Давненько у человечества не было такого года, как 2020й. Да что там, не было на моей памяти ни одного года с такой концентрацией чёрных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непресказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «чёрных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удаётся.
Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.
А как в кибербезопасности?
В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.
На самом деле, у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «чёрных лебедей». И речь в этом посте пойдет об одном из этих способов - поиске киберугроз с помощью YARA-правил.
Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними ребятами для похожих целей.
Представьте, что ваша сеть — необъятное море, кишащее сотнями самыми разными рыбами. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы из того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про неё не знать.
У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашёл в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провёл расследование и буквально из спичек и желудей написал YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.
Хотите тоже так уметь? Не сомневаюсь :)
Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась — мы видим, что запрос такой по-прежнему есть. Запрос очень понятный, так как кибер-жульё придумывает все более изощрённые способы атак, и удалёнка им тут дает больше творческого пространства, чем когда-либо. В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.
Встречайте!
Что ещё?
Учитывая какие нынче стоя́т времена, мы по мере сил поддерживаем силы света (такой уж каламбур). В начале глобального «корона-шухера» мы предложили бесплатные лицензии для медицинских учреждений, на этот раз помогаем НКО — аналитическим центрам, борцам за различные права (полный список тех, кто уже согласился, здесь). Для них тренинги будут бесплатными.
Почему? Да потому что часто они работают с очень «чувствительной» информацией, и велика вероятность оказаться мишенью целевой атаки (как вот в этом случае) , А содержать целый штат ИБ-экспертов могут далеко не все.
Теперь по пунктам, что же будет прекрасного в курсе:
Такие вот у нас новости — как видите, в самоизоляции не скучаем. Всех, кто хочет попробовать найти чёрного лебедя у себя в сети, прошу проследовать на сайт тренинга. А мы продолжим свои кибердетективные расследования, чтобы можно было и дальше делиться самым актуальным опытом.
Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.
А как в кибербезопасности?
В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.
На самом деле, у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «чёрных лебедей». И речь в этом посте пойдет об одном из этих способов - поиске киберугроз с помощью YARA-правил.
Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними ребятами для похожих целей.
Представьте, что ваша сеть — необъятное море, кишащее сотнями самыми разными рыбами. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы из того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про неё не знать.
У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашёл в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провёл расследование и буквально из спичек и желудей написал YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.
Хотите тоже так уметь? Не сомневаюсь :)
Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась — мы видим, что запрос такой по-прежнему есть. Запрос очень понятный, так как кибер-жульё придумывает все более изощрённые способы атак, и удалёнка им тут дает больше творческого пространства, чем когда-либо. В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.
Встречайте!
Что ещё?
Учитывая какие нынче стоя́т времена, мы по мере сил поддерживаем силы света (такой уж каламбур). В начале глобального «корона-шухера» мы предложили бесплатные лицензии для медицинских учреждений, на этот раз помогаем НКО — аналитическим центрам, борцам за различные права (полный список тех, кто уже согласился, здесь). Для них тренинги будут бесплатными.
Почему? Да потому что часто они работают с очень «чувствительной» информацией, и велика вероятность оказаться мишенью целевой атаки (как вот в этом случае) , А содержать целый штат ИБ-экспертов могут далеко не все.
Теперь по пунктам, что же будет прекрасного в курсе:
- Обучение 100 % онлайн в удобном для каждого темпе и с уютного домашнего дивана. Можно за пару вечеров пройти, а хочешь месяц растягивать удовольствие.
- Сочетание теории и практики — в распоряжении всех участников виртуальная среда, в которой можно вволю натренироваться писать правила и искать образцы малвары в нашей коллекции.
- Практические занятия на примерах реальных кибершпионских атак.
- Особый блок — про искусство поиска того, о чём не имеешь точного представления. Когда интуиция подсказывает, что где-то засел злодей, а где и кто именно - непонятно.
- Каждый выпускник получает сертификат, подтверждающий его (или её) новый статус YARA-ниндзи. Как утверждают выпускники предыдущих курсов – очень помогает в профессиональной карьере.
Такие вот у нас новости — как видите, в самоизоляции не скучаем. Всех, кто хочет попробовать найти чёрного лебедя у себя в сети, прошу проследовать на сайт тренинга. А мы продолжим свои кибердетективные расследования, чтобы можно было и дальше делиться самым актуальным опытом.
2020-09-01 09:04 (UTC)
Система категоризации Живого Журнала посчитала, что вашу запись можно отнести к категориям: IT, Искусство, Медицина, Образование.
Если вы считаете, что система ошиблась — напишите об этом в ответе на этот комментарий. Ваша обратная связь поможет сделать систему точнее.
Фрэнк,
команда ЖЖ.
2020-09-01 11:23 (UTC)
2020-09-01 15:07 (UTC)
2020-09-02 08:17 (UTC)
2020-09-01 16:24 (UTC)
Где можно посмотреть структуру курса, что включено, сколько часов? На станице нет деталей курса, только краткое описание.
2020-09-02 08:42 (UTC)
-- курс в формате самообучения, доступ к курсу на платформе предоставляется на 6 месяцев
-- состоит из 10 треков, в каждом треке лекционный материал подается в виде видео-материалов с Костиным Райю (директор GReAT), более 60 видео в курсе
-- также курс содержит более 20 практических упражненийв в виртуальной лабе, для их прохождения дается 100 сессий (каждая по 2 часа) в виртуальной среде. Упражнения на реальных семплах из исследований экспертов компании сложных угроз.
Буду рада рассказать подробнее и ответить на вопросы, пишите на yuliya.shlychkova@kaspersky.com или на help.kasperskyxtraining.com.