Автономные SOC
Последнее время все резко заговорили об автономном SOC: эфир AM Live (напишите, нужно ли писать заметку с комментариями ряда утверждений, а еще лучше - какие утверждения нужно прокомментировать), и Дэн написал заметку, приятель Игорь продолжает эксперименты с агентскими системами, поднимается воодушевление, но в то же время Gartner в декабре 2024 писал вполне адекватный док "Predict 2025: There Will Never Be an Autonomous SOC", есть и немало неплохих статей (например). В общем, видимо, надо поделиться мнением.
Уже 8 лет назад я рисовал что можно сделать с угрозой. Абстрактность описания этого принципа позволяет ему быть аксиоматичным, т.е. он прекрасно работает в условиях любой автоматизации. ML/DL - не что иное, как новые возможности по автоматизации. Если у нас некоторый автомат, - не важно что у него внутри: поиск битовых последовательностей в файле или действий в логе поведения, или пороги вероятности True positive в задаче регрессии при машобуче с учителем или отклонение от профиля при обучении без учителя, или там будет LLM-агент, запускающий автоматически реакцию для каких-то сценариев - умеющий автоматически выполнять инвазивные действия, то это всем нам давно известный сценарий, отмеченный на упоминаемой картинке как "Prevent", реализуемый исторически "антивирусом". Антивирусы начинались как файловые, но с расширением спектра применяемых тактик и техник атакующих, расширялись и технологические возможности средств защиты: подтянулась облачная поддержка (без подобного фанатизма, конечно же) и много других технологий, новички, в желании постричь уже зрелый рынок повторно, изобрели новые термины и подняли хайп "антивирусы мертвы" (или "антивирусы не нужны")- типичный пример говноPRа, когда вместо доказательств преимуществ своего решения фокусируются на недостатках конкурентов, нередко вымышленных и преувеличенных.
Все на той же картинке мы видим стрелочки, когда угрозу, обнаруженную вручную (Threat hunting) потом обнаруживают и, по возможности, предотвращают автоматически. Сейчас у нас [уже давно] есть новые возможности по автоматизации, которые, конечно же, используются. Машобуч, как и любая другая автоматизация, никогда не заменит полностью человека, иначе нас ждет конец. Любая работа при достижении определенного уровня профессионализма превращается в рутину, эту рутину будут автоматизировать, а человеку надо будет грызть новый гранит науки, снова сначала что-то делать вручную, затем это алгоритмизировать и передавать автоматам.
#vCISO #ml
Последнее время все резко заговорили об автономном SOC: эфир AM Live (напишите, нужно ли писать заметку с комментариями ряда утверждений, а еще лучше - какие утверждения нужно прокомментировать), и Дэн написал заметку, приятель Игорь продолжает эксперименты с агентскими системами, поднимается воодушевление, но в то же время Gartner в декабре 2024 писал вполне адекватный док "Predict 2025: There Will Never Be an Autonomous SOC", есть и немало неплохих статей (например). В общем, видимо, надо поделиться мнением.
Уже 8 лет назад я рисовал что можно сделать с угрозой. Абстрактность описания этого принципа позволяет ему быть аксиоматичным, т.е. он прекрасно работает в условиях любой автоматизации. ML/DL - не что иное, как новые возможности по автоматизации. Если у нас некоторый автомат, - не важно что у него внутри: поиск битовых последовательностей в файле или действий в логе поведения, или пороги вероятности True positive в задаче регрессии при машобуче с учителем или отклонение от профиля при обучении без учителя, или там будет LLM-агент, запускающий автоматически реакцию для каких-то сценариев - умеющий автоматически выполнять инвазивные действия, то это всем нам давно известный сценарий, отмеченный на упоминаемой картинке как "Prevent", реализуемый исторически "антивирусом". Антивирусы начинались как файловые, но с расширением спектра применяемых тактик и техник атакующих, расширялись и технологические возможности средств защиты: подтянулась облачная поддержка (без подобного фанатизма, конечно же) и много других технологий, новички, в желании постричь уже зрелый рынок повторно, изобрели новые термины и подняли хайп "антивирусы мертвы" (или "антивирусы не нужны")
Все на той же картинке мы видим стрелочки, когда угрозу, обнаруженную вручную (Threat hunting) потом обнаруживают и, по возможности, предотвращают автоматически. Сейчас у нас [уже давно] есть новые возможности по автоматизации, которые, конечно же, используются. Машобуч, как и любая другая автоматизация, никогда не заменит полностью человека, иначе нас ждет конец. Любая работа при достижении определенного уровня профессионализма превращается в рутину, эту рутину будут автоматизировать, а человеку надо будет грызть новый гранит науки, снова сначала что-то делать вручную, затем это алгоритмизировать и передавать автоматам.
#vCISO #ml
Blogspot
EPP и EDR с позиции Заказчика
- Вам чай или кофе? - Чай. - Вам черный или зеленый? - Черный! - Вам с бергамотом или без? - Без!! - Вам с сахаром или без? ...
❤3👍1👀1
This media is not supported in your browser
VIEW IN TELEGRAM
Подписчик поделился видео.
В целом, к сожалению, нередко с трибуны от экспертов мы слышим противоречивые вещи, и, как бы, можно было бы и пропустить, но здесь проблема мне показалась более глубокой, имеющей исторические аналогии, появилось желание порассуждать. Едва ли мне удалось полностью раскрыть тему, но кое-какие "забросы", думаю, мне удалось сделать, и цели катализировать релевантные рассуждения у читателей, думаю, мне удалось достичь.
Согласие, несогласие, дополнения, уточнения - приветствуются в комментариях!
#ml #саморазвитие #книги
В целом, к сожалению, нередко с трибуны от экспертов мы слышим противоречивые вещи, и, как бы, можно было бы и пропустить, но здесь проблема мне показалась более глубокой, имеющей исторические аналогии, появилось желание порассуждать. Едва ли мне удалось полностью раскрыть тему, но кое-какие "забросы", думаю, мне удалось сделать, и цели катализировать релевантные рассуждения у читателей, думаю, мне удалось достичь.
Согласие, несогласие, дополнения, уточнения - приветствуются в комментариях!
#ml #саморазвитие #книги
👍5❤1
В новом лонгриде продолжил рассуждения о компромиссах развития сервисного подразделения. Идеальный сценарий - полная универсальность, однако с этим есть ряд очевидных сложностей.
#управление
#управление
Дзен | Статьи
Открытие дверей
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Продолжу обсуждаемую ранее тему работы сервисных подразделений в продуктовых компаниях, и коснусь немного стратегии. В п.
👍9
Защитник короны
Мой первый компьютер - совместимый с ZX Spectrum, когда я был еще школьником в средней школе. На нем я писал программки на Basic, а еще, конечно же, играл. Помню, мне нравилась стратегическая игра Defender of the Crown. Действие игры происходит в средневековой Англии, сразу после смерти короля, когда различные фракции борются за контроль над страной. Игрок начинает игру за одного из саксов и пытается сражаться с ордами норманнов. Цель - получить контроль над большей территорией.
Одним из элементов игрового процесса были рыцарские турниры (Joust), где предлагается два вида ставки: за деньги (for money) и за славу (for fame).
Деньги были нужны для найма армий, проведения осад и содержания замков. Ставка "For Money" была более надежным, но менее прибыльным в долгосрочной перспективе способом пополнения казны.
Слава была критически важным параметром. Чем выше была слава, тем:
- чаще другие лорды предлагали союзы;
- больше солдат присоединялось к армии бесплатно во время путешествий по стране;
- проще было добиться поддержки в борьбе за трон.
Т.е. накопленная слава прибыльна в долгосрочной перспективе. Поэтому в зависимости от текущей ситуации в игре надо было понять когда нам нужен успех прямо сейчас (сражаемся за деньги) или на дальнем горизонте планирования (сражаемся за славу)
Эта маленькая, упрощенная функциональность игры неплохо отражает нашу действительность: нередко нам приходится выбирать между работой за деньги и работой за опыт. Почему так происходит - в новой небольшой статье.
#управление
Мой первый компьютер - совместимый с ZX Spectrum, когда я был еще школьником в средней школе. На нем я писал программки на Basic, а еще, конечно же, играл. Помню, мне нравилась стратегическая игра Defender of the Crown. Действие игры происходит в средневековой Англии, сразу после смерти короля, когда различные фракции борются за контроль над страной. Игрок начинает игру за одного из саксов и пытается сражаться с ордами норманнов. Цель - получить контроль над большей территорией.
Одним из элементов игрового процесса были рыцарские турниры (Joust), где предлагается два вида ставки: за деньги (for money) и за славу (for fame).
Деньги были нужны для найма армий, проведения осад и содержания замков. Ставка "For Money" была более надежным, но менее прибыльным в долгосрочной перспективе способом пополнения казны.
Слава была критически важным параметром. Чем выше была слава, тем:
- чаще другие лорды предлагали союзы;
- больше солдат присоединялось к армии бесплатно во время путешествий по стране;
- проще было добиться поддержки в борьбе за трон.
Т.е. накопленная слава прибыльна в долгосрочной перспективе. Поэтому в зависимости от текущей ситуации в игре надо было понять когда нам нужен успех прямо сейчас (сражаемся за деньги) или на дальнем горизонте планирования (сражаемся за славу)
Эта маленькая, упрощенная функциональность игры неплохо отражает нашу действительность: нередко нам приходится выбирать между работой за деньги и работой за опыт. Почему так происходит - в новой небольшой статье.
#управление
Дзен | Статьи
Лидеры и аутсайдеры
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Пару лет назад я рассуждал о сверхмотивированных лидерах, пришло время поговорить об аутсайдерах и распределении благ, тем более, что
👍8❤1👏1
Едва ли мне удастся более подробно рассказать о нашей поездке в Тбилиси, чем это уже сделал Евгений Влентинович, но на одной непопулярной достопримечательности я, все же, остановлюсь - памятник Нико Пиросмани.
Лично мне эта скульптура, установленная в 1975 году по проекту скульптора-монументалиста Элгуджи Давидовича Амашукели показалась очень глубокой. Пиросмани изображён стоящим на коленях и держащим на руках овечку. Овечка - агнец - жертва, символизирует всю жизнь художника, смиренно, коленопреклоненно принесенную им в жертву ради искусства, которое было по достоинству оценено, но уже только после его трагичного ухода. А вокруг памятника - розовые кусты, поскольку знаменитая история из песни Пугачевой на стихи Андрея Вознесенского рассказыват о безответной любви Нико к французской актрисе Маргарите де Севр. Кстати, портрет Маргариты работы Нико нам всем хорошо известен и находится Государственном музее искусств Грузии, в Тбилиси. Но ряд работ Пиросмани также можно встретить и в Третьяковской галерее. В частности, я их видел на экспозиции Русского авангарда, и заметил, что скоро будет тематическая выставка - обязательно напишу, если удастся добраться.
#искусство
Лично мне эта скульптура, установленная в 1975 году по проекту скульптора-монументалиста Элгуджи Давидовича Амашукели показалась очень глубокой. Пиросмани изображён стоящим на коленях и держащим на руках овечку. Овечка - агнец - жертва, символизирует всю жизнь художника, смиренно, коленопреклоненно принесенную им в жертву ради искусства, которое было по достоинству оценено, но уже только после его трагичного ухода. А вокруг памятника - розовые кусты, поскольку знаменитая история из песни Пугачевой на стихи Андрея Вознесенского рассказыват о безответной любви Нико к французской актрисе Маргарите де Севр. Кстати, портрет Маргариты работы Нико нам всем хорошо известен и находится Государственном музее искусств Грузии, в Тбилиси. Но ряд работ Пиросмани также можно встретить и в Третьяковской галерее. В частности, я их видел на экспозиции Русского авангарда, и заметил, что скоро будет тематическая выставка - обязательно напишу, если удастся добраться.
#искусство
🔥5👍4👏1
How to build AI agents into your SOC
Одним из положительных моментов путешествий является избыток свободного времени в аэропорту. На этот раз, по пути домой в столицу, мне наконец-то удалось закончить ознакомление с замечательным гайдом от Red Canary по созданию надежных и эффективных AI-агентов для интеграции в операционную работу SOC. Тема мне небезразлична, поэтому поделюсь мыслями из доки. Сразу замечу, что если вы уже имеете хоть какой-то практический опыт написания агентов, хотя бы на уровне упомянутого здесь курса, то дока покажется вам скучной, но для начинающих джедаев материал может стать неплохой базой, упорядочивающей понимание и перечисляющей очевидные грабли, которые можно обойти.
Мы все немного скептически относимся к формализации процессов, и я сам нередко пропагандирую fuckup-driven management, однако, в случае передачи чего-либопрограммному болвану AI-агенту, никакая формализация не может быть лишней. Основной тезис документа: надежность важнее новизны, поэтому ключ к успеху лежит не в использовании самой передовой модели, а в построении детерминированных рабочих процессов, строгих ограничений и постоянном измерении результатов. Документ содержит не только теоретические основы, но и практические примеры на Git, а кто любит за трапезой посмотреть что-то полезное есть видео на Youtube Elevate and empower your SOC with AI.
Ключевые принципы построения надежных AI-агентов
1. Структура и Детерминизм. Большие языковые модели по своей природе вероятностны и могут давать разные результаты при одних и тех же входных данных. Для SOC это недопустимо, так как критически важна повторяемость, поэтому Канарейки рекомендуют использовать детерминированную оркестрацию в сочетании с ограниченным рассуждением агентов: задачи разбиваются на явные, небольшие шаги, а агенты используются только там, где их вероятностная природа может приносить пользу (например, для анализа и корреляции), а не для принятия ключевых решений.
2. Дизайн системы, а не одной модели. Ценность извлекается из взаимодействия дизайна workflow, защитных механизмов и выбора моделей, т.е. вместо одного "универсального" агента следует строить сложные системы из простых, узкоспециализированных компонентов. Четкое выделение простых детерменированных шагов для агента прекрасно бьется и с мнением моих друзей, съевших не одну собаку на автоматизации SOC с помощью AI-агентов.
Документ разбирает кейс автоматизации анализа данных OSQuery с конечных точек. В частности, Аналитик может тратить 30+ минут на полуручной разбор десятков JSON-файлов, тогда как AI-агенты могут сократить это время до 2 мин. Для этого создаются несколько узкоспециализированных агентов, каждый из которых отвечает за свою категорию данных OSQuery, например, агент программного обеспечения, агент файловой системы, агент пользователей и групп, агент WMI-событий, и т.п. Для оркестрации используются специализированные агенты, запускаемые параллельно, а их результаты затем агрегируются в единый отчет. Для управления таким workflow используются фреймворки вроде LangGraph.
В документе также освещаются вопросы выбора и оптимизации моделей и безопасности. Интересно почитать о том, как Канарейки пишут об использовании агентов у себя, конечно, по возможности, счищая весь налет маркетинга. В целом, ребята не испытывают беспокойства, используя доступные из облака LLM, поэтому клиентам Red Canary, возможно, имеет смысл обратить внимание на то, что их данные доступны помимо MSSP (Канарейки) и IaaS (Microsoft), но и провайдерам LLM (OpenAI, Google), в общем, поверхность атаки расширяется.
#ml #MDR
Одним из положительных моментов путешествий является избыток свободного времени в аэропорту. На этот раз, по пути домой в столицу, мне наконец-то удалось закончить ознакомление с замечательным гайдом от Red Canary по созданию надежных и эффективных AI-агентов для интеграции в операционную работу SOC. Тема мне небезразлична, поэтому поделюсь мыслями из доки. Сразу замечу, что если вы уже имеете хоть какой-то практический опыт написания агентов, хотя бы на уровне упомянутого здесь курса, то дока покажется вам скучной, но для начинающих джедаев материал может стать неплохой базой, упорядочивающей понимание и перечисляющей очевидные грабли, которые можно обойти.
Мы все немного скептически относимся к формализации процессов, и я сам нередко пропагандирую fuckup-driven management, однако, в случае передачи чего-либо
Ключевые принципы построения надежных AI-агентов
1. Структура и Детерминизм. Большие языковые модели по своей природе вероятностны и могут давать разные результаты при одних и тех же входных данных. Для SOC это недопустимо, так как критически важна повторяемость, поэтому Канарейки рекомендуют использовать детерминированную оркестрацию в сочетании с ограниченным рассуждением агентов: задачи разбиваются на явные, небольшие шаги, а агенты используются только там, где их вероятностная природа может приносить пользу (например, для анализа и корреляции), а не для принятия ключевых решений.
2. Дизайн системы, а не одной модели. Ценность извлекается из взаимодействия дизайна workflow, защитных механизмов и выбора моделей, т.е. вместо одного "универсального" агента следует строить сложные системы из простых, узкоспециализированных компонентов. Четкое выделение простых детерменированных шагов для агента прекрасно бьется и с мнением моих друзей, съевших не одну собаку на автоматизации SOC с помощью AI-агентов.
Документ разбирает кейс автоматизации анализа данных OSQuery с конечных точек. В частности, Аналитик может тратить 30+ минут на полуручной разбор десятков JSON-файлов, тогда как AI-агенты могут сократить это время до 2 мин. Для этого создаются несколько узкоспециализированных агентов, каждый из которых отвечает за свою категорию данных OSQuery, например, агент программного обеспечения, агент файловой системы, агент пользователей и групп, агент WMI-событий, и т.п. Для оркестрации используются специализированные агенты, запускаемые параллельно, а их результаты затем агрегируются в единый отчет. Для управления таким workflow используются фреймворки вроде LangGraph.
В документе также освещаются вопросы выбора и оптимизации моделей и безопасности. Интересно почитать о том, как Канарейки пишут об использовании агентов у себя, конечно, по возможности, счищая весь налет маркетинга. В целом, ребята не испытывают беспокойства, используя доступные из облака LLM, поэтому клиентам Red Canary, возможно, имеет смысл обратить внимание на то, что их данные доступны помимо MSSP (Канарейки) и IaaS (Microsoft), но и провайдерам LLM (OpenAI, Google), в общем, поверхность атаки расширяется.
#ml #MDR
YouTube
Elevate and empower your SOC with AI
#aiagent #ai #securityoperations #cybersecurity #cybersecurityexperts
Chapters:
00:00 - 25:22: Demo of Red Canary's AI powered SOC
25:23 - 59:37: Q&A with Brian and Jimmy
Follow us:
https://www.twitter.com/RedCanary
https://www.linkedin.com/company/redcanary…
Chapters:
00:00 - 25:22: Demo of Red Canary's AI powered SOC
25:23 - 59:37: Q&A with Brian and Jimmy
Follow us:
https://www.twitter.com/RedCanary
https://www.linkedin.com/company/redcanary…
👍9
HowToBuildAIagentsIntoyourSOC_RedCanary.pdf
3.6 MB
Red Canary. How to build AI agents into your SOC
sans-2025-ai-survey.pdf
8 MB
SANS 2025 AI Survey
До меня долетел опрос SANS об использовании ИИ в безопасности. Академическое исследование применимости публиковал ранее, а еще полезно посмотреть на опрос тех же ребят но о SOC, там тоже есть про ИИ. Кратко пробегусь что же там.
1. ИИ в безопасности используют слабо: хотя 50% организаций уже применяют ИИ, лишь половина из них использует его для задач ИБ, например, 33% используют ИИ для обнаружения и расследования инцидентов, и только 26% - для реагирования.Понимаю респондентов, мне бы автореспонсы от ИИ тоже доставили излишнюю обеспокоенность.
2. Страх перед ИИ-атаками намного выше, чем фактическое использование защитных ИИ-инструментов: 81% обеспокоены атаками с использованием ИИ, в частности - персонализированной социалкой (83%), дипфейками (73%), быстрым поиском уязвимостей (67%).
3. Чрезвычайно много фолсы: 66% команд отмечают, что ИИ генерирует слишком много ложных срабатываний, что, напротив, усиливает усталость от алертов (alert fatigue).
4. О том, что ИИ расширяет поверхность атаки и возникают новые риски, которыми надо управлять, задумываются немногие: только 35% имеют формальную программу управления ИИ-рисками, 42% - лишь начинают формировать политики, а 24% вообще не оценивают ИИ-риски у сторонних вендоров.
5. ИИ не заменяет людей: 65% говорят о необходимости более специализированного обучения по ИИ, 67% ожидают рост спроса на специалистов, совмещающих ИИ и безопасность (об этом есть здесь)
Документ содержит интересные разбивки о применимости ИИ в DFIR, AppSec и Red Teaming, их несложно посмотреть, не буду расписывать.
Общее ощущение от доки, что пока ИИ не очень прижился в ИБ и это отчасти объясняется нехваткой безопасников, прокаченных в ML/AI, которые, с одной стороны, прекрасно знают предметную область, а с другой - понимают возможности ИИ, как инструмента автоматизации. И проблема решится ровно тогда, когда ИИ-инструменты станут настолько же популярны, как nmap для пентестера. Ну, в общем, намек на приоритеты ближайшего саморазвития, понятен.
#ml #vCISO
До меня долетел опрос SANS об использовании ИИ в безопасности. Академическое исследование применимости публиковал ранее, а еще полезно посмотреть на опрос тех же ребят но о SOC, там тоже есть про ИИ. Кратко пробегусь что же там.
1. ИИ в безопасности используют слабо: хотя 50% организаций уже применяют ИИ, лишь половина из них использует его для задач ИБ, например, 33% используют ИИ для обнаружения и расследования инцидентов, и только 26% - для реагирования.
2. Страх перед ИИ-атаками намного выше, чем фактическое использование защитных ИИ-инструментов: 81% обеспокоены атаками с использованием ИИ, в частности - персонализированной социалкой (83%), дипфейками (73%), быстрым поиском уязвимостей (67%).
3. Чрезвычайно много фолсы: 66% команд отмечают, что ИИ генерирует слишком много ложных срабатываний, что, напротив, усиливает усталость от алертов (alert fatigue).
4. О том, что ИИ расширяет поверхность атаки и возникают новые риски, которыми надо управлять, задумываются немногие: только 35% имеют формальную программу управления ИИ-рисками, 42% - лишь начинают формировать политики, а 24% вообще не оценивают ИИ-риски у сторонних вендоров.
5. ИИ не заменяет людей: 65% говорят о необходимости более специализированного обучения по ИИ, 67% ожидают рост спроса на специалистов, совмещающих ИИ и безопасность (об этом есть здесь)
Документ содержит интересные разбивки о применимости ИИ в DFIR, AppSec и Red Teaming, их несложно посмотреть, не буду расписывать.
Общее ощущение от доки, что пока ИИ не очень прижился в ИБ и это отчасти объясняется нехваткой безопасников, прокаченных в ML/AI, которые, с одной стороны, прекрасно знают предметную область, а с другой - понимают возможности ИИ, как инструмента автоматизации. И проблема решится ровно тогда, когда ИИ-инструменты станут настолько же популярны, как nmap для пентестера. Ну, в общем, намек на приоритеты ближайшего саморазвития, понятен.
#ml #vCISO
👍4