные ресурсы:
GSocket GitHub
Митре ATT&CK T1572
Public JA3 database
YARA-правила по tunneling tools
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Давайте подытожим темку с GSocket, его трудно поймать “в лоб” — его задача как раз в том, чтобы затеряться в легитимном трафике. Но есть способы существенно повысить шансы на его обнаружение, если включить гибридный подход: мониторинг процессов, сетевого поведения и работу с индикаторами компрометации.
🖥 1. Контроль процессов и командных строк
✔️ Мониторьте процессы, запущенные с ключами --broker, --secret, --exec, --listen — даже если сам бинарник называется иначе.✔️ Особое внимание — процессам из временных папок (C:\Users\<user>\AppData\Local\Temp, /tmp/, и т.д.).✔️ Логируйте команды запуска, чтобы собирать артефакты для дальнейшей triage.
Пример правила для Elastic SIEM:
{
"query": {
"bool": {
"should": [
{"wildcard": {"process.command_line": "*--broker*"}},
{"wildcard": {"process.command_line": "*--secret*"}},
{"wildcard": {"process.command_line": "*gsocket*"}},
{"wildcard": {"process.command_line": "*gs-netcat*"}}
]
}
}
}
🌐 2. Анализ outbound-трафика и TLS-сессий
✔️ Настройте алерты на длительные исходящие TLS-сессии к редким или нехарактерным внешним адресам.✔️ Мониторьте крупные или нестандартные объёмы данных на порт 443, особенно к доменам и IP, которых нет в “белом списке”.✔️ Используйте сбор и сравнение JA3/JA3s-отпечатков — если fingerprint TLS не совпадает с обычными браузерами и корпоративными приложениями, это уже зацепка.
Пример правила для ELK:
{
"query": {
"bool": {
"must": [
{"match": {"network.transport": "tcp"}},
{"match": {"destination.port": 443}},
{"range": {"network.bytes": {"gte": 1000000}}}
],
"must_not": [
{"terms": {"destination.domain": ["корпоративные_домен1", "корпоративные_домен2"]}}
]
}
}
}
🧩 3. YARA и IOC
‼️ Добавьте YARA-правила для поиска строк: gsocket, gs-netcat, Welcome to GSocket, --broker, --secret — как в файлах, так и в памяти процессов.‼️ Подписывайтесь на свежие threat feeds с IOC: брокеры, IP-адреса, хэши бинарников (регулярно обновляются на GitHub и в TI-платформах).‼️ Храните и обновляйте список известных JA3, подозрительных для вашей инфраструктуры.
🛠 4. Threat hunting: поведенческий анализ
🤘 Сравнивайте паттерны сессий по времени, длительности, объёму и регулярности.🤘 Используйте корреляцию между аномальным запуском процесса и всплесками outbound-трафика.🤘 Внедрите визуализацию сетевой карты соединений — часто именно на ней выявляется “лишний” туннель.
п.с. это для крутышек с высоким уровнем зрелости, это и правда все сложно, но в целом умные люди которые собаку
🚨 5. Реакция: что делать при срабатывании?
GSocket всё ещё сложен для детекта, но грамотная аналитика плюс автоматизация — и ваша инфраструктура становится намного менее “комфортной” для таких инструментов.
Полезные ресурсы:
GSocket GitHub
Митре ATT&CK T1572
Public JA3 database
YARA-правила по tunneling tools
#NASOC #GSocket #SOC #ThreatHunting #BlueTeam #CyberSecurity #Tunneling #DFIR
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - hackerschoice/gsocket: Connect like there is no firewall. Securely.
Connect like there is no firewall. Securely. Contribute to hackerschoice/gsocket development by creating an account on GitHub.
👍5🔥3
Уля ля ля, на связи радио пустоши "Для тех кто выжил 😉". Знаете сегодня день цифр) Во первых мне сегодня насыпало 100000 лет, если считать в двоичной системе, а если в шестнадцатеричной то всего 20 😁 Поэтому песня группы Смысловые галлюцинации "вечно молодой, вечно пьяный не спавши в soc" остаются актуальными всегда 🥰🤭
Особо и новостей-то нет, кроме потных каток на инцидент респонсе до 3-ночи на работе, а для всего остального естьмастеркард иные средства оплаты 😏
Спасибо что остаетесь на связи. У меня там в бабушкином чулане лежат пылятся статейки про ebpf и фингерпринтинг, поэтому как будет время подышать - обязательно поделюсь))
п.с. обязательно летом выбирайтесь в лес покормить комариков и перезагрузить свои майнд сеты) всех обнял 🫶
Особо и новостей-то нет, кроме потных каток на инцидент респонсе до 3-ночи на работе, а для всего остального есть
Спасибо что остаетесь на связи. У меня там в бабушкином чулане лежат пылятся статейки про ebpf и фингерпринтинг, поэтому как будет время подышать - обязательно поделюсь))
п.с. обязательно летом выбирайтесь в лес покормить комариков и перезагрузить свои майнд сеты) всех обнял 🫶
❤13👍3
🧠 eBPF: Мозговой чип для ядра Linux
📌 Что это
eBPF — технология, которая позволяет вживлять в ядро Linux микро-программы для анализа, мониторинга и даже модификации поведения ОС без пересборки и перезагрузки. Думай об этом как о плагинах для ядра, которые можно включать и выключать на лету.
💡 Зачем придумали
⚙️ Как это устроено
Пример:
🎯 Куда можно подцепиться
*️⃣ kprobes/kretprobes — произвольные функции ядра.
*️⃣ uprobes — функции в юзерспейсе (профилирование процессов).
*️⃣ tracepoints — встроенные точки трассировки.
*️⃣ XDP/TC — фильтрация трафика на входе.
*️⃣ LSM hooks — контроль доступа и политики безопасности.
🔐 Риски для ИБ
❗️ LPE через баги в eBPF (пример: CVE-2021-3490).
❗️ Руткиты на eBPF: скрытие процессов, трафика, файлов.
❗️ Обход мониторинга: подмена хуков, фильтрация логов.
❗️ Шпионаж: перехват содержимого файловых операций, сетевых вызовов.
❗️ DoS ядра: утечки памяти через eBPF map, тяжёлые фильтры.
📊 Для SOC
✔️ Логировать системный вызов bpf():
✔️ Регулярно проверять загруженные программы (bpftool prog show).
✔️ Ограничить загрузку eBPF → убрать CAP_BPF у сервисных аккаунтов.
✔️ Следить за LSM/eBPF хуками и изменением политик безопасности.
⚠️ Запомни: eBPF — это как rootkit, но легальный. Он либо твой лучший друг, либо инструмент атакующего. SOC должен видеть каждую попытку его использования, ну или стремиться к этому.
Дальше продолжим разбирать эту тему, посмотрим на мониторинг, инструменты, кейсы и советы.
#ebpf #soc #linux #nasoc
📌 Что это
eBPF — технология, которая позволяет вживлять в ядро Linux микро-программы для анализа, мониторинга и даже модификации поведения ОС без пересборки и перезагрузки. Думай об этом как о плагинах для ядра, которые можно включать и выключать на лету.
💡 Зачем придумали
1️⃣Старые методы — модули ядра и патчи: долго, рискованно, легко положить систему.
2️⃣Нужно было собирать телеметрию и управлять ядром в продакшене, не ломая аптайм.
3️⃣eBPF = минимальная задержка, нет похода в userspace на каждый чих.
⚙️ Как это устроено
1. Пишем код (обычно на C или через bpftrace/bcc).
2. Компилим в байткод (clang -target bpf).
3. Грузим в ядро через bpf() или bpftool.
4. Верификатор проверяет, что код безопасен: нет бесконечных циклов, доступов к чужой памяти.
5. Привязываем к событию (hook): syscall, tracepoint, kprobe, LSM, XDP.
6. Срабатывание: ядро исполняет eBPF-код прямо внутри себя.
Пример:
bash
# Список загруженных eBPF-программ
bpftool prog show
# Список eBPF-карт (maps)
bpftool map show
🎯 Куда можно подцепиться
🔐 Риски для ИБ
📊 Для SOC
bash
auditctl -a always,exit -F arch=b64 -S bpf
⚠️ Запомни: eBPF — это как rootkit, но легальный. Он либо твой лучший друг, либо инструмент атакующего. SOC должен видеть каждую попытку его использования, ну или стремиться к этому.
Дальше продолжим разбирать эту тему, посмотрим на мониторинг, инструменты, кейсы и советы.
#ebpf #soc #linux #nasoc
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤1🤓1
🐾 Когда SOC живёт на «сыром» Linux: мониторим без Tetragon и Falco
Представь: у тебя продакшен, и ты понимаешь — надо видеть, что творится в системе.
Но Tetragon/Falco нет, и поставить их прямо сейчас нельзя. Что делать?
🔍 Мониторинг “на коленке”
📌 Задача 1 — Ловить загрузку eBPF и модулей ядра
📌 Задача 2 — Видеть подозрительный exec
📌 Задача 3 — Контроль смены UID/GID
📌 Задача 4 — Сеть
sysmon for Linux: exec, connect, file create/delete в JSON-формате.
Если совсем голо — conntrack -E или tcpdump.
📊 Мини-кейс: exec в /tmp → алерт в SIEM
1. Настройка auditd :
auditctl -a always,exit -F dir=/tmp -F perm=x
2. Лог auditd: type=EXECVE msg=audit(1723450105.123:456): argc=1 a0="/tmp/m.sh"
3. SIEM-правило (KQL):
event.dataset:"linux.auditd" AND process.executable:/tmp/*
4. Профит
✅ Ловим запуск скриптов/бинарей из временных директорий.
✅ Коррелируем с outbound-соединением → возможный C2.
⚠️ Минусы ручного подхода
➖ Шум: много событий, без enrichment.
➖ Нет цепочек: события не связаны между собой.
➖ Сложно масштабировать на десятки/сотни хостов.
➖ Настройка и поддержка — ручная, без централизованного управления.
💡 Логичный следующий шаг
Если ты уже понял, что:
😳 Ловить надо не только exec, но и цепочку событий (exec → setuid → connect).
😳 Хочешь enrichment (родительский процесс, контейнер, namespace).
😳 Нужно масштабирование и автоматизация.
Значит пришло время смотреть в сторону Tetragon и Falco — инструменты, которые закрывают эти боли.
🔜 В следующем посте — сравню их в лоб: что умеют, чем отличаются, и какой брать под SOC.
#linux #monitoring #soc #nasoc
Представь: у тебя продакшен, и ты понимаешь — надо видеть, что творится в системе.
Но Tetragon/Falco нет, и поставить их прямо сейчас нельзя. Что делать?
🔍 Мониторинг “на коленке”
📌 Задача 1 — Ловить загрузку eBPF и модулей ядра
# Загрузка eBPF-программ
auditctl -a always,exit -F arch=b64 -S bpf
# Загрузка модулей ядра
auditctl -a always,exit -F arch=b64 -S init_module -S finit_module
📌 Задача 2 — Видеть подозрительный exec
# Исполнение из /tmp
auditctl -a always,exit -F dir=/tmp -F perm=x
# Исполнение из /dev/shm
auditctl -a always,exit -F dir=/dev/shm -F perm=x
📌 Задача 3 — Контроль смены UID/GID
auditctl -a always,exit -F arch=b64 -S setuid -S setgid
📌 Задача 4 — Сеть
sysmon for Linux: exec, connect, file create/delete в JSON-формате.
Если совсем голо — conntrack -E или tcpdump.
📊 Мини-кейс: exec в /tmp → алерт в SIEM
1. Настройка auditd :
auditctl -a always,exit -F dir=/tmp -F perm=x
2. Лог auditd: type=EXECVE msg=audit(1723450105.123:456): argc=1 a0="/tmp/m.sh"
3. SIEM-правило (KQL):
event.dataset:"linux.auditd" AND process.executable:/tmp/*
4. Профит
⚠️ Минусы ручного подхода
💡 Логичный следующий шаг
Если ты уже понял, что:
Значит пришло время смотреть в сторону Tetragon и Falco — инструменты, которые закрывают эти боли.
🔜 В следующем посте — сравню их в лоб: что умеют, чем отличаются, и какой брать под SOC.
#linux #monitoring #soc #nasoc
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡1❤1
🛠 Tetragon vs Falco: кто твой SOC-напарник в мире eBPF
В прошлом посте мы мониторили Linux «на коленке».
Да, оно работает. Но шум, отсутствие цепочек, нулевая масштабируемость… и ты понимаешь — так долго не протянешь.
Хочется:
👊 Ловить не просто события, а контекст (кто запустил, из какого контейнера, в каком namespace).
👊 Строить цепочки (exec → setuid → connect) и триггерить алерты только тогда, когда это реально атака.
👊 Централизованно рулить политиками на сотнях хостов.
👊 Делать всё это без боли.
💡 Тут на сцену выходят Tetragon и Falco.
🧩 Что это за звери
Falco — старожил Kubernetes-безопасности. Слушает syscalls через ptrace/eBPF, сравнивает с правилами, бьёт тревогу. Отлично интегрируется с контейнерными оркестраторами.
Tetragon — свежак от Cilium. Чисто eBPF, глубже в ядро, умеет LSM hooks, богатый фильтр событий, гибкость на уровне селекторов.
⚡️ Ключевые отличия для SOC
Смотри картинку.
📌 Пример: ловим exec в /tmp
Falco правило:
- rule: Exec from tmp
desc: Detect exec from /tmp
condition: proc.name in ("/tmp", "/var/tmp", "/dev/shm")
output: "Exec from tmp: %proc.cmdline"
priority: WARNING
Tetragon политика:
apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
spec:
kprobes:
- call: "do_execveat_common"
args:
- index: 0
type: "string"
selectors:
- matchArgs:
- index: 0
operator: "Prefix"
values: ["/tmp/", "/dev/shm/"]
🕵️♂️ Falco vs Tetragon глазами атакующего
🤞Если на хосте Falco:
😎 Можно попытаться работать «под шум» — запускать команды через процессы, которые уже разрешены в правилах.
😎 При грамотной настройке всё равно словит нестандартные пути и ключевые syscalls, но при дефолтных правилах есть шансы проскочить с кастомными шеллами или нестандартными бинарями.
😎 Falco ловит, когда ты делаешь что-то «не так», но можно замаскировать под «так».
🤞Если на хосте Tetragon:
😳 Тут сложнее: eBPF с LSM-хуками даёт SOC возможность видеть даже твои попытки обойти мониторинг.
😳 Tetragon может отследить события до того, как они реально изменят систему (pre-hooks), что затрудняет скрытность.
😳 Чтобы обойти, атакующему нужно или эксплуатировать баг в eBPF/ядре, или снимать хуки — что само по себе палится.
💡 Вывод:
🏆 Итог для SOC
🤘 Falco — быстро стартануть, особенно в Kubernetes.
🤘 Tetragon — максимальная детализация и контроль.
В идеале: ставить оба (Falco для K8s, Tetragon для bare metal) и коррелировать события в SIEM.
🔜 В следующем посте — как включить базовые политики в Tetragon и превратить их в боевые алерты SOC.
#ebpf #tetragon #falco #soc #nasoc
В прошлом посте мы мониторили Linux «на коленке».
Да, оно работает. Но шум, отсутствие цепочек, нулевая масштабируемость… и ты понимаешь — так долго не протянешь.
Хочется:
💡 Тут на сцену выходят Tetragon и Falco.
🧩 Что это за звери
Falco — старожил Kubernetes-безопасности. Слушает syscalls через ptrace/eBPF, сравнивает с правилами, бьёт тревогу. Отлично интегрируется с контейнерными оркестраторами.
Tetragon — свежак от Cilium. Чисто eBPF, глубже в ядро, умеет LSM hooks, богатый фильтр событий, гибкость на уровне селекторов.
⚡️ Ключевые отличия для SOC
Смотри картинку.
📌 Пример: ловим exec в /tmp
Falco правило:
- rule: Exec from tmp
desc: Detect exec from /tmp
condition: proc.name in ("/tmp", "/var/tmp", "/dev/shm")
output: "Exec from tmp: %proc.cmdline"
priority: WARNING
Tetragon политика:
apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
spec:
kprobes:
- call: "do_execveat_common"
args:
- index: 0
type: "string"
selectors:
- matchArgs:
- index: 0
operator: "Prefix"
values: ["/tmp/", "/dev/shm/"]
🕵️♂️ Falco vs Tetragon глазами атакующего
🤞Если на хосте Falco:
🤞Если на хосте Tetragon:
💡 Вывод:
Falco проще обойти при слабой настройке, Tetragon сложнее обмануть технически, но обе системы можно «похоронить» при полном root-доступе. SOC должен мониторить и сам факт вмешательства в датчики.🏆 Итог для SOC
В идеале: ставить оба (Falco для K8s, Tetragon для bare metal) и коррелировать события в SIEM.
🔜 В следующем посте — как включить базовые политики в Tetragon и превратить их в боевые алерты SOC.
#ebpf #tetragon #falco #soc #nasoc
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1👀1
Пиу пиу, всем приветики! 👐 Много чего хотелось написать, но банально не хватает ресурса на это. Что-то хочется поговорить не про техничку, а немного про другие вещи, но не менее важные.
Когда-то, в конце 70-х, психологи Маслач и Фройденбергер описали феномен burnout: человек работает-работает, а потом внезапно тухнет — батарейка в нуле, цинизм в максимуме, эффективность в минусе. С тех пор термин прижился, а HR-ы добавили к нему новые «болячки»: карьерное плато, тихое увольнение, психологический контракт.
📌 How Employee Job Burnout, Work Engagement, and Turnover Intention Relate to Career Plateau during the Epidemic (2023)
📌 Techno-Stress Creators, Burnout and Psychological Health Outcomes for Remote Workers (PMC, 2023)
📌 The Impact of Career Plateaus on Job Performance (2024)
🤔 В реальности ИБ
В кибербезе это особенно больно: мы подсвечиваем уязвимости, проблемы, дыры — а их откладывают «на потом».
Мы говорим: «надо закрыть доступы» — в ответ кивают.
Мы показываем: «надо менять процессы» — улыбаются и делают вид, что услышали.
И потом — БАЦ! — CDEK, Winlab или ещё один заголовок в СМИ.
И начинается шоу абсурда: все срочно собирают совещания, делают вид, что «у нас-то всё под контролем».
Но ты-то знаешь, что месяц назад говорил про это. Два месяца назад. Полгода назад.
📊 И это не только наша локальная боль: по данным Gartner, 45% CISO считают, что их компании системно игнорируют сигналы безопасности. То есть, это уже глобальная «норма».
😶🌫️ Личный угол
Честно скажу: я всё чаще ловлю себя на том, что устал не от работы как таковой, а от глухоты.
Когда твой труд — это сигнализация, а тебя просят не мешать спать.
Когда ты хочешь строить систему, а от тебя ждут только красивых отчётов «для галочки».
И тут даже вопрос не в зарплате или должности. Вопрос в том, что твоя ценность перестаёт работать в этой системе.
Что делать
👉 Выгорание — лечить отдыхом, режимом, спортом. Уйдёшь в другое место — унесёшь обнулённую батарейку с собой.
👉 Карьерное плато — да, почти всегда это сигнал к смене компании. Потолок внутри не пробить.
👉 Игнор от руководства — тут всё просто: если это системно, это диагноз компании, а не твой.
💡 Единственный рабочий критерий: растёт ли твой career capital (навыки, связи, репутация)?
Если да — можно терпеть и играть в долгую.
Если нет — ты просто догораешь там, где давно пора выйти из игры.
И вот главный парадокс:
мы учим сотрудников не игнорировать алерты SIEM, но готовы годами игнорировать алерты собственной карьеры.
Смешно? Нет, больно.
И если компания может позволить себе «не слышать», то мы — нет.
У нас всегда есть выбор: продолжать догорать в тишине или менять контекст и инвестировать ресурс туда, где он реально работает.
Пошлите подискутируем 🤓
#burnout #soc #nasoc
Когда-то, в конце 70-х, психологи Маслач и Фройденбергер описали феномен burnout: человек работает-работает, а потом внезапно тухнет — батарейка в нуле, цинизм в максимуме, эффективность в минусе. С тех пор термин прижился, а HR-ы добавили к нему новые «болячки»: карьерное плато, тихое увольнение, психологический контракт.
📌 How Employee Job Burnout, Work Engagement, and Turnover Intention Relate to Career Plateau during the Epidemic (2023)
📌 Techno-Stress Creators, Burnout and Psychological Health Outcomes for Remote Workers (PMC, 2023)
📌 The Impact of Career Plateaus on Job Performance (2024)
🤔 В реальности ИБ
В кибербезе это особенно больно: мы подсвечиваем уязвимости, проблемы, дыры — а их откладывают «на потом».
Мы говорим: «надо закрыть доступы» — в ответ кивают.
Мы показываем: «надо менять процессы» — улыбаются и делают вид, что услышали.
И потом — БАЦ! — CDEK, Winlab или ещё один заголовок в СМИ.
И начинается шоу абсурда: все срочно собирают совещания, делают вид, что «у нас-то всё под контролем».
Но ты-то знаешь, что месяц назад говорил про это. Два месяца назад. Полгода назад.
📊 И это не только наша локальная боль: по данным Gartner, 45% CISO считают, что их компании системно игнорируют сигналы безопасности. То есть, это уже глобальная «норма».
😶🌫️ Личный угол
Честно скажу: я всё чаще ловлю себя на том, что устал не от работы как таковой, а от глухоты.
Когда твой труд — это сигнализация, а тебя просят не мешать спать.
Когда ты хочешь строить систему, а от тебя ждут только красивых отчётов «для галочки».
И тут даже вопрос не в зарплате или должности. Вопрос в том, что твоя ценность перестаёт работать в этой системе.
Что делать
👉 Выгорание — лечить отдыхом, режимом, спортом. Уйдёшь в другое место — унесёшь обнулённую батарейку с собой.
👉 Карьерное плато — да, почти всегда это сигнал к смене компании. Потолок внутри не пробить.
👉 Игнор от руководства — тут всё просто: если это системно, это диагноз компании, а не твой.
💡 Единственный рабочий критерий: растёт ли твой career capital (навыки, связи, репутация)?
Если да — можно терпеть и играть в долгую.
Если нет — ты просто догораешь там, где давно пора выйти из игры.
И вот главный парадокс:
мы учим сотрудников не игнорировать алерты SIEM, но готовы годами игнорировать алерты собственной карьеры.
Смешно? Нет, больно.
И если компания может позволить себе «не слышать», то мы — нет.
У нас всегда есть выбор: продолжать догорать в тишине или менять контекст и инвестировать ресурс туда, где он реально работает.
Пошлите подискутируем 🤓
#burnout #soc #nasoc
ResearchGate
(PDF) How Employee Job Burnout, Work Engagement, and Turnover Intention Relate to Career Plateau during the Epidemic
PDF | In light of the impact of the COVID-19 epidemic on organizations and company human resource policies, multiple changes have been made to employee... | Find, read and cite all the research you need on ResearchGate
❤4💯3✍2
Что для вас хуже?
Anonymous Poll
44%
🔋 Выгорание
54%
🧗 Потолок без роста
38%
🙉 Проблемы, которые не решаются годами
2%
🙈 Другое, напишу в комментариях
👀2🤔1
🛰 SOCчный завтрак — скоро!
Всем привет!
Мне давно хотелось собрать своих — тех, кто живёт в SOC-реальности, горит, выгорает и всё равно возвращается на смену 💻
Это не конференция и не митап.
Просто уютная встреча без камер, где можно честно поговорить про боль, хаос, процессы, людей и технологии.
Поболтаем о том,
⚙️ как держать SOC живым,
⚡️ где искать баланс между скоростью и качеством,
и почему иногда лучше выключить алерт, чем выключить аналитика 🙂
🍳 Совместно с ребятами из Кибердома запускаем серию встреч под названием SOCчный завтрак — ламповый формат для тех, кто в теме.
Это пока тизер, подробности и регистрация — совсем скоро.
Остаёмся на связи 💬
Всем привет!
Мне давно хотелось собрать своих — тех, кто живёт в SOC-реальности, горит, выгорает и всё равно возвращается на смену 💻
Это не конференция и не митап.
Просто уютная встреча без камер, где можно честно поговорить про боль, хаос, процессы, людей и технологии.
Поболтаем о том,
⚙️ как держать SOC живым,
⚡️ где искать баланс между скоростью и качеством,
и почему иногда лучше выключить алерт, чем выключить аналитика 🙂
🍳 Совместно с ребятами из Кибердома запускаем серию встреч под названием SOCчный завтрак — ламповый формат для тех, кто в теме.
Это пока тизер, подробности и регистрация — совсем скоро.
Остаёмся на связи 💬
👍9❤3
Всем привет! Ноябрь обещает быть SOCчным 😎 Приходите на SOC форум, мы будем выступать с докладом:
1️⃣ Про то как выбирать TI фиды?
2️⃣ Какие проблемы с этим есть?
3️⃣ Почему это важно для SOC ?
Так же разберем что такое контекст в фидах? Почему он важен? Посмотрим на типичные ошибки при выборе поставщика и дадим чек лист само проверки.
Наше выступление будет частью крутого трека «Тренды и аналитика угроз», где сплошная криминальная интрига! 🔍
Так что ждем всех 18 ноября в зале 3 на нашем докладе! Будет жарко, интересно и очень практично. 🔥
#soc #nasoc #socforum #SOCизнутри
Так же разберем что такое контекст в фидах? Почему он важен? Посмотрим на типичные ошибки при выборе поставщика и дадим чек лист само проверки.
Наше выступление будет частью крутого трека «Тренды и аналитика угроз», где сплошная криминальная интрига! 🔍
Так что ждем всех 18 ноября в зале 3 на нашем докладе! Будет жарко, интересно и очень практично. 🔥
#soc #nasoc #socforum #SOCизнутри
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2👍2
Forwarded from SOC FORUM | Неделя кибербезопасности
This media is not supported in your browser
VIEW IN TELEGRAM
Интриги, расследования и новые техники атак — это все в треке «Тренды и аналитика угроз». Встречаемся 18 ноября в зале 3 на таких докладах:
✳️ IDFKA Backdoor: скрытая угроза Rust-имплантов в современных APT-атаках. Владимир Степанов, аналитик, Солар. Время: 12:00.
✳️ Как «киберпартизаны» шпионят за российскими организациями. Георгий Кучерин, старший исследователь угроз информационной безопасности, Kaspersky. Время: 12:30.
✳️ 20 самых интересных техник из публичных исследований киберугроз. Олег Скулкин, руководитель Threat Intelligence, BI.ZONE. Время: 13:00.
✳️ Результаты расследований инцидентов ИБ за 2025 год. Денис Гойденко, руководитель департамента комплексного реагирования на инциденты ИБ, Positive Technologies. Время: 14:45.
✳️ ИИ, МСБ и APT — как меняется фишинг. Роман Стрельников, руководитель направления по информационной безопасности, 1С-Битрикс. Время: 15:15.
✳️ Практический выбор TI Feeds для российского SOC: что работает сегодня. Полина Саушина, старший аналитик SOC, и Сергей Бнятов, руководитель центра мониторинга и расследования киберинцидентов, ecom.tech (ex. Samokat.tech). Время: 15:45.
✳️ API как главный вектор атак на современные гибридные инфраструктуры. Денис Батранков, директор по развитию бизнеса, Гарда. Время: 16:15.
Успейте зарегистрироваться до 7 ноября.
#программа
Успейте зарегистрироваться до 7 ноября.
#программа
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤1
Всем привет!
Мы немного видоизменили время мероприятия, потому что как сказал классик современности "Это было не просто смело, а п#здец как смело!" 😁😅 Мы поняли что собрать представителей нашей нелегкой работы утром - история мало подъёмная. Поэтому будет ужин, вместо завтрака 🙂
Поговорим о том какие организационные и культурные вызовы в SOC, а так же о перспективах для российских SOC в 2026 году.
Сегодня российские SOC сталкиваются с трансформацией подходов к безопасности. ИИ меняет правила противостояния со злоумышленниками, а требования по раскрытию инцидентов предполагают новые подходы к управлению. Перед компаниями встаёт выбор: собственные SOC, федеральные MSSP или региональные игроки.
Приглашаем вас на закрытое мероприятие от Кибердома и VolgaBlob — Ужин с SOCом, — которое состоится 11 ноября в 19:00.
Вместе мы проанализируем ошибки 2025 года и сформируем прогнозы на 2026-й. Это первая встреча цикла, которая запустит работу профильной рабочей группы.
Модератором встречи станет Александр Скакунов — CEO VolgaBlob, резидент бизнес-клуба Кибердома. Экспертом и со-организатором встречи выступит Сергей Бнятов — руководитель SOC компании Ecom.tech.
Программа
18:30–19:00 — Сбор гостей
19:00–21:00 — Деловая часть
Закрытое мероприятие для руководителей SOC, CSIRT и центров мониторинга.
Регистрируйтесь по ссылке.
Ждём вас в Кибердоме по адресу: ул. 2-я Звенигородская, д. 12, стр. 18
P.S. Лично от меня просьба, если вы узнали о мероприятии от меня (лично или из поста в канале) - то просьба указать это в форме регистрации. Мне будет приятно 🫶 А так же позволит нам посчитать конверсию и все такое)
#nasoc #soc #инфобез
Мы немного видоизменили время мероприятия, потому что как сказал классик современности "Это было не просто смело, а п#здец как смело!" 😁😅 Мы поняли что собрать представителей нашей нелегкой работы утром - история мало подъёмная. Поэтому будет ужин, вместо завтрака 🙂
Поговорим о том какие организационные и культурные вызовы в SOC, а так же о перспективах для российских SOC в 2026 году.
Сегодня российские SOC сталкиваются с трансформацией подходов к безопасности. ИИ меняет правила противостояния со злоумышленниками, а требования по раскрытию инцидентов предполагают новые подходы к управлению. Перед компаниями встаёт выбор: собственные SOC, федеральные MSSP или региональные игроки.
Приглашаем вас на закрытое мероприятие от Кибердома и VolgaBlob — Ужин с SOCом, — которое состоится 11 ноября в 19:00.
Вместе мы проанализируем ошибки 2025 года и сформируем прогнозы на 2026-й. Это первая встреча цикла, которая запустит работу профильной рабочей группы.
Модератором встречи станет Александр Скакунов — CEO VolgaBlob, резидент бизнес-клуба Кибердома. Экспертом и со-организатором встречи выступит Сергей Бнятов — руководитель SOC компании Ecom.tech.
Программа
18:30–19:00 — Сбор гостей
19:00–21:00 — Деловая часть
Закрытое мероприятие для руководителей SOC, CSIRT и центров мониторинга.
Регистрируйтесь по ссылке.
Ждём вас в Кибердоме по адресу: ул. 2-я Звенигородская, д. 12, стр. 18
P.S. Лично от меня просьба, если вы узнали о мероприятии от меня (лично или из поста в канале) - то просьба указать это в форме регистрации. Мне будет приятно 🫶 А так же позволит нам посчитать конверсию и все такое)
#nasoc #soc #инфобез
👍6❤3🔥3
🧩 Пост 4 — eBPF в деле: политики, логи и правила для SOC
У меня тут отпуск, а это значит самое время добить историю про eBPF. Ну как добить, точно буду писать еще, потому что целую книжку купил) Но об этом в другой раз)
В прошлых постах мы разобрались, зачем вообще мониторить ядро и почему Falco и Tetragon — не игрушки, а must-have для SOC.
Теперь — мясо. Разбираем, как из eBPF-событий сделать боевые алерты.
⚙️ 1. Включаем политику
Берём Tetragon — он умеет eBPF+LSM и детально видит процессы.
Пример политики: отслеживаем подозрительные execve из временных директорий (классика малвари ).
💡Почему это важно: /tmp — любимое место для дропперов и скриптов, особенно если exec происходит от системных UID.
🧾 2. Что попадает в логи
Tetragon отдаёт JSON-структуру в stdout или Loki/ELK:
Сразу видно — кто, откуда и где в кластере/хосте запустил бинарь.
🔎 3. Пишем правило в ELK
Kibana Query (Lucene):
🔔 Что делает:
ловит все бинарники, запущенные из временных директорий, кроме системных процессов.
🧠 4. Корреляция и фильтры
Часто /tmp — и легитимные билды. Как делать меньше фолсов:
1️⃣ Исключить namespace: dev или user: ci-runner.
2️⃣ Обогатить событие через CMDB / asset-инвентори (hostname → роль).
3️⃣ Делать цепочки: exec → connect → write — алертить, только если есть поведение (например, исходящее соединение).
⚡️ 5. Профит для SOC
❕ eBPF фильтрует шум в ядре → меньше фолсов.
❕ Лог содержит контекст: кто, где, из какого контейнера.
❕ Корреляции в SIEM становятся простыми и точными.
❕ SOC начинает детектить поведение атак, а не отдельные exec.
💬 В следующем посте — реальный кейс расследования: как eBPF помог отследить эскалацию привилегий и восстановить цепочку атаки, когда на уровне логов было тихо.
#nasoc #tetragon #soc #ebpf #siem
У меня тут отпуск, а это значит самое время добить историю про eBPF. Ну как добить, точно буду писать еще, потому что целую книжку купил) Но об этом в другой раз)
В прошлых постах мы разобрались, зачем вообще мониторить ядро и почему Falco и Tetragon — не игрушки, а must-have для SOC.
Теперь — мясо. Разбираем, как из eBPF-событий сделать боевые алерты.
⚙️ 1. Включаем политику
Берём Tetragon — он умеет eBPF+LSM и детально видит процессы.
Пример политики: отслеживаем подозрительные execve из временных директорий (классика малвари ).
apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
metadata:
name: suspicious-exec
spec:
kprobes:
- call: "do_execveat_common"
args:
- index: 0
type: "string"
selectors:
- matchArgs:
- index: 0
operator: "Prefix"
values: ["/tmp/", "/dev/shm/"]
💡Почему это важно: /tmp — любимое место для дропперов и скриптов, особенно если exec происходит от системных UID.
🧾 2. Что попадает в логи
Tetragon отдаёт JSON-структуру в stdout или Loki/ELK:
{
"process_exec": {
"parent": "bash",
"binary": "/tmp/payload",
"uid": 1000,
"pod": "web-frontend-42",
"namespace": "prod"
}
}Сразу видно — кто, откуда и где в кластере/хосте запустил бинарь.
🔎 3. Пишем правило в ELK
Kibana Query (Lucene):
process_exec.binary: "/tmp/*" AND NOT process_exec.parent: "systemd"
🔔 Что делает:
ловит все бинарники, запущенные из временных директорий, кроме системных процессов.
🧠 4. Корреляция и фильтры
Часто /tmp — и легитимные билды. Как делать меньше фолсов:
⚡️ 5. Профит для SOC
💬 В следующем посте — реальный кейс расследования: как eBPF помог отследить эскалацию привилегий и восстановить цепочку атаки, когда на уровне логов было тихо.
#nasoc #tetragon #soc #ebpf #siem
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1