Фреймворк ERM&CK: раскладываем реагирование на инциденты по полочкам

YOUTUBE · 26.11.2025 04:26

Ключевые темы и таймкоды

Введение

0:03
  • Андрей Сикорский и Антон представляют проект "Открытый фреймворк для реагирования на инциденты".
  • Цель проекта - объединить экспертов для продвижения идеи экспертной открытости.

Стандарты и проекты

1:02
  • Рассматриваются стандарты, такие как ГОСТ, Incident Handling Guide, и другие проекты, такие как CISA, Microsoft, и Open Source.
  • Обсуждается, насколько эти стандарты и проекты помогают в реагировании на инциденты.

Разработка фреймворка

7:54
  • Создан фреймворк для формализации и написания PlayBook для реагирования на инциденты.
  • Представлены матрицы и схемы для представления данных и знаний.
  • Обсуждается полезность формализации знаний и проверки их реализации.

Создание проекта "Ермак"

12:47
  • Проект "Ермак" является улучшением проекта "Реактив", который не содержит достаточно информации для реагирования на инциденты.
  • "Ермак" представляет собой Enterprise Respons Model and Commonologe, где пользователи могут подготовиться к реагированию на инциденты, найти рекомендации и понять, какие действия нужно предпринять.

Структура проекта "Ермак"

17:38
  • Проект "Ермак" состоит из фреймворка, который описывает действия реагирования, процедуры, угрозы, артефакты и другие сущности.
  • Фреймворк позволяет формализовать знания и сделать их доступными для пользователей.

Примеры использования проекта "Ермак"

21:33
  • Проект "Ермак" может быть использован для описания конкретных кейсов, таких как блокировка учетной записи или установка на мониторинг.
  • В проекте "Ермак" можно задать основной скелет и те действия, которые еще не реализованы, а также пометить их для последующего заполнения.

Создание и использование базы знаний для реагирования

23:32
  • В видео рассказывается о создании и использовании базы знаний для реагирования на инциденты.
  • База знаний содержит информацию о различных программных продуктах, которые могут быть использованы для реагирования на инциденты, а также инструкции по их использованию.
  • База знаний также содержит информацию о том, как эти продукты могут быть связаны друг с другом и как они могут быть использованы для автоматизации реагирования.

Планы развития проекта

30:28
  • В планах развития проекта - создание списка рекомендаций для пользователей, чтобы они могли быстро и легко использовать базу знаний для реагирования на инциденты.
  • Также планируется формализовать фреймворк проекта, чтобы связать различные инциденты и процедуры реагирования.
  • В будущем планируется создание единой базы знаний, которая будет содержать информацию о всех аспектах реагирования на инциденты, включая доменное детектирование, доменное реагирование и управление контентом.

Создание плейбуков для реагирования

35:21
  • Видео обсуждает процесс создания плейбуков для реагирования на инциденты в области информационной безопасности.
  • В основе этого процесса лежит использование графов знаний и семантических технологий.
  • В качестве примера используется проект METRO defend, который использует антологию ресурсов для связи двух доменов.
  • В результате получается стройная схема, которая может быть использована для анализа и реагирования на инциденты.

Применение плейбуков в реальном мире

41:11
  • В видео говорится о том, что плейбуки могут быть использованы опытными тестами для быстрого реагирования на инциденты.
  • Однако, для этого необходимо иметь опыт работы с такими инструментами и понимание их возможностей.
  • В видео также упоминается лаборатория Касперского и ее инициатива по измерению эффективности реагирования на инциденты.
  • В заключение, автор призывает к сотрудничеству и обмену опытом в области создания и использования плейбуков для реагирования на инциденты.

Фреймворк для реагирования на инциденты

47:58
  • Фреймворк предназначен для использования в различных сценариях, включая подготовку структуры данных, настройку аудита и детекции, а также подготовку к инвестициям и реагированию на инциденты.
  • Фреймворк рассчитан на пользователей, которые не имеют опыта в реагировании на инциденты, но хотят научиться этому.
  • Он также может быть полезен для экспертов, которые хотят поделиться своими знаниями и опытом с другими пользователями.

Валидация контента

50:55
  • Валидация контента будет осуществляться экспертами, которые имеют опыт работы с конкретным программным продуктом.
  • Валидация будет проводиться на основе публичных репозиториев и других источников информации.

Имплементация и тестирование

54:53
  • Имплементация фреймворка будет осуществляться на практике, после того как будет разработана модель данных.
  • Тестирование будет проводиться с использованием различных инструментов автоматизации, таких как Caldera и другие.
  • В планах также стоит использование симуляции и респонденции для более полного и точного моделирования инцидентов.
Похожие пересказы
ШОВНЫЙ кузовной ГЕРМЕТИК. Как ПРАВИЛЬНО наносить ? Раскладываем шовный герметик под завод.
YOUTUBE 28.11.2025
Зарабатывание денег на YouTube 2024|Как начать с 0 для любителей|Демонстрация из рук в руки|Изготовление галантерейных изделий|Самый простой и быстрый способ|Советы по загрузке?оборудование?программа?авторское право?Покупать трафик?Реагирование на насилие
YOUTUBE 01.12.2025
Будущее кибербезопасности | Управляемое обнаружение и реагирование Bitdefender
YOUTUBE 30.11.2025
Реагирование на 3D при проявлении | давайте поговорим об этом
YOUTUBE 29.11.2025