【CODE BLUE 2024】アレクサンドル・ロトチェンコ+ファリド・ジュグソノフ / Alexander Rodchenko+Farid Dzhugunusov - 講演関連資料 / Presentation resources -

2025年2月12日 12:41

●講演概要 / Abstract

[ja] モダンSOC：1未満と無限以上

本講演では、従来のセキュリティ・ツールでは対処できない複雑な脅威の状況に対応するため、現代のサイバーセキュリティにおけるSOC（セキュリティ・オペレーション・センター）の不可欠な役割に焦点を当て、SOCの有効性を高めるための実践的なツールを提供する。現代の課題に対する洞察を共有し、実用的なツールを提供することで、サイバーセキュリティコミュニティがSOC運用を改善し、企業環境をより適切に保護できるようにすることを目指している。さらに、現代のSOCの目標や目的についての議論を開始するだけでなく、サイバーセキュリティ業界が直面している現在の問題に対する効果的な解決策（ツールやPoCも提供予定）についても議論する。

codeblue.jp

[en] Modern SOC:Less Than One and More Than Infinity

This presentation highlights the indispensable role of SOCs in modern cybersecurity by demonstrating their ability to address complex threat landscapes that traditional security tools cannot, and provides practical tools to enhance SOC effectiveness. By sharing insights into contemporary challenges and offering actionable tools, this presentation aims to empower the cybersecurity community to improve SOC operations and better protect enterprise environments. Additionally, I seek to initiate a discussion not just about the goals and objectives of modern SOCs, but about effective solutions (also offering some tools/PoCs) to the current problems facing the cybersecurity industry.

codeblue.jp

●略歴 / Bio

[ja] アレクサンドル・ロトチェンコ

アレクサンドル・ロトチェンコは、KasperskyのSOCセキュリティ・リサーチ・グループでシニアSOCアナリストを務めている。彼はキャリアをOJSC Rosneft（ロシア国営の石油企業）でスタートし、産業安全、トラブルシューティング、監査に取り組んでいた。現在は、業界のイベントやトレンドを調査し、それらがどのようにモニタリングや脅威ハンティングに活用できるかを理解することを目的としている。彼の知識と理解を活かし、顧客や脅威検知・ハンティングチームに対し、脅威やトレンドに応じた適切な対応策を助言している。彼はまた、Positive Hack Daysで2回、BSides チューリッヒ 2023でも講演を行っている。

codeblue.jp

[ja] ファリド・ジュグソノフ

私はセキュリティオペレーションセンターで5年間働いている。チェスをするのが好きである。

codeblue.jp

[en] Alexander Rodchenko

Rodchenko Alexander is a Senior SOC Analyst at the SOC Security Research Group at Kaspersky. He started his career at OJSC Rosneft, focusing on industrial safety, troubleshooting, and audits. Currently, he is tasked with investigating industry events and trends, with the single purpose of understanding how these can be brought into monitoring and threat hunting. Alexander uses his understanding and knowledge to advise customers and threat detection/hunting teams on the appropriate response given the threat or trend. He has also been a speaker at Positive Hack Days twice and at BSides Zurich 2023.

codeblue.jp

[en] Farid Dzhugunusov

I have been working for the Security Operations Center for 5 years. I like to play chess.

codeblue.jp

●事前インタビュー / Pre-Event Interview

[ja] インタビュー

Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか？
私のサイバーセキュリティにおける実務経験から、特定の問題はセキュリティオペレーションセンター（ SOC ）の専門知識がなければ解決できないことを実感しました。高度な脅威の検知や対応において、熟練したアナリストの代わりとなるソフトウェアやツールは存在しません。この気づきをきっかけに、SOCが従来のセキュリティ製品の限界をどのように補完しているのか、特にゴールデンチケットやマルウェアを使用しない攻撃の検知において、より深く探求するようになりました。私の研究は、SOCが文脈分析やリアルタイムのテレメトリを活用して、他のツールにはない機動性を提供する方法に焦点を当てており、また、SOCにしか対応できない問題を分類することも試みています。

Q2 研究の過程でどのような点で苦労しましたか?
大きな課題の1つは、予防から検知への思考の転換でした。SOCで使用される技術は、主に予防に重点を置く従来のセキュリティツールとは大きく異なります。SOCは、脅威が発生した後に検知することを目的として設計されており、これには独自の利点がある一方で、まだ十分に研究されていない領域でもあります。従来の「攻撃を防ぐ方法」ではなく、「攻撃が既に起きてしまった場合にどう対応するか」に焦点を当てるために、自分の思考を調整することが難しかったのです。この転換には、伝統的な防御をすり抜けた脅威を特定するために、リアルタイムでのテレメトリ監視と分析の方法をより深く理解する必要がありました。この課題は単に技術的な問題にとどまらず、古典的なセキュリティの枠組みを超えた概念的な思考を必要とするものでした。

Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
この講演では、特に複雑で文脈に依存する脅威への対応において、SOCがいかに重要であるかを示します。ご参加いただくことで、従来のツールを超えて組織のセキュリティ態勢を強化する方法や、ゴールデンチケットやマルウェアを使わない侵入といった高度な攻撃を検知する方法について、貴重なインサイトを得ることができます。また、SOCで使用されるツールや手法について活発な議論を行い、参加者同士がアイデアを交換し、SOC運用における新しいアプローチを探求できる場を提供したいと考えています。経験豊富なSOCアナリストの方も、これからの方も、このセッションでは実践的な戦略や具体例を通じて、脅威検知能力を強化するための具体的な方法をご紹介します。

[en] Interview

Q1 What led you to making this presentation?
Based on my practical experience in cybersecurity, I observed that certain problems simply cannot be solved without the expertise of a Security Operations Center
（ SOC ）. No software or tool can fully replace a skilled analyst when it comes to detecting and responding to sophisticated threats. This realization led me to delve deeper into how SOCs fill the gaps left by traditional security products, particularly in detecting advanced attacks like using Golden Tickets and malwareless threats. My research has focused on how SOCs leverage contextual analysis and real-time telemetry to provide the necessary agility that other tools lack and also I try to classify SOC-only problems.

Q2 What were some challenges you faced during this research?
One of the key challenges was overcoming the mindset shift from prevention to detection. Technologies used in SOCs differ significantly from traditional security tools, which are more focused on prevention. SOCs, however, are designed to detect threats after they have occurred, which provides both unique advantages and an underexplored area of research. It was difficult to adjust my thinking to focus on "what to do if the attack has already happened" instead of the usual "how to prevent it from happening." This shift required a deeper understanding of how to monitor and analyze telemetry in real time to identify threats that may have bypassed traditional defenses. The challenge was not just technical but also a conceptual one, as it involved thinking beyond the classical security paradigms.

Q3 What message would you like to convey to those considering attending this talk?
This talk will demonstrate why SOCs are critical in today’s cybersecurity landscape, especially when it comes to addressing complex, context-driven threats. By attending, you will gain valuable insights into how to enhance your organization’s security posture beyond traditional tools and how to detect sophisticated attacks like Golden Tickets and malwareless breaches. Additionally, I hope to ignite a lively discussion around the tools and methods used in SOCs, encouraging attendees to exchange ideas and explore new approaches to SOC operations. Whether you're a seasoned SOC analyst or new to the field, this session will provide you with actionable strategies and practical examples to strengthen your threat detection capabilities.