Машинное обучение в обнаружении
Есть масса применений машобуча в ИБ и нередко на маркетинговых мероприятиях можно услышать об успехах применения машинного обучения без учителя для обнаружения: есть некоторый движок, выполняющий профилирование, который затем выдает статистические отклонения. Проблема тут в том, что "статистическое отклонение" - это не всегда "инцидент", и окончательное решение принимает человек. Понятие инцидента - не простое, поэтому построить классификатор, который будет выдавать не статистическое отклонение, а инцидент невозможно без анализа обратной связи от пользователя(варианты решения этой задачи с помощью LLM пока не будем рассматривать, но и там проблем немало, ибо закономерность сохраняется: чем сложнее система, тем сложнее ей пользоваться ) . А это уже вопрос, решаемый в рамках машинного обучения с учителем, однако, в этом случае, для получения удовлетворительных результатов, нам нужны размеченные данные, типа, вот это статистическое отклонение - инцидент, а вот это статистическое отклонение - не инцидент. Кроме того, на практике нередки и false negative (пропуски), т.е. Модель надо подкрутить так, чтобы в сценариях прошлых промахов она, таки, выдавала статистическое отклонение, которое будет интерпретировано пользователем как инцидент. Чем размеченных данных будет больше, тем лучше, а если данных будем мало, построение такого классификатора под большим вопросом.
Таким образом, налицо двухходовочка:
- Unsupervised ML поможет найти статистическое отклонение - здесь будет много False positives, но практика показывает, что будут и False negative(собственно, этот объем False* и является основным аргументов скептиков относительно пригодности ML в ИБ вообще, сравнивающих ML-вердикты с выдачей ГПСЧ)
- Supervised ML теоретически можно обучить распознавать среди статистических отклонений инциденты, но в этом случае нужны большие размеченные данные, как например, в случае Автоаналитика
В нашем случае упомянутая двухходовочка для обнаружения горизонтальных перемещений в сети реализована одной Моделью без учителя. Но для поддержания удовлетворительного качества работы, все ее False* разбираются с участием аналитиков команды SOC, после чего Модель дорабатывается: начинает ловить прошлые пропуски и не генерить статистическое отклонение в определенных сценариях, не являющихся инцидентом.
Итого, нам всем нужно понимать:
1. Статистическое отклонение, выдаваемое Моделью без учителя - это еще не Инцидент
2. Для того, чтобы Модель научилась выдавать не статистические отклонения, а инциденты, обязательна обратная связь от пользователя, разметка данных пользователями
3. Чтобы обучить Модель на размеченных данных, их должно быть много
4. Нужно заниматься постоянным тюнингом Модели без учителя, выдающей статистические отклонения, чтобы она выдавала бизнес-значимые статистические отклонения, т.е. инциденты
5. В "коробочных" on prem решениях есть проблемы с получением обратной связи от пользователя и ее анализом, чтобы подстраивать и переобучать Модель, т.е. пп. 2-4 нереализуемы
В итоге получаем, что более-менее рабочим сценарием является портирование обученных моделей из облачных сервисов в on prem решения. Как, в частности, мы и сделаем с моделью обнаружения горизонтальных перемещений, которая из MDR когда-то станет доступна в KUMA. В этом случае постоянство качества Модели будет обеспечиваться ее постоянным тюнингом в рамках сервиса в предположении, что в пользовательской инфраструктуре демонстрируемые ею статистические отклонения будут интерпретировать как инциденты по тем же правилам, что и в MDR. Это очередная прекрасная демонстрация как правильно выкристаллизовывать облака в on prem, а никак не наоборот!
#MDR #vCISO #ml
Есть масса применений машобуча в ИБ и нередко на маркетинговых мероприятиях можно услышать об успехах применения машинного обучения без учителя для обнаружения: есть некоторый движок, выполняющий профилирование, который затем выдает статистические отклонения. Проблема тут в том, что "статистическое отклонение" - это не всегда "инцидент", и окончательное решение принимает человек. Понятие инцидента - не простое, поэтому построить классификатор, который будет выдавать не статистическое отклонение, а инцидент невозможно без анализа обратной связи от пользователя
Таким образом, налицо двухходовочка:
- Unsupervised ML поможет найти статистическое отклонение - здесь будет много False positives, но практика показывает, что будут и False negative
- Supervised ML теоретически можно обучить распознавать среди статистических отклонений инциденты, но в этом случае нужны большие размеченные данные, как например, в случае Автоаналитика
В нашем случае упомянутая двухходовочка для обнаружения горизонтальных перемещений в сети реализована одной Моделью без учителя. Но для поддержания удовлетворительного качества работы, все ее False* разбираются с участием аналитиков команды SOC, после чего Модель дорабатывается: начинает ловить прошлые пропуски и не генерить статистическое отклонение в определенных сценариях, не являющихся инцидентом.
Итого, нам всем нужно понимать:
1. Статистическое отклонение, выдаваемое Моделью без учителя - это еще не Инцидент
2. Для того, чтобы Модель научилась выдавать не статистические отклонения, а инциденты, обязательна обратная связь от пользователя, разметка данных пользователями
3. Чтобы обучить Модель на размеченных данных, их должно быть много
4. Нужно заниматься постоянным тюнингом Модели без учителя, выдающей статистические отклонения, чтобы она выдавала бизнес-значимые статистические отклонения, т.е. инциденты
5. В "коробочных" on prem решениях есть проблемы с получением обратной связи от пользователя и ее анализом, чтобы подстраивать и переобучать Модель, т.е. пп. 2-4 нереализуемы
В итоге получаем, что более-менее рабочим сценарием является портирование обученных моделей из облачных сервисов в on prem решения. Как, в частности, мы и сделаем с моделью обнаружения горизонтальных перемещений, которая из MDR когда-то станет доступна в KUMA. В этом случае постоянство качества Модели будет обеспечиваться ее постоянным тюнингом в рамках сервиса в предположении, что в пользовательской инфраструктуре демонстрируемые ею статистические отклонения будут интерпретировать как инциденты по тем же правилам, что и в MDR. Это очередная прекрасная демонстрация как правильно выкристаллизовывать облака в on prem, а никак не наоборот!
#MDR #vCISO #ml
Blogspot
Время материализовать облака
Мы рождены, чтоб сказку сделать былью ("Марш авиаторов", Герман-Хайт) Спешите порадоваться спуску с горы, ибо далее придется тащить на ...
👍6🔥2
Первый вредоносный MCP-сервер в мире
А вот и вредоносные MCP поспели!
The Register
Dark Reading
Оригнальная публикация от KOI
Понятно, что не все что скачивается с Github безопасно, однако, в свете последних тенденций атака отдает новизной.
Как и ожидалось, новый слой абстрации, в данном случае MCP, расширяет поверхность атаки.
#ml #vCISO
А вот и вредоносные MCP поспели!
The Register
Dark Reading
Оригнальная публикация от KOI
Понятно, что не все что скачивается с Github безопасно, однако, в свете последних тенденций атака отдает новизной.
Как и ожидалось, новый слой абстрации, в данном случае MCP, расширяет поверхность атаки.
#ml #vCISO
www.koi.ai
First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails | Koi Blog
🔥2
Расписание против аналитика: когда график диктует ошибки
На PHD в 2023 году я немного коснулся темы метрик, используемых в нашем SOC. За годы работы мы накопили массу статистик и значений метрик, которые также можно анализировать и обнаруживать интересные и полезные зависимости, помимо стандартной задачи - предсказания загрузки команды в зависимости от объема. Отрадно, что молодому поколению аналитиков тема анализа тенденций в работе операционного подразделения также интересна как и мне, и мы имеем в некотором смысле продолжение моего достаточно общего доклада про метрики, но на сей раз от моего коллеги - Даниила Малий. Даниил взял не все собираемые нами показатели, а только те, что используются в KPI для оценки эффективности и результативности работы ребят, с фокусом именно на ошибки и попытался найти зависимости количества ошибок от режима работы аналитика при сменном графике и времени суток, от уже обработанного объема (от продолжительности работы в смене), от скорости расследования алертов и их критичности, и многого другого.
Формальное описание доклада:
Доклад был подан на SOC Forum (логично, ибо доклад про SOC, от аналитика SOC) , попал в секцию "ИБ и бизнес", но не прошел отбор. С одной стороны, немного жаль, что крутой (на мой субъективный взгляд) доклад не войдет в программу, а, с другой стороны, это должно означать, что в программу вошли еще более крутые докалды доклады! Ну, как минимум, в эту секцию. Поэтому, для себя я уже решил однозначно выделить время и посмотреть, надеюсь, запись будет.
Я тоже член Экспертного комитета, правда, в секциях "SOC-практикум", "Defence" и "Тренды и аналитика угроз", и мой выбор, моя оценка докладов - это отражение меня. Фактически, то, что попадет в программу характеризует экспертность Экспертного комитета, конечно же, с субъективной точки зрения зрителя.
Ах да, забыл, доклад Даниила Малий мы подали в итоге на Zero Nights, посмотрим, получится ли попасть в программу там. Если никуда не пройдет, запишем вебинар и поделимся им в этом канале :) Так сказать, сами себе оркестр 🤣
#MDR #vCISO
На PHD в 2023 году я немного коснулся темы метрик, используемых в нашем SOC. За годы работы мы накопили массу статистик и значений метрик, которые также можно анализировать и обнаруживать интересные и полезные зависимости, помимо стандартной задачи - предсказания загрузки команды в зависимости от объема. Отрадно, что молодому поколению аналитиков тема анализа тенденций в работе операционного подразделения также интересна как и мне, и мы имеем в некотором смысле продолжение моего достаточно общего доклада про метрики, но на сей раз от моего коллеги - Даниила Малий. Даниил взял не все собираемые нами показатели, а только те, что используются в KPI для оценки эффективности и результативности работы ребят, с фокусом именно на ошибки и попытался найти зависимости количества ошибок от режима работы аналитика при сменном графике и времени суток, от уже обработанного объема (от продолжительности работы в смене), от скорости расследования алертов и их критичности, и многого другого.
Формальное описание доклада:
Название: Расписание против аналитика: когда график диктует ошибки
Краткое описание: График работы напрямую влияет на то, как SOC-аналитики принимают решения. Ошибки распределяются неравномерно: они зависят от времени суток, сменности и даже от последовательности задач. Исследуя долгосрочные выгрузки, можно выявить чёткие закономерности и использовать их для оптимизации процессов.
Доклад был подан на SOC Forum (логично, ибо доклад про SOC, от аналитика SOC) , попал в секцию "ИБ и бизнес", но не прошел отбор. С одной стороны, немного жаль, что крутой (на мой субъективный взгляд) доклад не войдет в программу, а, с другой стороны, это должно означать, что в программу вошли еще более крутые докалды доклады! Ну, как минимум, в эту секцию. Поэтому, для себя я уже решил однозначно выделить время и посмотреть, надеюсь, запись будет.
Я тоже член Экспертного комитета, правда, в секциях "SOC-практикум", "Defence" и "Тренды и аналитика угроз", и мой выбор, моя оценка докладов - это отражение меня. Фактически, то, что попадет в программу характеризует экспертность Экспертного комитета, конечно же, с субъективной точки зрения зрителя.
Ах да, забыл, доклад Даниила Малий мы подали в итоге на Zero Nights, посмотрим, получится ли попасть в программу там. Если никуда не пройдет, запишем вебинар и поделимся им в этом канале :) Так сказать, сами себе оркестр 🤣
#MDR #vCISO
Telegram
Солдатов в Телеграм
Как обещал, скидываю слайды с PHD2023 . Доклад назывался "Metrics in Security Operations"
👍14🤣1
ENISA Threat Landscape 2025.pdf
4.6 MB
ENISA THREAT LANDSCAPE 2025
Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.
Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.
Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%
Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное
Оригинальная ссылка на документ
Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns
Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency
#MDR #vCISO
Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.
Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.
Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%
Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное
Оригинальная ссылка на документ
Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns
Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency
#MDR #vCISO
👍8
Выводы и рекомендации
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.
#vCISO
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.
#vCISO
🔥6👍2❤🔥1
The Forrester Wave™_ Managed Detection And Response S.pdf
2.3 MB
Forrester об MDR
(вложение, reprint)
Я стараюсь почитывать подобные публикации от аналитических агенств, чтобы понимать современные тенденции, анализировать адекватность своего решения и, возможно, корректировать наш бесконечный бэклог.
Forrester пишет, что MDR - это еще не прошлое и что он продолжает эволюционировать, и если раньше провайдеры больше фокусировались (и мерились этим) на реагировании, то сегодня мы должны быть максимально проактивными и нести доказательную бизнес-пользу для корпоративной безопасности:
Вот на что стоит обращать внимание при выборе MDR-услуг в 2025 году:
1. Detection as Code — основа масштабирования
Скорость и качество обнаружения угроз теперь определяются подходом "обнаружение как код" (Detection as Code), что означает:
- Использование программных методов для создания и развёртывания детекторов
- Автоматизированное тестирование для повышения точности и снижения "шума"
- Возможность быстро адаптироваться к новым тактикам злоумышленников
Примеры: Red Canary, CrowdStrike.
2. Улучшение корпоративной безопасности (Security Posture) - новая задача MDR
Клиенты ожидают, что MDR-провайдеры будут не только искать угрозы, но и помогать улучшать корпоративную ИБ:
- Обнаружение проблемных мест в ИБ
- Максимальная контекстная адаптация под технологический стек, индустрию, регион заказчика и предоставление бенчмаркинг для возможности сравнения (а, может, и самосравнения)
- Предоставление рекомендаций по улучшению программ корпоративной ИБ
Примеры: eSentire, Arctic Wolf.
3. Генеративный ИИ: выгода не только для провайдера, но и для заказчика
Провайдеры активно внедряют GenAI для повышения эффективности своей работы, но важно понимать: транслирует ли провайдер выгоду от ИИ клиентам, например, в виде улучшенных процессов или снижения стоимости, или просто MDR становится более маржинальным. Если честно, мне удивительно видеть намеки от глобального агенства, что автоматизация (ИИ - это именно автоматизация!) должна снижать стоимость😂
Пример: ReliaQuest (использует ИИ-агенты).
4. Широта покрытия (Detection Surface)
Современный провайдер должен обнаруживать угрозы не только на эндпоинтах, но и: в облачных средах, контролировать идентификационные данные (Identity), собирать данные из множества источников, ну, видимо, как минимум, из сети (упоминается XDR)
Пример: CrowdStrike, Expel.
5. Опыт, экспертность аналитиков, их глубокое понимание особенностей, контекста, клиента, а также прозрачность, точнее, проверямость предоставляемых данных в отчетности.
6. Экосистемность и гибкость. Здесь имеется в виду возможность интеграции MDR с используемом у заказчика стеком технологий.
7. Гибкость ценообразования и комплектации услуг (например, Falcon Flex от CrowdStrike).
Лидеры (Leaders): Expel, CrowdStrike, Red Canary.
Сильные игроки (Strong performers): ReliaQuest, Binary Defense, eSentire.
Претенденты (Contenders): Arctic Wolf, Secureworks, SentinelOne, Rapid7.
Итого: Современный MDR-провайдер должен обладать не только превосходными возможностями по обнаружению угроз, но вносить значительный вклад в усовершенствование корпоративной системы управления ИБ.
#MDR #vCISO
(вложение, reprint)
Я стараюсь почитывать подобные публикации от аналитических агенств, чтобы понимать современные тенденции, анализировать адекватность своего решения и, возможно, корректировать наш бесконечный бэклог.
Forrester пишет, что MDR - это еще не прошлое и что он продолжает эволюционировать, и если раньше провайдеры больше фокусировались (и мерились этим) на реагировании, то сегодня мы должны быть максимально проактивными и нести доказательную бизнес-пользу для корпоративной безопасности:
An MDR provider’s ability to positively influence the security of its customers now matters as much as its ability to find threats
Вот на что стоит обращать внимание при выборе MDR-услуг в 2025 году:
1. Detection as Code — основа масштабирования
Скорость и качество обнаружения угроз теперь определяются подходом "обнаружение как код" (Detection as Code), что означает:
- Использование программных методов для создания и развёртывания детекторов
- Автоматизированное тестирование для повышения точности и снижения "шума"
- Возможность быстро адаптироваться к новым тактикам злоумышленников
Примеры: Red Canary, CrowdStrike.
2. Улучшение корпоративной безопасности (Security Posture) - новая задача MDR
Клиенты ожидают, что MDR-провайдеры будут не только искать угрозы, но и помогать улучшать корпоративную ИБ:
- Обнаружение проблемных мест в ИБ
- Максимальная контекстная адаптация под технологический стек, индустрию, регион заказчика и предоставление бенчмаркинг для возможности сравнения (а, может, и самосравнения)
- Предоставление рекомендаций по улучшению программ корпоративной ИБ
Примеры: eSentire, Arctic Wolf.
3. Генеративный ИИ: выгода не только для провайдера, но и для заказчика
Провайдеры активно внедряют GenAI для повышения эффективности своей работы, но важно понимать: транслирует ли провайдер выгоду от ИИ клиентам, например, в виде улучшенных процессов или снижения стоимости, или просто MDR становится более маржинальным. Если честно, мне удивительно видеть намеки от глобального агенства, что автоматизация (ИИ - это именно автоматизация!) должна снижать стоимость😂
Пример: ReliaQuest (использует ИИ-агенты).
4. Широта покрытия (Detection Surface)
Современный провайдер должен обнаруживать угрозы не только на эндпоинтах, но и: в облачных средах, контролировать идентификационные данные (Identity), собирать данные из множества источников, ну, видимо, как минимум, из сети (упоминается XDR)
Пример: CrowdStrike, Expel.
5. Опыт, экспертность аналитиков, их глубокое понимание особенностей, контекста, клиента, а также прозрачность, точнее, проверямость предоставляемых данных в отчетности.
6. Экосистемность и гибкость. Здесь имеется в виду возможность интеграции MDR с используемом у заказчика стеком технологий.
7. Гибкость ценообразования и комплектации услуг (например, Falcon Flex от CrowdStrike).
Лидеры (Leaders): Expel, CrowdStrike, Red Canary.
Сильные игроки (Strong performers): ReliaQuest, Binary Defense, eSentire.
Претенденты (Contenders): Arctic Wolf, Secureworks, SentinelOne, Rapid7.
Итого: Современный MDR-провайдер должен обладать не только превосходными возможностями по обнаружению угроз, но вносить значительный вклад в усовершенствование корпоративной системы управления ИБ.
#MDR #vCISO
🔥6👍3
Как эффективно управлять инцидентами ИБ?
21.10.2025 в 11:00 MSK
Зарегистрироваться!
Безопасность - это процесс, операционный процесс обеспечения уровня ИБ. Можно много говорить о необходимости проактивных подходов к управлению ИБ, и даже стремиться интегрировать проактивность в операционные сервисы, управлять поверхностью атаки и вообще заниматься анализом рисков, однако, в Darkest hour рядом должны оказаться профессионалы, которые спасут ситуацию. Управление инцидентами - базовый процесс операционной безопасности и в предстоящем стриме 21.10.2025 в 11:00 MSK о нем будут рассуждать самые что ни на есть истинные практики, мои замечательные коллеги, чьим знакомством я горжусь, - Вадим Нерсесов и Сергей Голованов.
Вадим - руководитель операционной команды анатиков, отвечающей за delivery MDR, чья команда каждый день обнаруживает инциденты по всему миру. Благодаря усилиям команды Вадима инциденты не доходят до этапа ущерба корпоративным бизнес-процессам (поэтому статистика инцидентов MDR сильно отличается от статистик инцидентов, построенных, например, на данных проектов по реагировнию на инциденты, DFIR, - но об этом поговорим в другой раз) , поэтому предприятия заказчиков продолжают работать в штатном режиме.
Сергей - абсолютный практик в DFIR, на счету которого тысячи интереснейших кейсов, и, уверен, не нуждается в дополнительном представлении, да мне и не хватит одной заметки, чтобы более-менее полно описать биографию Сережи.
Замечу еще, что сочетание спикеров позволит прекрасно раскрыть тему с разных сторон, так как если команды заказчика и Вадима успешно работают, то инцидент удается своевременно обнаружить и предотвратить развитие, а до участия Сергея, как правило, не доходит. А с другой стороны, если Сергей привлекается, то ситуация уже запущена настолько, что инструментальное реагирование MDR не будет достаточно результативным.
Подключайтесь на стрим, будет интересно!
#vCISO #MDR
21.10.2025 в 11:00 MSK
Зарегистрироваться!
Безопасность - это процесс, операционный процесс обеспечения уровня ИБ. Можно много говорить о необходимости проактивных подходов к управлению ИБ, и даже стремиться интегрировать проактивность в операционные сервисы, управлять поверхностью атаки и вообще заниматься анализом рисков, однако, в Darkest hour рядом должны оказаться профессионалы, которые спасут ситуацию. Управление инцидентами - базовый процесс операционной безопасности и в предстоящем стриме 21.10.2025 в 11:00 MSK о нем будут рассуждать самые что ни на есть истинные практики, мои замечательные коллеги, чьим знакомством я горжусь, - Вадим Нерсесов и Сергей Голованов.
Вадим - руководитель операционной команды анатиков, отвечающей за delivery MDR, чья команда каждый день обнаруживает инциденты по всему миру. Благодаря усилиям команды Вадима инциденты не доходят до этапа ущерба корпоративным бизнес-процессам
Сергей - абсолютный практик в DFIR, на счету которого тысячи интереснейших кейсов, и, уверен, не нуждается в дополнительном представлении, да мне и не хватит одной заметки, чтобы более-менее полно описать биографию Сережи.
Замечу еще, что сочетание спикеров позволит прекрасно раскрыть тему с разных сторон, так как если команды заказчика и Вадима успешно работают, то инцидент удается своевременно обнаружить и предотвратить развитие, а до участия Сергея, как правило, не доходит. А с другой стороны, если Сергей привлекается, то ситуация уже запущена настолько, что инструментальное реагирование MDR не будет достаточно результативным.
Подключайтесь на стрим, будет интересно!
#vCISO #MDR
🔥4👍3❤🔥1
Новые способы достижения целей ИБ
Нам, безопасникам, всегда не хватает бюджета на обеспечение безопасности! Мы постоянно ходим к топам и разными способами доказываем необходимость инвестиций не только в функциональность, но и в безопасность. Однако, к сожалению, безопасность часто является костом, проигрывающим приоритезационные войны с конкурентно важным и хорошо маркетируемым функционалом. Безопасник остается ни с чем, а когда, обозначенные им риск реализуются - он несет за это полную ответственность.
Особенно настойчивых требователей внимания к ИБ, видимо, увольняют, возможно, так и было с Аттауллой Баигом, бывшим руководителем службы безопасности WhatsApp, который подал в суд на Meta (а еще здесь и здесь), обвиняя компанию в игнорировании серьезных уязвимостей ИБ и конфиденциальности, подвергающих рискам миллиарды пользователей приложения.
Ключевые обвинения со стороны Аттауллы Баига:
- Неограниченный доступ к данным: тысячи сотрудников Meta и WhatsApp имеют доступ к конфиденциальным данным пользователей, включая профили, местоположение, контакты и членство в группах
- Массовый взлом аккаунтов: компания не решает проблему взлома более 100 000 аккаунтов ежедневно
- Игнорирование предложений по безопасности: руководство отвергало и блокировало предложения Баига по улучшению безопасности
- Нарушение соглашения с FTC: эти действия нарушают соглашение о конфиденциальности, достигнутое Meta с Федеральной торговой комиссией (FTC) в 2019 году.
После попыток сообщить о проблемах Марку Цукербергу и другим руководителям, Баиг столкнулся с преследованием со стороны начальства и был уволен в феврале.
Компания отвергла все обвинения, заявив, что Баиг был уволен за неудовлетворительную работу, а его искаженные заявления порочат работу команды, а представитель WhatsApp даже подчеркнул, что безопасность является их приоритетом.
Следует заметить, что это не первое дело против Meta. В статье упоминаются и другие инциденты, включая разоблачения Фрэнсис Хауген о вреде для подростков и недавние заявления сотрудников о рисках для детей в продуктах виртуальной реальности.
СамРобин Гуд Баиг утверждает, что хочет призвать Meta к ответу и защитить интересы пользователей, которых, по его словам, компания рассматривает как "цифры на приборной панели".
В общем, следим за ситуацией, возможно, это создаст прецедент для аргументации CISO вроде:
#vCISO #пятница
Нам, безопасникам, всегда не хватает бюджета на обеспечение безопасности! Мы постоянно ходим к топам и разными способами доказываем необходимость инвестиций не только в функциональность, но и в безопасность. Однако, к сожалению, безопасность часто является костом, проигрывающим приоритезационные войны с конкурентно важным и хорошо маркетируемым функционалом. Безопасник остается ни с чем, а когда, обозначенные им риск реализуются - он несет за это полную ответственность.
Особенно настойчивых требователей внимания к ИБ, видимо, увольняют, возможно, так и было с Аттауллой Баигом, бывшим руководителем службы безопасности WhatsApp, который подал в суд на Meta (а еще здесь и здесь), обвиняя компанию в игнорировании серьезных уязвимостей ИБ и конфиденциальности, подвергающих рискам миллиарды пользователей приложения.
Ключевые обвинения со стороны Аттауллы Баига:
- Неограниченный доступ к данным: тысячи сотрудников Meta и WhatsApp имеют доступ к конфиденциальным данным пользователей, включая профили, местоположение, контакты и членство в группах
- Массовый взлом аккаунтов: компания не решает проблему взлома более 100 000 аккаунтов ежедневно
- Игнорирование предложений по безопасности: руководство отвергало и блокировало предложения Баига по улучшению безопасности
- Нарушение соглашения с FTC: эти действия нарушают соглашение о конфиденциальности, достигнутое Meta с Федеральной торговой комиссией (FTC) в 2019 году.
После попыток сообщить о проблемах Марку Цукербергу и другим руководителям, Баиг столкнулся с преследованием со стороны начальства и был уволен в феврале.
Компания отвергла все обвинения, заявив, что Баиг был уволен за неудовлетворительную работу, а его искаженные заявления порочат работу команды, а представитель WhatsApp даже подчеркнул, что безопасность является их приоритетом.
Следует заметить, что это не первое дело против Meta. В статье упоминаются и другие инциденты, включая разоблачения Фрэнсис Хауген о вреде для подростков и недавние заявления сотрудников о рисках для детей в продуктах виртуальной реальности.
Сам
В общем, следим за ситуацией, возможно, это создаст прецедент для аргументации CISO вроде:
Не получится договориться на защите бюджета, поговорим в суде!
#vCISO #пятница
NY Times
Whistle-Blower Sues Meta Over Claims of WhatsApp Security Flaws
In a lawsuit filed Monday, the former head of security for the messaging app accused the social media company of putting billions of users at risk. Meta pushed back on his claim.
👍6🤣2
Gartner CTEM Reprint.pdf
502 KB
CTEM Is Not a Tool, It’s a Program
Продолжим тему CTEM, так как вышел свеженький документ по теме от Gartner:
Чтобы нам не повторить неудачный опыт упомянутых выше организаций, Gartner предлагает читать его доку (reprint, и вложение)
#vCISO
Продолжим тему CTEM, так как вышел свеженький документ по теме от Gartner:
Enterprises fail to reduce threat exposure through self-assessment of risks due to unrealistic, siloed and tool-centric approaches to adopting cybersecurity programs.
Чтобы нам не повторить неудачный опыт упомянутых выше организаций, Gartner предлагает читать его доку (reprint, и вложение)
#vCISO
👍5👏1
Gartner Reprint MDR 2025.pdf
650.6 KB
Gartner об MDR: AI - это замечательно, но люди - основа!
Гартнер опубликовал свое руководство по рынку MDR (репринт во вложении, ссылка на него). Ранее мы уже обсуждали мнение Forrester, пришло время посмотреть что же пишет Gartner.
Обязательный состав сервисных компонент:
- Удаленно предоставляемый технологический стек (но есть случаи использования уже развернутых решений) для обнаружения и реагирования на угрозы в реальном времени.
- Круглосуточная работа аналитиков, взаимодействие с заказчиком.
- Возможность немедленного удаленного реагирования и сдерживания угроз (например, изоляция хостов), а не просто оповещения.
- Мониторинг поверхности атаки (совсем недавно касались, и, в целом, все что приобретает свойство "Continuous" может, и, полагаю, должно предоставляться в рамках MDR)
- Проактивный Threat hunting.
- Поддержка облачных инфраструктур, как минимум, популярных Amazon, Google, я нас актуально - Yandex (тем боле, что ребят полно сервисов для автоматизации)
Популярные дополнения:
- Мониторинг Identity.
- Поддержка IoT и технологических сетей (OT).
- Услуги цифровой криминалистики и реагирования на инциденты (DFIR).
- Анализ защищенности, как минимум, на уровне BAS😂, но можно и шире.
Тенденции на рынке:
- Смещение фокуса на проактивность: покупатели хотят не только реагировать на угрозы, но и проактивно выявлять и устранять уязвимости (Threat Exposure Management).
- Рост популярности: расходы на MDR растут быстрее, чем на другие управляемые сервисы безопасности.
- Расширение покрытия: ключевыми областями становятся облачные сервисы (IaaS, SaaS), Identity и мониторинг приложений.
- Влияние ИИ: ИИ и автоматизация повышают эффективность MDR, но не заменяют человеческий анализ, "Автономный SOC" - это миф.
- заказчики хотят большей адаптации, чтобы MDR был не просто инструментом (~ системой обнаружения), а приносил обосновываемую ценность в контексте копании (кстати, простой способ принести ценность - подхватить на мониторинг on-prem развернутые решения) .
- обязательные широкие возможности по интеграции в корпоративные процессы обеспечения ИБ, тем более, что MDR не заменяет внутренние процессы безопасности компании, и заказчикам надо:
-- Иметь собственные отработанные процессы реагирования на инциденты,
-- Интегрировать MDR с внутренними системами управления обращениями и инцидентами,
-- Наладить взаимодействие между внутренними командами и провайдером MDR,
(замечу, что это повторяет мой старый тезис, что любой SOC - гибридный)
- MDR подходит для всех:
-- у кого нет SOC - MDR хороший старт, а также может быть временным решением, пока строится свой SOC,
-- у кого есть - усиление внутренней команды (оптимальный сценарий).
#MDR #vCISO
Гартнер опубликовал свое руководство по рынку MDR (репринт во вложении, ссылка на него). Ранее мы уже обсуждали мнение Forrester, пришло время посмотреть что же пишет Gartner.
Обязательный состав сервисных компонент:
- Удаленно предоставляемый технологический стек (но есть случаи использования уже развернутых решений) для обнаружения и реагирования на угрозы в реальном времени.
- Круглосуточная работа аналитиков, взаимодействие с заказчиком.
- Возможность немедленного удаленного реагирования и сдерживания угроз (например, изоляция хостов), а не просто оповещения.
- Мониторинг поверхности атаки (совсем недавно касались, и, в целом, все что приобретает свойство "Continuous" может, и, полагаю, должно предоставляться в рамках MDR)
- Проактивный Threat hunting.
- Поддержка облачных инфраструктур, как минимум, популярных Amazon, Google, я нас актуально - Yandex (тем боле, что ребят полно сервисов для автоматизации)
Популярные дополнения:
- Мониторинг Identity.
- Поддержка IoT и технологических сетей (OT).
- Услуги цифровой криминалистики и реагирования на инциденты (DFIR).
- Анализ защищенности, как минимум, на уровне BAS😂, но можно и шире.
Тенденции на рынке:
- Смещение фокуса на проактивность: покупатели хотят не только реагировать на угрозы, но и проактивно выявлять и устранять уязвимости (Threat Exposure Management).
- Рост популярности: расходы на MDR растут быстрее, чем на другие управляемые сервисы безопасности.
- Расширение покрытия: ключевыми областями становятся облачные сервисы (IaaS, SaaS), Identity и мониторинг приложений.
- Влияние ИИ: ИИ и автоматизация повышают эффективность MDR, но не заменяют человеческий анализ, "Автономный SOC" - это миф.
- заказчики хотят большей адаптации, чтобы MDR был не просто инструментом (~ системой обнаружения), а приносил обосновываемую ценность в контексте копании
- обязательные широкие возможности по интеграции в корпоративные процессы обеспечения ИБ, тем более, что MDR не заменяет внутренние процессы безопасности компании, и заказчикам надо:
-- Иметь собственные отработанные процессы реагирования на инциденты,
-- Интегрировать MDR с внутренними системами управления обращениями и инцидентами,
-- Наладить взаимодействие между внутренними командами и провайдером MDR,
(замечу, что это повторяет мой старый тезис, что любой SOC - гибридный)
- MDR подходит для всех:
-- у кого нет SOC - MDR хороший старт, а также может быть временным решением, пока строится свой SOC,
-- у кого есть - усиление внутренней команды (оптимальный сценарий).
#MDR #vCISO
👍8
2026-Tech-Trends-and-Priorities-Global-Infographic-1025.pdf
520.9 KB
Инсайдеры
Нередко в прогнозах атак на будущий год фигурируют угрозы, связанные с внутренними злоумышленниками. Лично я скептически отношусь к защите от внутреннего нарушителя (особенно, к защите от админа), и, как следствие, не очень уважаю решения DLP, хотя когда-то их предметно исследовал с целью внедрения у прошлого работодателя. Но вот и ISACA в своих прогнозах на 2026 (вложение) обозначает "insider threats" следующей после "Ransomware" и "AI-driven social engineering", что заставило задуматься.
А подумал я вот о чем. Я не раз поднимал вопрос о том, что при грамотной реализации программную закладку невозможно отличить от уязвимости в результате "ошибок" при разработке. Уязвимосить в продукте или решении - это "нормально", а программная закладка - это "очень плохо", однако, фактическая разница только в намерении исполнителя, а это намерение невозможно проверить, да и если даже намерение будет однозначно установлено, есть еще масса вариантов для компании-разработчика отказаться от ответственности: проблема в данном конкретном нечитоплотном\невнимательном\ленивом работнике, козла отпущения можно найти всегда.
Ситуация с умыслом, превращающим уязвимость в недокументированную возможность, очень похожа на ситуацию с инсайдером, где наличие злого умысла превращает обычную социальную инженерию в атаку инсайдера. С учетом того, что социальная инженерия вообще и целевой фишинг в частности уже который год не теряют первенства, а с появлением LLM, подготовка подобных атак заметно упростилась (кстати, "AI-driven social engineering", занимает почетное второе место после шифровальщиков\вымогателей), использовать их для маскировки работы инсайдера вполне логично. Более того, есть масса схем, когда сам инсайдер может успешно спровоцировать компрометацию сети, при этом сам оставшись, как бы, ни при чем.
Таким образом, ключевая проблема защиты от инсайдерских угроз заключается не в технической сложности, а в фундаментальной невозможности отличить злой умысел от человеческой ошибки. Как уязвимость в коде, вызванная халатностью, неотличима от преднамеренной закладки, так и успешная фишинговая атака на сотрудника может быть как результатом простой невнимательности, так и тщательно спланированной провокацией со стороны самого инсайдера. Это стирает грань между внешней и внутренней угрозой, превращая социальную инженерию в идеальное прикрытие для злоумышленника внутри компании. И это мы еще не касались тем с промыванием мозгов, манипуляциями, созданием "пятой колонны" и т.п. В общем, любая угроза всегда "внешняя", а "внутренней" не бывает, ибо какой смысл работать на компанию, к которой не лоялен?
#vCISO
Нередко в прогнозах атак на будущий год фигурируют угрозы, связанные с внутренними злоумышленниками. Лично я скептически отношусь к защите от внутреннего нарушителя (особенно, к защите от админа), и, как следствие, не очень уважаю решения DLP, хотя когда-то их предметно исследовал с целью внедрения у прошлого работодателя. Но вот и ISACA в своих прогнозах на 2026 (вложение) обозначает "insider threats" следующей после "Ransomware" и "AI-driven social engineering", что заставило задуматься.
А подумал я вот о чем. Я не раз поднимал вопрос о том, что при грамотной реализации программную закладку невозможно отличить от уязвимости в результате "ошибок" при разработке. Уязвимосить в продукте или решении - это "нормально", а программная закладка - это "очень плохо", однако, фактическая разница только в намерении исполнителя, а это намерение невозможно проверить, да и если даже намерение будет однозначно установлено, есть еще масса вариантов для компании-разработчика отказаться от ответственности: проблема в данном конкретном нечитоплотном\невнимательном\ленивом работнике, козла отпущения можно найти всегда.
Ситуация с умыслом, превращающим уязвимость в недокументированную возможность, очень похожа на ситуацию с инсайдером, где наличие злого умысла превращает обычную социальную инженерию в атаку инсайдера. С учетом того, что социальная инженерия вообще и целевой фишинг в частности уже который год не теряют первенства, а с появлением LLM, подготовка подобных атак заметно упростилась (кстати, "AI-driven social engineering", занимает почетное второе место после шифровальщиков\вымогателей), использовать их для маскировки работы инсайдера вполне логично. Более того, есть масса схем, когда сам инсайдер может успешно спровоцировать компрометацию сети, при этом сам оставшись, как бы, ни при чем.
Таким образом, ключевая проблема защиты от инсайдерских угроз заключается не в технической сложности, а в фундаментальной невозможности отличить злой умысел от человеческой ошибки. Как уязвимость в коде, вызванная халатностью, неотличима от преднамеренной закладки, так и успешная фишинговая атака на сотрудника может быть как результатом простой невнимательности, так и тщательно спланированной провокацией со стороны самого инсайдера. Это стирает грань между внешней и внутренней угрозой, превращая социальную инженерию в идеальное прикрытие для злоумышленника внутри компании. И это мы еще не касались тем с промыванием мозгов, манипуляциями, созданием "пятой колонны" и т.п. В общем, любая угроза всегда "внешняя", а "внутренней" не бывает, ибо какой смысл работать на компанию, к которой не лоялен?
#vCISO
👍5
Gartner: Automated Exposure Management и Zero Trust должны быть частью предложения MDR
Гартнер выпустил документ "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (вложение), согласно которому автоматический контроль поверхности атаки и подходы нулевого доверия должны стать частью MDR в ближайшее время.
Что касается контроля поверхности атаки, то об этом не раз писали и Forrester и Gartner , и вопросов здесь не возникает, то про ZT и контроль Identity стоит поговорить поподробнее.
Чтобы не испытывать ограничения формата заметки в Telegram, подготовил статью.
Статья будет полезна тем, кто определяет продуктовую стратегию MDR и экосистем ИБ вообще, ибо, как не раз писал (например) MDR - это венец любой экосистемы, как практическое подтверждение ее эффективности и результативности в реальных условиях эксплуатации.
#vCISO #MDR #dev
Гартнер выпустил документ "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (вложение), согласно которому автоматический контроль поверхности атаки и подходы нулевого доверия должны стать частью MDR в ближайшее время.
Что касается контроля поверхности атаки, то об этом не раз писали и Forrester и Gartner , и вопросов здесь не возникает, то про ZT и контроль Identity стоит поговорить поподробнее.
Чтобы не испытывать ограничения формата заметки в Telegram, подготовил статью.
Статья будет полезна тем, кто определяет продуктовую стратегию MDR и экосистем ИБ вообще, ибо, как не раз писал (например) MDR - это венец любой экосистемы, как практическое подтверждение ее эффективности и результативности в реальных условиях эксплуатации.
#vCISO #MDR #dev
Дзен | Статьи
Zero Trust в MDR
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В заметке в перечне важных фич приводится "Мониторинг Identity", что, как я понял, вызывает уже вопросики, но я наброшу еще больше,...
🔥4
Автономные SOC
Последнее время все резко заговорили об автономном SOC: эфир AM Live (напишите, нужно ли писать заметку с комментариями ряда утверждений, а еще лучше - какие утверждения нужно прокомментировать), и Дэн написал заметку, приятель Игорь продолжает эксперименты с агентскими системами, поднимается воодушевление, но в то же время Gartner в декабре 2024 писал вполне адекватный док "Predict 2025: There Will Never Be an Autonomous SOC", есть и немало неплохих статей (например). В общем, видимо, надо поделиться мнением.
Уже 8 лет назад я рисовал что можно сделать с угрозой. Абстрактность описания этого принципа позволяет ему быть аксиоматичным, т.е. он прекрасно работает в условиях любой автоматизации. ML/DL - не что иное, как новые возможности по автоматизации. Если у нас некоторый автомат, - не важно что у него внутри: поиск битовых последовательностей в файле или действий в логе поведения, или пороги вероятности True positive в задаче регрессии при машобуче с учителем или отклонение от профиля при обучении без учителя, или там будет LLM-агент, запускающий автоматически реакцию для каких-то сценариев - умеющий автоматически выполнять инвазивные действия, то это всем нам давно известный сценарий, отмеченный на упоминаемой картинке как "Prevent", реализуемый исторически "антивирусом". Антивирусы начинались как файловые, но с расширением спектра применяемых тактик и техник атакующих, расширялись и технологические возможности средств защиты: подтянулась облачная поддержка (без подобного фанатизма, конечно же) и много других технологий, новички, в желании постричь уже зрелый рынок повторно, изобрели новые термины и подняли хайп "антивирусы мертвы" (или "антивирусы не нужны")- типичный пример говноPRа, когда вместо доказательств преимуществ своего решения фокусируются на недостатках конкурентов, нередко вымышленных и преувеличенных.
Все на той же картинке мы видим стрелочки, когда угрозу, обнаруженную вручную (Threat hunting) потом обнаруживают и, по возможности, предотвращают автоматически. Сейчас у нас [уже давно] есть новые возможности по автоматизации, которые, конечно же, используются. Машобуч, как и любая другая автоматизация, никогда не заменит полностью человека, иначе нас ждет конец. Любая работа при достижении определенного уровня профессионализма превращается в рутину, эту рутину будут автоматизировать, а человеку надо будет грызть новый гранит науки, снова сначала что-то делать вручную, затем это алгоритмизировать и передавать автоматам.
#vCISO #ml
Последнее время все резко заговорили об автономном SOC: эфир AM Live (напишите, нужно ли писать заметку с комментариями ряда утверждений, а еще лучше - какие утверждения нужно прокомментировать), и Дэн написал заметку, приятель Игорь продолжает эксперименты с агентскими системами, поднимается воодушевление, но в то же время Gartner в декабре 2024 писал вполне адекватный док "Predict 2025: There Will Never Be an Autonomous SOC", есть и немало неплохих статей (например). В общем, видимо, надо поделиться мнением.
Уже 8 лет назад я рисовал что можно сделать с угрозой. Абстрактность описания этого принципа позволяет ему быть аксиоматичным, т.е. он прекрасно работает в условиях любой автоматизации. ML/DL - не что иное, как новые возможности по автоматизации. Если у нас некоторый автомат, - не важно что у него внутри: поиск битовых последовательностей в файле или действий в логе поведения, или пороги вероятности True positive в задаче регрессии при машобуче с учителем или отклонение от профиля при обучении без учителя, или там будет LLM-агент, запускающий автоматически реакцию для каких-то сценариев - умеющий автоматически выполнять инвазивные действия, то это всем нам давно известный сценарий, отмеченный на упоминаемой картинке как "Prevent", реализуемый исторически "антивирусом". Антивирусы начинались как файловые, но с расширением спектра применяемых тактик и техник атакующих, расширялись и технологические возможности средств защиты: подтянулась облачная поддержка (без подобного фанатизма, конечно же) и много других технологий, новички, в желании постричь уже зрелый рынок повторно, изобрели новые термины и подняли хайп "антивирусы мертвы" (или "антивирусы не нужны")
Все на той же картинке мы видим стрелочки, когда угрозу, обнаруженную вручную (Threat hunting) потом обнаруживают и, по возможности, предотвращают автоматически. Сейчас у нас [уже давно] есть новые возможности по автоматизации, которые, конечно же, используются. Машобуч, как и любая другая автоматизация, никогда не заменит полностью человека, иначе нас ждет конец. Любая работа при достижении определенного уровня профессионализма превращается в рутину, эту рутину будут автоматизировать, а человеку надо будет грызть новый гранит науки, снова сначала что-то делать вручную, затем это алгоритмизировать и передавать автоматам.
#vCISO #ml
Blogspot
EPP и EDR с позиции Заказчика
- Вам чай или кофе? - Чай. - Вам черный или зеленый? - Черный! - Вам с бергамотом или без? - Без!! - Вам с сахаром или без? ...
❤3👍1👀1