Статья SOC - страшный сон хакера или как я работал в SOC'e

[lisa99]

место того чтобы без денег сидеть пишу статьи/делюсь опытом

за бугром за "опыт" заплатят еще больше

Мне не интересны 10-15 мультов чернухой

а 300 баксов (или сколько там) от "местного олигарха" интересны? там ведь чернуха...однозначно xd

Заметки о работе сок-а перестанут быть актуальными или что?

или что.
очень модно сейчас уходя с работы уносить все что можно продать - базу клиентов, ну или как работает изнутри защита - продался же опыт?

Уточки были есть и будут, к чему замечание?

вот одна из них. Просто аккуратней надо быть с товарищем. А точнее, я не восхищаюсь такой инфой - не люблю предателей.

мне когда-то форумный товарищ из спецслужб (с его слов, и кстати на форуме авторитетный) рассказывал, что у Кребса много стукачей на ...сцене..
Я не верила. А зря=)
===
больше оффтопить не буду. продолжайте восхищаться тс.

 

[RUPanda924]

Интересно было почитать. Все собеседования по ИБ проходила в Американских компаниях. Скажу, что таск на написание скриптов тут практически нет на тех интервью на позицию SOC Analyst

 

[defaultuser0]

за бугром за "опыт" заплатят еще больше

а 300 баксов (или сколько там) от "местного олигарха" интересны? там ведь чернуха...однозначно xd

или что.
очень модно сейчас уходя с работы уносить все что можно продать - базу клиентов, ну или как работает изнутри защита - продался же опыт?


вот одна из них. Просто аккуратней надо быть с товарищем. А точнее, я не восхищаюсь такой инфой - не люблю предателей.

мне когда-то форумный товарищ из спецслужб (с его слов, и кстати на форуме авторитетный) рассказывал, что у Кребса много стукачей на ...сцене..
Я не верила. А зря=)

Я не понимаю какая притензия, администрация форума платит деньги за написание статьей.
Я пишу статьи, а все кто хочет может поддержать меня, от того что это черные деньги мне то что, я кого-то ломал или я что продал доступ в компанию которую защищал? Я поделился опытом как попасть на работу и как это выглядит из нутри (Я не писал о конкретных компаниях их уязвимостях и тд). Ребята мне подкинули деньги, ну да с средней зп соковца 300 баксов это нормальные деньги. Повторюсь то что они черные мне какая разница, а вдруг они белые? Я не могу быть уверен этом.
Единственная притензия может быть только по качеству написанных статьей, но я вижу только положительные отзывы со стороны форумчан.
Я понимаю ты олд, но из всех кто прочитал ты первый кто высказывает притензии. Я не работал и не сливал инфу спецслужбам, мне эти игры в сноудена нафиг не нужны. Так вот вопрос что тебя не устраивает?

 

[defaultuser0]

за бугром за "опыт" заплатят еще больше

ДА, платят больше! Я не хочу оставшуюсь жизнь отарабанить главным специалистом по иб в ГАЗМЯСБАНКЕ с зп 150-250к.
Когда за бугром платят 4-10к.

 

[defaultuser0]

Интересно было почитать. Все собеседования по ИБ проходила в Американских компаниях. Скажу, что таск на написание скриптов тут практически нет на тех интервью на позицию SOC Analyst

Я собесился в eu компанию и там тоже любимый таск с написанием скриптов, возьму на заметку идею с американскими компаниями

 

[ice80]

очень модно сейчас уходя с работы уносить все что можно продать

Что-то модно а что-то вечно, уходя с работы вечно тащат все что не приколочено

не люблю предателей

ты взрослая и опытная женщина, откуда эти эмоции?
не суть - все всё понимают) или нет, а для тех кто не понимает ты пишешь слишком туманно - ебаш прям так - тс работник сок-а пиздеть где живете не нужно, он мб парень то не плохой, но может выйти не особо приятно, а вообще намекать вот так вот ни приводя железобетонных аргументов не комильфо - это как защищать тех кто на гаранта забил, вроде бы и хорошее дело делала, а толку? не нужно человека намеками тыкать, тем более с такими яркими ярлыками - кому от этого лучше?

 

[defaultuser0]

тс работник сок-а пиздеть где живете не нужно,

Можно было сразу так написать,
Окей да без проблем, наврядли эта инфа кому то нужна, но.... ладно.

 

[ice80]

Можно было сразу так написать,

дак и я про тоже. тут куча неуловимых джо вечно париться за свой могучий opsec. ничего нового. спс еще раз

 

[defaultuser0]

тут куча неуловимых джо вечно париться за свой могучий opsec

ааххаа, до слез..

 

[gomazaru]

where can i learn SIEM Tools, very interested...!

 

[defaultuser0]

where can i learn SIEM Tools, very interested...!

You can read my 2 articles about SIEM based on elk stack and of course you can read about bluteam work in blueteam reports (cybersec)

 

[dxcpw]

Можешь относиться к опсеку, как я:

Рано, или поздно , найдут. Вопрос времени и приложенных усилий.
Задача - продлить время

Если честно, в это как-то сомнительно верится. Больше поверю в том, что, "Машина гораздо устойчивее, чем человек". Взломать человека куда проще, чем поиск уязвимостей в машине хакера.

Также не забываем, что у нас как-бы демократия и на распятый крест тебя не посадят, если не докажут прямую причастность к делу.

Это только в фильмах бывает, что Хакер найден - Хакера сажают.

Представь ситуацию, что тот же хакер, использует тачку резидента usa в качестве прокси-сервера, и таких тачек, которые он использует в качестве прокси, по миру - сеть.

Будут ли органы безосновательно брать каждого резика, просто потому что подозревают его? Бред. Такого не будет.

Обратитесь к судебной практике, у следствия должны быть прямые доказательства причастия конкретной личности к конкретному действию, иначе подозрения ничего не стоят.

Даже если на вас выйдут и вы не дурак, который хранит все в открытом виде, то все, что вы получите - это давление следствия.

Помните, что если вы обеспечите локальную безопасность своей тачке, то подозрения каких-либо будут оставаться подозрениями, пока они не получат прямые доказательства вашего причастия(если нормально настроили безопасную среду, то только человеческий фактор может вас сломать)

Ты в любом случаи коммуницируешь где либо, используя модель повидения написание текста, особенные привычки (запятые, тире, точки, восклц.знаки и тд) пишешь ты Вообщем или В ощем, учитывая что еще собираються метаданные то вопрос бутылки, это всего лишь вопрос времени, а то что 40 слоев прокси + тора, будем риалистам и признаем что больше 1/3 нод в сети тора пренадлежат анб + если реально заебешь всех то эти ребята собируться все вместе и 1 ты vs 10k+ аналитиков, боюсь шансов у тебя нема?-/Посмотреть вложение 73947

Это да, знаю эту тему с тем, у кого письмо выглядит уникально, довольно просто сузить круг лиц, но не вплоть до одного человека.

Не думаю, что из четверти миллиарда человек, только ты один будешь такой уникальный, все так круг лиц будет достаточно широким.

Да даже если 10к аналитиков начнут анализировать тебя, выйдут на тебя, если локально безопасность у тебя настроена на уровне, то доказать ничего невозможно.

Нету тела - нету дела.

А по подозрениям у нас не судят.


Также, вопрос, по какому делу вообще тебя могут искать 10к аналитиков? Это огромнейшие ресурсы, только если ты взломал и уронил на землю МКС, наверно

 

[Alpano]

Также, вопрос, по какому делу вообще тебя могут искать 10к аналитиков? Это огромнейшие ресурсы, только если ты взломал и уронил на землю МКС, наверно

Если ты Легенда, как Евгений Богачёв или Максим Якубец, то это возможно, и там будет 10к спецов. Ну а если ты из группировки тех, кого нельзя называть простым смертным, т.к. в их шифре стоит число зверя, то тебя будут искать все майоры, даже на Марсе и в кащенке)

Помните, что если вы обеспечите локальную безопасность своей тачке, то подозрения каких-либо будут оставаться подозрениями, пока они не получат прямые доказательства вашего причастия(если нормально настроили безопасную среду, то только человеческий фактор может вас сломать)

Да, куча дел сыпятся, потому что не могут взломать контейнер с веракриптом. Главное мониторить своё пространство в районе 6-8 утра, когда все самые "светлые" дела вершатся и иметь азотную кислоту около винта, чтобы наверняка.

А по поводу "дураков" среди хакеров почитай про чела с ником Fxsmp. Он использовал один и тот же ник на протяжении всей жизни и оставил свои настоящие данные при регистрации С2 сервера и домена на него.

 

[dxcpw]

Если ты Легенда, как Евгений Богачёв или Максим Якубец, то это возможно, и там будет 10к спецов. Ну а если ты из группировки тех, кого нельзя называть простым смертным, т.к. в их шифре стоит число зверя, то тебя будут искать все майоры, даже на Марсе и в кащенке)

Да, куча дел сыпятся, потому что не могут взломать контейнер с веракриптом. Главное мониторить своё пространство в районе 6-8 утра, когда все самые "светлые" дела вершатся и иметь азотную кислоту около винта, чтобы наверняка.

А по поводу "дураков" среди хакеров почитай про чела с ником Fxsmp. Он использовал один и тот же ник на протяжении всей жизни и оставил свои настоящие данные при регистрации С2 сервера и домена на него.

Так дело все в том, что человека взломать куда проще, чем 10 слоев Тора/ВПН/дедиков/прокси, то вычисления тебя становится настолько трудоемким процессом, что проще просто ждать и следить за тобой, пока ты сам не совершишь ошибку.

Цели не оправдывают средства, у спец.служб не бесконечные ресурсы и выделяют их по мере серьезности проблемы.

Если ты условно говоря, сделал какие-то дела, залутал условные 100к$, думаешь, что кто-то будет выделять достаточное количество ресурсов?
Нет, конечно, никому ты с таким профитом интересен не будешь, просто нужно соблюдать простейшие правила цифровой гигиены, разные пароли, разные мыла, крипту заводи через обменку и миксуй, перед тем как пользоваться, ВПН - вхоникс - дедик. Этого уже будет достаточно, чтобы ты не был мишенью для людей в погонах.

Пока ты подключен к интернету, ты подвержен риску пробива, но повторюсь, ресурсы не бесконечны, нет такой кнопки "вычислить человека", для этого нужны огромные человеческие ресурсы даже в той связке, которую я прописал.

 

[dxcpw]

Если ты Легенда, как Евгений Богачёв или Максим Якубец, то это возможно, и там будет 10к спецов. Ну а если ты из группировки тех, кого нельзя называть простым смертным, т.к. в их шифре стоит число зверя, то тебя будут искать все майоры, даже на Марсе и в кащенке)

Да, куча дел сыпятся, потому что не могут взломать контейнер с веракриптом. Главное мониторить своё пространство в районе 6-8 утра, когда все самые "светлые" дела вершатся и иметь азотную кислоту около винта, чтобы наверняка.

А по поводу "дураков" среди хакеров почитай про чела с ником Fxsmp. Он использовал один и тот же ник на протяжении всей жизни и оставил свои настоящие данные при регистрации С2 сервера и домена на него.

Даже если говорить про момент, когда тебя взяли за жопу.

Вспомни трехголовую, почему спец.службы сразу просто не накрыли сервера сразу?
Они копали, долго, мучительно, но копали и накопали и только после этого начали вести следствие.

Зачем было тянуть?
Чтобы обнаружить владельца и всех к нему причастных, на это понадобилось несколько лет упорной работы и огромные ресурсы.

И это мы говорим про какой-то наркошоп, который работал годами и банчил миллионами долларов.

Если говорить про обычный рамсом компании, то ни одна спец.служба не будет выделять столько ресурсов на поимку вредителя, просто нецелесообразно.

 

[Alpano]

Если говорить про обычный рамсом компании, то ни одна спец.служба не будет выделять столько ресурсов на поимку вредителя, просто нецелесообразно.

Бро, я не спорю с тобой, у нас +- одинаковое мнение. я лишь немного дополнил от себя. Да, ты можешь годами жить блеком, но 100% гарантии нет никогда.

 

[Jack Silverlight]

Просто аккуратней надо быть с товарищем. А точнее, я не восхищаюсь такой инфой - не люблю предателей.

Ты по какой причине бред генерируешь?
Какие предатели? Кого он сдать-то может?

P.S.
"Срочное донесение. Вышлите вертолет с ракетами и спецназом, мне перевели за статью o SIEM и SOC 300USD. Это хакер. Всех ловите, их тут много. Выжигайте кварталы"
"Спасибо Айвэн, вот вам 22 доллара на paypal"
"Спасибо ФБР. В магните как раз сосиски по акции"
P.P.S. zero trust ко всем и всему, а не только к тем кто про SIEM и SOC пишет.

 

[Whisper]

И вот приходит наш герой на собес в компанию на зп 5к, а там на полиграфе:
- Взаимодействовали с кибер преступниками?
- Получали от деньги от кибер преступников?
- Помогали киберпреступникам обходить системы защиты и мониринга?
- Расскрывали особенности своей работы?
- Есть аккаунты на хакерских площадках? - назовите какие и где.
И вот наш герой гонимый ускорением под зад с двух ног, вкатывается в дарк, и уже не на пол шишки а по самые помидоры =)

 

[Jack Silverlight]

И вот приходит наш герой на собес в компанию на зп 5к, а там на полиграфе:
- Взаимодействовали с кибер преступниками?
- Получали от деньги от кибер преступников?
- Помогали киберпреступникам обходить системы защиты и мониринга?
- Расскрывали особенности своей работы?
- Есть аккаунты на хакерских площадках? - назовите какие и где.
И вот наш герой гонимый ускорением под зад с двух ног, вкатывается в дарк, и уже не на пол шишки а по самые помидоры =)

вчера об этом подумал. вот тут засада будет) кровью замазали за бесплатно и почти вовлекли в преступную деятельность.

 

[dxcpw]

Бро, я не спорю с тобой, у нас +- одинаковое мнение. я лишь немного дополнил от себя. Да, ты можешь годами жить блеком, но 100% гарантии нет никогда.

Людей сажают ни за что, буквально, вообще левых и не причастных, 100% гарантии нет ни для кого.

Но если просто придерживаться правил гигиены, можно спокойно работать и не боятся.

Школьники с лолза ты посмотри что делают, они не то, что дедик, они ВПН даже не используют, они из под своего ip работают, а там чернухи очень много.

Придерживаясь небольшой информационной гигиены, можешь жить и работать хоть всю жизнь, главное лямами не начинай ворочить и по РУ не воркать, ну и желательно на рабочей машине вообще на англ писать, чтобы отвести все подозрения