Threat Inteliigence / OSINT / NETSEC / NATSEC

Skala i cykl – rola threat intelligence w organizacji

Ostatnia historia włamania do Ubera czy ponownie pojawiające się raporty o aktywności Emoteta mogą skłaniać do pytań o zasadność poszczególnych funkcji w całokształcie organizacji bezpieczeństwa organizacji. Po co bowiem zaawansowane zespoły zajmujące się analizą powłamaniową dla celów produkcji threat intelligence czy threat huntingiem, skoro problem leży w podstawach? To bardzo […]

Kent i Heuer – korzenie CTI w tradycyjnym wywiadzie

Okres wakacyjny sprzyja nadrabianiu zaległości książkowych, na counterintelligence.pl przyjrzyjmy się więc tematowi nazwijmy to książkowo-historycznemu. Nie będzie żadną tajemnicą, że CTI jest dość raczkującą dziedziną. Nawet jeżeli spojrzymy na dystans jaki dzieli ochronę informacji jako taką od ochrony informacji w kontekście sieci komputerowych, to threat intelligence będzie jeszcze młodszą dyscypliną. […]

MSS – Ministerstwo Bezpieczeństwa Państwowego i jego cyber aktywności

W poprzednim poście zajmowaliśmy się aktywnością wywiadowczą Armii Ludowo Wyzwoleńczej i tym jak reformy sił zbrojnych zmierzają do usprawnienia ich funkcjonowania na tym polu. Tym razem skupimy się na agencji zajmującej się zadaniami typowo wywiadowczymi – Ministerstwie Bezpieczeństwa Państwowego (国家安全部, MSS). Zaczynając od krótkiego rysu historycznego, współczesna organizacja MSS jest […]

PLA na cyber froncie – chińskie siły zbrojne i operacje cyber

Jednym z największych wyzwań threat intelligence jest ustalenie intencji atakujących. Nie zawsze jest to nawet możliwe, jeżeli jednak musimy się zmierzyć z takim wyzwaniem, to pomocne jest zrozumienie kontekstu działania atakujących i organizacji w jakiej operują. W kolejnych postach zajmiemy się więc jednym z głównych graczy na scenie cyber – […]

Klawiaturą w terrorystę – cyber operacje antyterrorystyczne

W poprzednim poście zajmowaliśmy się tym jak grupy terrorystyczne wykorzystują media społecznościowe do wspierania swojej aktywności, a tym razem przyjrzymy się temu jak służby wywiadowcze i wojskowe mogą wykorzystać Internet aby prowadzić działania antyterrorystyczne. Tak jak zaznaczałem poprzednio, terroryzm jest ścigany i zwalczany z całą mocą aparatu państwowego, włączając w […]

Sigma (grindset?) rules – znajdujemy podejrzane zdarzenia z Sigma

W poprzednim poście przyglądaliśmy tworzeniu i funkcjonalności reguł YARA, które są nieocenioną pomocą dla analityków w wykrywaniu i klasyfikacji plików. Niektórzy mogliby jednak powiedzieć, że dzisiaj to za mało. W końcu coraz popularniejsze są ataki typu living off the land, gdzie atakujący nie korzystają z dodatkowego oprogramowania, a wystarczają im […]

YARA rules! – o regułach YARA i ich pisaniu

We wpisie dotyczącym wyszukiwania informacji o próbkach malwareu w otwartych źródłach wspomniałem krótko o wykorzystaniu reguł YARA i opisałem podstawy korzystania z nich w kontekście HybridAnalysis. Narzędzie to jest jednak o tyle istotne i uniwersalne w pracy analityka CTI, incident respondera czy threat huntera, że zdecydowanie warto poświęcić mu osobny […]

Kiedy DoJ publikuje twoje zdjęcie – o aktach oskarżenia i cyber operacjach

Obserwując praktykę administracji USA w zakresie narzędzi politycznych stosowanych wobec podmiotów odpowiedzialnych za cyber operacje przeciwko Stanom akty oskarżenia są jednym z najbardziej widocznych elementów. W ostatnich latach widzieliśmy choćby akty oskarżenia wobec funkcjonariusz GRU, wywiadu Chin czy ostatnio funkcjonariuszy FSB. Z pozoru może się wydawać, że działania takie nie […]

Hunting – zaprzęgając CTI do pracy

Na counterintelligence.pl poświęciłem już sporo miejsca OSINTowi i threat intelligence. Nie możemy jednak zapominać, że wywiad w różnych swoich formach pełni przede wszystkim funkcję pomocniczą. Wspiera podejmowania decyzji, reakcje na incydenty czy wykrywanie złośliwej aktywności. I właśnie threat hunting to aktywność, która w ten czy inny sposób musi u swoich […]

Na tropie implantów – OSINTowa analiza malware’u

Długo zabierałem się do napisania postu o analizie malware’u w kontekście OSINTu i threat intelligence. Jest to jedno z najczęściej wykorzystywanych źródeł informacji i powszechny cel poszukiwań analityków, jednak jednocześnie złożone technicznie zagadnienie. Jeżeli mówimy o zaawansowanej analizie statycznej (samego pliku) i dynamicznej (obserwowania zachowania pliku po uruchomieniu) to jest […]

pl_PLPolish