Adam Koblentz from RevealSecurity shares why context - not anomalies - drives SaaS threat detection.
Lessons from the Salesloft Drift breach show why raw app logs aren’t enough without normalization and business semantics.
Read full interview:
https://www.technadu.com/context-is-key-what-the-salesloft-drift-breach-reveals-about-saas-security-gaps/610244/
Operationalizing AI: 4 Tactics to Shield Your Cyber Defenses.
#AISecurity, #CyberDefense, #MachineLearningSecurity, #ThreatIntelligence, #ZeroTrust, #SOCAutomation, #CyberAI, #SecurityAutomation, #UEBA, #SOAR, #VulnerabilityManagement,
Out of the box: отчуждаемый механизм корреляции
В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.
https://habr.com/ru/companies/securityvison/articles/926436/
#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba
UEBA в кибербезе: как профилирование поведения пользователей на основе Autoencoder помогает выявлять угрозы и аномалии
В современном мире количество атак растёт пропорционально количеству внедрений новых технологий, особенно когда технологии ещё недостаточно изучены. В последнее время атаки становятся всё более разнообразными, а методы их реализации — всё более изощрёнными. Дополнительные проблемы несут и методы искусственного интеллекта, которыми вооружаются специалисты RedTeam. В руках опытного специалиста эти инструменты становятся реальной угрозой безопасности потенциальных целей. Большинство средств информационной безопасности основаны на корреляционных или статистических методах, которые в современных реалиях часто оказываются неэффективными. Что же тогда остаётся специалистам BlueTeam?
https://habr.com/ru/companies/gaz-is/articles/899058/
#газинформсервис #информационная_безопасность #ueba #поведенческая_аналитика #lstm #autoencoder #falco
История создания ASoar: от идеи до реализации системы кибербезопасности
Я описал свой путь в предыдущей статье https://habr.com/ru/articles/813239/ , но если коротко, то моя карьера в сфере информационной безопасности началась, как и у многих, с работы в ИТ-инфраструктуре. Поначалу моя компания занималась тем, что поддерживала стабильность сетей и систем для различных компаний, и регулярно сталкиваясь с типичными проблемами, связанными с кибератаками. Однажды в компании, где штат ИБ был минимален, мы внедрили SIEM — решение, которое, как считалось, должно было кардинально улучшить безопасность. Однако это был дорогостоящий и трудоёмкий процесс. SIEM не только не оправдал ожиданий, но и породил кучу инцидентов, большинство из которых не представляли реальной угрозы. Специалисты тратили время на анализ множества событий, которые, по сути, были незначительными. С каждым новым ложным срабатыванием доверие к системе падало. В конце концов, люди просто начали игнорировать предупреждения, считая, что система безопасна, хотя это было далеко не так. Так я сформулировал ключевую проблему SIEM: В обычных организациях, где число специалистов по ИБ ограничено, использование SIEM часто не приводит к ожидаемым результатам. И именно это открыло мне глаза на необходимость поиска нового подхода. Я начал думать о том, как можно было бы автоматизировать процессы безопасности, не нагружая команду ложными тревогами и сложными настройками.
https://habr.com/ru/articles/846600/
#ASoar #TDR #SOAR #NDR #SIEM #SOC #опыт #история_создания #отечественное_по #ueba
Sentinel Tip - Enable User and Entity Behavior Analytics (UEBA): Use UEBA to detect anomalies and potential threats. UEBA helps in identifying unusual behavior patterns and early warning for your identity perimeter. #UEBA #AnomalyDetection #Security
#WorkSurveillance #Surveillance #WageSlavery #SIEM #UEBA #CyberSecurity #ThreatDetection #BehaviorProfiling: "This case study explores, examines and documents how employers can use software that analyzes extensive personal data on employee behavior and communication for cybersecurity, insider threat detection and compliance purposes. To illustrate wider practices, it investigates software for “security information and event management” (SIEM), “user and entity behavior analytics” (UEBA), insider risk management and communication monitoring from two major vendors. First, it looks into cybersecurity and risk profiling systems offered by Forcepoint, a software vendor that was until recently owned by the US defense giant Raytheon. Second, it investigates in detail how employers can use cybersecurity and risk profiling software sold by Microsoft, whose “Sentinel” and “Purview” systems provide SIEM, UEBA, insider risk management and communication monitoring functionality. Combined, these systems can monitor everything employees do or say, profile their behavior and single them out for further investigation. Similar to predictive policing technologies, they promise not only to detect incidents but to prevent them before they occur. While organizations can use these software systems for legitimate purposes, this study focuses on their potential implications for employees."
https://crackedlabs.org/en/data-work/publications/securityriskprofiling
Turbo ML Conf 2024 — по следам
В формате разбора содержания докладов я, автор канала @borismlsec, приведу три интереснейших из тех, что мне довелось посетить на конференции Turbo ML 2024. Они привлекли меня не только как дата саентиста, но и как сотрудника вендора решений по кибербезопасности. И по каждому докладу в конце я расскажу, почему.
Создание правил SIEM с использованием категорийных моделей
В статье рассказываю о возможности применения концепции категорийных моделей для выявления аномалий в действиях пользователей при помощи SIEM. Модели позволяют описать и использовать профиль типичной активности пользователей и других сущностей. У себя используем их для выявления кражи учетных записей, перемещения по инфраструктуре (lateral movement). Кроме того, именно правила "Первый раз X сделал Y" стали использоваться для прямых уведомлений нашим сотрудникам из SIEM.
Шифровальщики – волшебные твари и где они обитают
Добрый день, меня зовут Лидия Виткова, я начальник аналитического центра кибербезопасности компании «Газинформсервис» (а еще немножко product owner платформы расширенной аналитики Ankey ASAP). В 2023 году мы в рамках НИОКР , а потом уже и при разработке платформы расширенной аналитики изучали шифровальщиков и разрабатывали модели обнаружения паттернов поведения атак шифровальщиков. Путь был длинным, результатов много, по итогам проекта на Хабре будут две статьи. В этом материале расскажу, что это за волшебные твари – шифровальщики и какие у них в общем и целом манеры. Также предлагаю посмотреть на их эволюцию, так как в историческом контексте становится понятнее, как меняется вредонос и его «поведение».
Как сделать персональные отчеты о действиях пользователей в SIEM
Рассказываю об опыте и методологии создания персональных отчетов о действиях сотрудников по событиям из SIEM. У нас они используются для выявления потенциальных захватов учетных записей злоумышленниками при распространении их по корпоративной сети организации (lateral movement).
In another form of crowdsourcing, @bforeai is using AI to analyze internet metadata and other datasets to identify anomalies that a predicates to cyber-attacks.
I worry that this approach has the same issue as UEBA: establishing a baseline that includes bad behavior (anomalies) makes it harder to identify those anomalies.
BforeAI's recent $15M funding round should help it avoid this issue while expanding into the US market.
#security #cybersecurity #AI #anomalydetection #anomalies #UEBA #funding #crowdsourcing
"#AI Powered #Observability Platform @segwise_ai Raises USD 1.6Mn Led by Powerhouse Ventures, Antler and Others"
Time for this meme again!
Looks like #O11Y washing tho. Seems closer to #BI or #UEBA, I reckon. You?
I need to dig in w/ @Sageable (is me!)
Tip on User Anomaly Detection: Utilize user and entity behavior analytics (#UEBA) in Microsoft Sentinel to detect anomalous user behavior, such as unusual login times or access patterns.
Расширенная аналитика в технологиях моделирования UEBA
Сезон 1 эпизод 3-й контекст: «Пример (примеры) расширенной аналитики UEBA в ИБ» Эта статья по сути заключительная в теме про UEBA в информационной безопасности, то есть ранее были еще публикации: Статья 1 , Статья 2 .
Do you want to quickly set up a full-fledged Microsoft Sentinel environment that is ready to use by customers speeding up deployment and initial configuration tasks in few clicks?
Try Microsoft Sentinel All-in-One v2: https://github.com/Azure/Azure-Sentinel/tree/master/Tools/Sentinel-All-In-One
#microsoft #sentinel #microsoftsentinel #loganalytics #ueba #soc #siem #soar #azure #cloud #cloudsecurity #analytics #microsoftsecurity #microsoft365 #microsoftdefender #xdr #monitoring
Implement Microsoft Sentinel and Microsoft 365 Defender for Zero Trust
This solution guide walks through the process of setting up Microsoft eXtended detection and response (XDR) tools together with Microsoft Sentinel to accelerate your organization’s ability to respond to and remediate cybersecurity attacks.
https://learn.microsoft.com/en-us/security/operations/siem-xdr-overview
#cybersecurity #zerotrust #xdr #sentinel #microsoftsentinel #siem #soar #defender #microsoft #microsoftsecurity #microsoft365defender #identity #casb #cnapp #endpoint #edr #emailsecurity #ueba #threatintelligence #azure #cloud #multicloud #cloudsecurity
Top challenge bringing SIEM, SOAR and UEBA together is making it easy to manage & maintain the offering. https://www.bankinfosecurity.com/forrester-security-analytics-tools-challenge-to-manage-a-21246 Forrester Analyst Allie Mellen Shares Evolution of SIEM, SOAR and UEBA, Market Gaps Anna Delaney #siem #soar #ueba #forrester #cybersecurity
