Выводы и рекомендации
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.

#vCISO

Forrester об MDR
(вложение, reprint)

Я стараюсь почитывать подобные публикации от аналитических агенств, чтобы понимать современные тенденции, анализировать адекватность своего решения и, возможно, корректировать наш бесконечный бэклог.

Forrester пишет, что MDR - это еще не прошлое и что он продолжает эволюционировать, и если раньше провайдеры больше фокусировались (и мерились этим) на реагировании, то сегодня мы должны быть максимально проактивными и нести доказательную бизнес-пользу для корпоративной безопасности:

An MDR provider’s ability to positively influence the security of its customers now matters as much as its ability to find threats

Вот на что стоит обращать внимание при выборе MDR-услуг в 2025 году:

1. Detection as Code — основа масштабирования
Скорость и качество обнаружения угроз теперь определяются подходом "обнаружение как код" (Detection as Code), что означает:
- Использование программных методов для создания и развёртывания детекторов
- Автоматизированное тестирование для повышения точности и снижения "шума"
- Возможность быстро адаптироваться к новым тактикам злоумышленников
Примеры: Red Canary, CrowdStrike.

2. Улучшение корпоративной безопасности (Security Posture) - новая задача MDR
Клиенты ожидают, что MDR-провайдеры будут не только искать угрозы, но и помогать улучшать корпоративную ИБ:
- Обнаружение проблемных мест в ИБ
- Максимальная контекстная адаптация под технологический стек, индустрию, регион заказчика и предоставление бенчмаркинг для возможности сравнения (а, может, и самосравнения)
- Предоставление рекомендаций по улучшению программ корпоративной ИБ
Примеры: eSentire, Arctic Wolf.

3. Генеративный ИИ: выгода не только для провайдера, но и для заказчика
Провайдеры активно внедряют GenAI для повышения эффективности своей работы, но важно понимать: транслирует ли провайдер выгоду от ИИ клиентам, например, в виде улучшенных процессов или снижения стоимости, или просто MDR становится более маржинальным. Если честно, мне удивительно видеть намеки от глобального агенства, что автоматизация (ИИ - это именно автоматизация!) должна снижать стоимость😂
Пример: ReliaQuest (использует ИИ-агенты).

4. Широта покрытия (Detection Surface)
Современный провайдер должен обнаруживать угрозы не только на эндпоинтах, но и: в облачных средах, контролировать идентификационные данные (Identity), собирать данные из множества источников, ну, видимо, как минимум, из сети (упоминается XDR)
Пример: CrowdStrike, Expel.

5. Опыт, экспертность аналитиков, их глубокое понимание особенностей, контекста, клиента, а также прозрачность, точнее, проверямость предоставляемых данных в отчетности.

6. Экосистемность и гибкость. Здесь имеется в виду возможность интеграции MDR с используемом у заказчика стеком технологий.

7. Гибкость ценообразования и комплектации услуг (например, Falcon Flex от CrowdStrike).

Лидеры (Leaders): Expel, CrowdStrike, Red Canary.
Сильные игроки (Strong performers): ReliaQuest, Binary Defense, eSentire.
Претенденты (Contenders): Arctic Wolf, Secureworks, SentinelOne, Rapid7.

Итого: Современный MDR-провайдер должен обладать не только превосходными возможностями по обнаружению угроз, но вносить значительный вклад в усовершенствование корпоративной системы управления ИБ.

#MDR #vCISO

Как эффективно управлять инцидентами ИБ?

21.10.2025 в 11:00 MSK
Зарегистрироваться!

Безопасность - это процесс, операционный процесс обеспечения уровня ИБ. Можно много говорить о необходимости проактивных подходов к управлению ИБ, и даже стремиться интегрировать проактивность в операционные сервисы, управлять поверхностью атаки и вообще заниматься анализом рисков, однако, в Darkest hour рядом должны оказаться профессионалы, которые спасут ситуацию. Управление инцидентами - базовый процесс операционной безопасности и в предстоящем стриме 21.10.2025 в 11:00 MSK о нем будут рассуждать самые что ни на есть истинные практики, мои замечательные коллеги, чьим знакомством я горжусь, - Вадим Нерсесов и Сергей Голованов.

Вадим - руководитель операционной команды анатиков, отвечающей за delivery MDR, чья команда каждый день обнаруживает инциденты по всему миру. Благодаря усилиям команды Вадима инциденты не доходят до этапа ущерба корпоративным бизнес-процессам (поэтому статистика инцидентов MDR сильно отличается от статистик инцидентов, построенных, например, на данных проектов по реагировнию на инциденты, DFIR, - но об этом поговорим в другой раз), поэтому предприятия заказчиков продолжают работать в штатном режиме.

Сергей - абсолютный практик в DFIR, на счету которого тысячи интереснейших кейсов, и, уверен, не нуждается в дополнительном представлении, да мне и не хватит одной заметки, чтобы более-менее полно описать биографию Сережи.

Замечу еще, что сочетание спикеров позволит прекрасно раскрыть тему с разных сторон, так как если команды заказчика и Вадима успешно работают, то инцидент удается своевременно обнаружить и предотвратить развитие, а до участия Сергея, как правило, не доходит. А с другой стороны, если Сергей привлекается, то ситуация уже запущена настолько, что инструментальное реагирование MDR не будет достаточно результативным.

Подключайтесь на стрим, будет интересно!

#vCISO #MDR

Новые способы достижения целей ИБ

Нам, безопасникам, всегда не хватает бюджета на обеспечение безопасности! Мы постоянно ходим к топам и разными способами доказываем необходимость инвестиций не только в функциональность, но и в безопасность. Однако, к сожалению, безопасность часто является костом, проигрывающим приоритезационные войны с конкурентно важным и хорошо маркетируемым функционалом. Безопасник остается ни с чем, а когда, обозначенные им риск реализуются - он несет за это полную ответственность.

Особенно настойчивых требователей внимания к ИБ, видимо, увольняют, возможно, так и было с Аттауллой Баигом, бывшим руководителем службы безопасности WhatsApp, который подал в суд на Meta (а еще здесь и здесь), обвиняя компанию в игнорировании серьезных уязвимостей ИБ и конфиденциальности, подвергающих рискам миллиарды пользователей приложения.

Ключевые обвинения со стороны Аттауллы Баига:
- Неограниченный доступ к данным: тысячи сотрудников Meta и WhatsApp имеют доступ к конфиденциальным данным пользователей, включая профили, местоположение, контакты и членство в группах
- Массовый взлом аккаунтов: компания не решает проблему взлома более 100 000 аккаунтов ежедневно
- Игнорирование предложений по безопасности: руководство отвергало и блокировало предложения Баига по улучшению безопасности
- Нарушение соглашения с FTC: эти действия нарушают соглашение о конфиденциальности, достигнутое Meta с Федеральной торговой комиссией (FTC) в 2019 году.

После попыток сообщить о проблемах Марку Цукербергу и другим руководителям, Баиг столкнулся с преследованием со стороны начальства и был уволен в феврале.

Компания отвергла все обвинения, заявив, что Баиг был уволен за неудовлетворительную работу, а его искаженные заявления порочат работу команды, а представитель WhatsApp даже подчеркнул, что безопасность является их приоритетом.

Следует заметить, что это не первое дело против Meta. В статье упоминаются и другие инциденты, включая разоблачения Фрэнсис Хауген о вреде для подростков и недавние заявления сотрудников о рисках для детей в продуктах виртуальной реальности.

Сам Робин Гуд Баиг утверждает, что хочет призвать Meta к ответу и защитить интересы пользователей, которых, по его словам, компания рассматривает как "цифры на приборной панели".

В общем, следим за ситуацией, возможно, это создаст прецедент для аргументации CISO вроде:

Не получится договориться на защите бюджета, поговорим в суде!

#vCISO #пятница

CTEM Is Not a Tool, It’s a Program

Продолжим тему CTEM, так как вышел свеженький документ по теме от Gartner:

Enterprises fail to reduce threat exposure through self-assessment of risks due to unrealistic, siloed and tool-centric approaches to adopting cybersecurity programs.

Чтобы нам не повторить неудачный опыт упомянутых выше организаций, Gartner предлагает читать его доку (reprint, и вложение)

#vCISO

Gartner об MDR: AI - это замечательно, но люди - основа!

Гартнер опубликовал свое руководство по рынку MDR (репринт во вложении, ссылка на него). Ранее мы уже обсуждали мнение Forrester, пришло время посмотреть что же пишет Gartner.

Обязательный состав сервисных компонент:
- Удаленно предоставляемый технологический стек (но есть случаи использования уже развернутых решений) для обнаружения и реагирования на угрозы в реальном времени.
- Круглосуточная работа аналитиков, взаимодействие с заказчиком.
- Возможность немедленного удаленного реагирования и сдерживания угроз (например, изоляция хостов), а не просто оповещения.
- Мониторинг поверхности атаки (совсем недавно касались, и, в целом, все что приобретает свойство "Continuous" может, и, полагаю, должно предоставляться в рамках MDR)
- Проактивный Threat hunting.
- Поддержка облачных инфраструктур, как минимум, популярных Amazon, Google, я нас актуально - Yandex (тем боле, что ребят полно сервисов для автоматизации)

Популярные дополнения:
- Мониторинг Identity.
- Поддержка IoT и технологических сетей (OT).
- Услуги цифровой криминалистики и реагирования на инциденты (DFIR).
- Анализ защищенности, как минимум, на уровне BAS😂, но можно и шире.

Тенденции на рынке:
- Смещение фокуса на проактивность: покупатели хотят не только реагировать на угрозы, но и проактивно выявлять и устранять уязвимости (Threat Exposure Management).
- Рост популярности: расходы на MDR растут быстрее, чем на другие управляемые сервисы безопасности.
- Расширение покрытия: ключевыми областями становятся облачные сервисы (IaaS, SaaS), Identity и мониторинг приложений.
- Влияние ИИ: ИИ и автоматизация повышают эффективность MDR, но не заменяют человеческий анализ, "Автономный SOC" - это миф.
- заказчики хотят большей адаптации, чтобы MDR был не просто инструментом (~ системой обнаружения), а приносил обосновываемую ценность в контексте копании (кстати, простой способ принести ценность - подхватить на мониторинг on-prem развернутые решения).
- обязательные широкие возможности по интеграции в корпоративные процессы обеспечения ИБ, тем более, что MDR не заменяет внутренние процессы безопасности компании, и заказчикам надо:
-- Иметь собственные отработанные процессы реагирования на инциденты,
-- Интегрировать MDR с внутренними системами управления обращениями и инцидентами,
-- Наладить взаимодействие между внутренними командами и провайдером MDR,
(замечу, что это повторяет мой старый тезис, что любой SOC - гибридный)
- MDR подходит для всех:
-- у кого нет SOC - MDR хороший старт, а также может быть временным решением, пока строится свой SOC,
-- у кого есть - усиление внутренней команды (оптимальный сценарий).

#MDR #vCISO

Инсайдеры

Нередко в прогнозах атак на будущий год фигурируют угрозы, связанные с внутренними злоумышленниками. Лично я скептически отношусь к защите от внутреннего нарушителя (особенно, к защите от админа), и, как следствие, не очень уважаю решения DLP, хотя когда-то их предметно исследовал с целью внедрения у прошлого работодателя. Но вот и ISACA в своих прогнозах на 2026 (вложение) обозначает "insider threats" следующей после "Ransomware" и "AI-driven social engineering", что заставило задуматься.

А подумал я вот о чем. Я не раз поднимал вопрос о том, что при грамотной реализации программную закладку невозможно отличить от уязвимости в результате "ошибок" при разработке. Уязвимосить в продукте или решении - это "нормально", а программная закладка - это "очень плохо", однако, фактическая разница только в намерении исполнителя, а это намерение невозможно проверить, да и если даже намерение будет однозначно установлено, есть еще масса вариантов для компании-разработчика отказаться от ответственности: проблема в данном конкретном нечитоплотном\невнимательном\ленивом работнике, козла отпущения можно найти всегда.

Ситуация с умыслом, превращающим уязвимость в недокументированную возможность, очень похожа на ситуацию с инсайдером, где наличие злого умысла превращает обычную социальную инженерию в атаку инсайдера. С учетом того, что социальная инженерия вообще и целевой фишинг в частности уже который год не теряют первенства, а с появлением LLM, подготовка подобных атак заметно упростилась (кстати, "AI-driven social engineering", занимает почетное второе место после шифровальщиков\вымогателей), использовать их для маскировки работы инсайдера вполне логично. Более того, есть масса схем, когда сам инсайдер может успешно спровоцировать компрометацию сети, при этом сам оставшись, как бы, ни при чем.

Таким образом, ключевая проблема защиты от инсайдерских угроз заключается не в технической сложности, а в фундаментальной невозможности отличить злой умысел от человеческой ошибки. Как уязвимость в коде, вызванная халатностью, неотличима от преднамеренной закладки, так и успешная фишинговая атака на сотрудника может быть как результатом простой невнимательности, так и тщательно спланированной провокацией со стороны самого инсайдера. Это стирает грань между внешней и внутренней угрозой, превращая социальную инженерию в идеальное прикрытие для злоумышленника внутри компании. И это мы еще не касались тем с промыванием мозгов, манипуляциями, созданием "пятой колонны" и т.п. В общем, любая угроза всегда "внешняя", а "внутренней" не бывает, ибо какой смысл работать на компанию, к которой не лоялен?

#vCISO

Gartner: Automated Exposure Management и Zero Trust должны быть частью предложения MDR

Гартнер выпустил документ "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (вложение), согласно которому автоматический контроль поверхности атаки и подходы нулевого доверия должны стать частью MDR в ближайшее время.

Что касается контроля поверхности атаки, то об этом не раз писали и Forrester и Gartner , и вопросов здесь не возникает, то про ZT и контроль Identity стоит поговорить поподробнее.

Чтобы не испытывать ограничения формата заметки в Telegram, подготовил статью.

Статья будет полезна тем, кто определяет продуктовую стратегию MDR и экосистем ИБ вообще, ибо, как не раз писал (например) MDR - это венец любой экосистемы, как практическое подтверждение ее эффективности и результативности в реальных условиях эксплуатации.

#vCISO #MDR #dev

Автономные SOC

Последнее время все резко заговорили об автономном SOC: эфир AM Live (напишите, нужно ли писать заметку с комментариями ряда утверждений, а еще лучше - какие утверждения нужно прокомментировать), и Дэн написал заметку, приятель Игорь продолжает эксперименты с агентскими системами, поднимается воодушевление, но в то же время Gartner в декабре 2024 писал вполне адекватный док "Predict 2025: There Will Never Be an Autonomous SOC", есть и немало неплохих статей (например). В общем, видимо, надо поделиться мнением.

Уже 8 лет назад я рисовал что можно сделать с угрозой. Абстрактность описания этого принципа позволяет ему быть аксиоматичным, т.е. он прекрасно работает в условиях любой автоматизации. ML/DL - не что иное, как новые возможности по автоматизации. Если у нас некоторый автомат, - не важно что у него внутри: поиск битовых последовательностей в файле или действий в логе поведения, или пороги вероятности True positive в задаче регрессии при машобуче с учителем или отклонение от профиля при обучении без учителя, или там будет LLM-агент, запускающий автоматически реакцию для каких-то сценариев - умеющий автоматически выполнять инвазивные действия, то это всем нам давно известный сценарий, отмеченный на упоминаемой картинке как "Prevent", реализуемый исторически "антивирусом". Антивирусы начинались как файловые, но с расширением спектра применяемых тактик и техник атакующих, расширялись и технологические возможности средств защиты: подтянулась облачная поддержка (без подобного фанатизма, конечно же) и много других технологий, новички, в желании постричь уже зрелый рынок повторно, изобрели новые термины и подняли хайп "антивирусы мертвы" (или "антивирусы не нужны") - типичный пример говноPRа, когда вместо доказательств преимуществ своего решения фокусируются на недостатках конкурентов, нередко вымышленных и преувеличенных.

Все на той же картинке мы видим стрелочки, когда угрозу, обнаруженную вручную (Threat hunting) потом обнаруживают и, по возможности, предотвращают автоматически. Сейчас у нас [уже давно] есть новые возможности по автоматизации, которые, конечно же, используются. Машобуч, как и любая другая автоматизация, никогда не заменит полностью человека, иначе нас ждет конец. Любая работа при достижении определенного уровня профессионализма превращается в рутину, эту рутину будут автоматизировать, а человеку надо будет грызть новый гранит науки, снова сначала что-то делать вручную, затем это алгоритмизировать и передавать автоматам.

#vCISO #ml