Скачать или смотреть Синяя команда | Раскрытие внутренних угроз, скрывающихся за логами

Команда «Синих» | Высокоточная охота за угрозами: раскрытие внутренних угроз за пределами логов... Метод обхода двойной идентификации

🎙️ Оскар Каркамо, старший консультант
📍 Доклад на саммите SANS Hack & Defend 2025

Традиционно мониторинг безопасности предполагает, что технологии SIEM будут точными и обеспечат полную картину сетевой активности, но что происходит, когда мы обнаруживаем, что события, регистрируемые этими технологиями, недостаточны, и у нас нет надлежащей телеметрии?

Что происходит, когда пробелы в видимости становятся критическими в самый неподходящий момент? Что, если внутренняя угроза использует уязвимости аутентификации для обеспечения незаметного сохранения активности? Как мы можем найти эффективное решение инцидента в крупной организации, которая никогда раньше не сталкивалась с подобными сценариями и к которым была не готова?

В этой сессии мы представим «Технику обхода двойной идентификации» — продвинутую тактику инсайдера, при которой злоумышленник использует как виртуальные, так и физические токены аутентификации для установления параллельных сессий, обходя механизмы корреляции SIEM и стандартные механизмы обнаружения.

Мы разберем реальный пример из практики одной компании, название которой мы не можем назвать, где сотрудник поддерживал одновременный доступ через несколько удаленных соединений, что сделало традиционный анализ логов неэффективным.

С помощью высокоточной адаптивной охоты за угрозами мы продемонстрируем, как:
Выявлять методы теневого закрепления, выходящие за рамки обычной видимости SIEM.

Использовать модели обнаружения аномалий для выявления эксплойтов, затрагивающих несколько сессий.

Коррелировать различные технологии и языки программирования, такие как YARA, KQL и SPL, для проактивного обнаружения и оповещения, а также для отслеживания текущих инцидентов.

Разработать структуру для корреляции логов, которая повышает точность событий в крупных компаниях.


К концу этой лекции участники смогут получить новый подход и методологию, которые они смогут немедленно внедрить в своих организациях без значительных затрат на процессы, и которые могут быть весьма эффективными. Они также получат план действий по обнаружению и нейтрализации сложных внутренних угроз, которые обходят традиционные методы обнаружения. Если ваши журналы не отражают всей картины, пора адаптироваться.

Присоединяйтесь к этой лекции и охотьтесь эффективнее!