SlideShare a Scribd company logo

Threat Intelligence вам поможет, если его правильно приготовить…

Download as PPTX, PDF
Advanced monitoring
Advanced monitoring

О стратегической и технической разведке угроз, потребителях threat intelligence, и источниках данных.

Technology
1 of 18
Threat Intelligence вам поможет, если его правильно приготовить… Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru
©2016, ОАО «ИнфоТеКС». Возникновение Threat Intelligence Конец прошлого века: • базы антивирусных сигнатур • правила для IDS • списки для спам-фильтров 2014–2015 гг.: поставщики уже используют термин «threat intelligence» и проводятся первые исследования рынка TI
©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Военный термин: система по сбору и обработке разведывательных данных о силах и средствах противника Threat Intelligence (TI) — это совокупность процессов сбора, анализа и обмена подкреплённой доказательствами информацией об угрозах
©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Признак Стратегическая TI Техническая TI Форма Отчёты, публикации, документы Правила, параметры настройки Создаётся Людьми Машинами или людьми совместно с машинами Потребляют Люди Машины и люди Сроки доставки до потребителя Дни — месяцы Секунды — часы Период полезности Долгий (год и более) Короткий (до появления нового эксплойта или уязвимости) Использование Планирование, принятие решений Обнаружение, приоритизация, реагирование
©2016, ОАО «ИнфоТеКС». Потребители Threat Intelligence INSA Cyber Intelligence Task Force White Paper Уровень управления Операционный уровень Вдолгосрочной перспективе СТРАТЕГИ - Высшее руководство Высокоуровневая информация: • Финансовые аспекты, бюджетирование. • Тренды угроз и атак. • Киберриски. ТЕХНИКИ - Архитекторы и сисадмины Тактики, техники, процедуры (TTP): • Инструменты атакующих. • Цели атак. • Эксплойты и методы защиты. • Критичные обновления. Вкраткосрочнойисреднесрочной перспективе ТАКТИКИ - Руководители служб ИБ Детали конкретных готовящихся и проводимых атак: • Кто? • Зачем? • Где? • Когда? • Ресурсы и возможности атакующих. • Как общаются между собой? • Как маскируются? • Что произошло или может произойти? • Способы выявления. • Способы противодействия. ОПЕРАТОРЫ - персонал SOC, ГР, forensics Индикаторы атак и компрометации: • Образцы или хэш-суммы вредоносного кода. • YARA-rules. • Изменения ключей реестра. • Появление файлов, вредоносного кода. • Фиды вредоносных IP-адресов. • IP-адреса и домены Command & Control. • Почтовые индикаторы (темы, адреса, домены). • Векторы атак. • Изменения количества атакующих ресурсов. • Стадии развития атак. • Способы совершения преступлений.
©2016, ОАО «ИнфоТеКС». Типы поставщиков Threat Intelligence Комплексная TI TI для пользователей стратегического уровня Фиды угроз Приоритизация Техническая аналитика Контекст Статистика Индикаторы угроз Сигнатуры Правила
©2016, ОАО «ИнфоТеКС». Где применяются результаты TI Тип СЗИ Интеграция TI Межсетевые экраны / UTM 39.2% IPS/IDS 41.1% Управление уязвимостями 30.4% SIEM 31.6% Хостовые средства безопасности 34.8% Средства безопасности приложений 27.2% IAM / IDM 25.9% Расследование инцидентов 17.7% Аналитические платформы, отличные от SIEM (например, BI) 21.5% Big data 13.9% 2015 г. опрос SANS Institute
©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Технологические собственные (структурированные, необработанные) • Открытые (человекочитаемые, реже машиночитаемые) • Фиды (машиночитаемые) • Закрытые • Социальные медиа (человекочитаемые) • Личные контакты • «Глубокий» и «Тёмный» веб (разные)
©2016, ОАО «ИнфоТеКС». Технологические собственные Сетевые устройства Маршрутизаторы Свичи Прокси WiFi VPN СЗИ IPSIDS Хостовые IPSIDS DLP Межсетевые экраны Антивирусы IAM Сканеры уязвимостей Серверы Приложений БД Почта Веб «Песочницы» (Sandbox) Honeypots Логи СКУД Операционные системы Приложения Технологические собственные
©2016, ОАО «ИнфоТеКС». Открытые White papers Статьи и публикации Новостные потоки Выставки и конференции Государственные и индустриальные сообщества обмена результатами TI Отчёты об исследованиях Сообщества обмена информацией для машин Вендоры ИТ и ИБ Фирмы, предоставляющие услуги TI Открытые
©2016, ОАО «ИнфоТеКС». Фиды IP и DNS адреса вредоносных сайтов спам-серверов серверов С&C Узлы анонимных сетей p2p сетей SSL-сертификаты вредоносных сайтов Заголовки и метаданные писем (спам и фишинг) Образцы и хэши вредоносного кода Ключи реестра и файловые артефакты ОС Фиды уязвимостей (CVE, CWE и т.д) Базы эксплойтов Фиды
©2016, ОАО «ИнфоТеКС». Форматы и языки описания • Open Threat Exchange (OTX) — 51% • Structured Threat Information Expression (STIX) — 46% • Collective Intelligence Framework (CIF) — 39% • Open Indicators of Compromise (OpenIOC) framework — 33% • Trusted Automated eXchange of Indicator Information (TAXII) — 33% • Traffic Light Protocol (TLP) — 28% • Cyber Observable eXpression (CybOX) — 26% • Incident Object Description and Exchange Format (IODEF) — 23% • Vocabulary for Event Recording and Incident Sharing (VERIS) — 20% SANS Institute
©2016, ОАО «ИнфоТеКС». Закрытые Доверенная третья сторона B2B обмен Закрытые
©2016, ОАО «ИнфоТеКС». Социальные медиа Соцсети Форумы Блоги Чаты IRC Paste сайты Репозитории кода Социальные медиа
©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Личные контакты • «Глубокий» и «Тёмный» веб Искусство возможного …
©2016, ОАО «ИнфоТеКС». Threat Intelligence от ПМ (ГК InfoTecs) Правила Продукты Услуги Фиды IDS VipNet IDS + TIAS Мониторинг IP и домены HIDS VipNet HIDS Реагирование ВПО FW/UTM VipNet HW Расследование IOC SIEM SIEM Создание ЦМ Уязвимости
©2016, ОАО «ИнфоТеКС». Чем помогло TI 2015 г. IDC 329 компаний 1% 2% 5% 5% 6% 10% 13% 30% 30% 40% 42% 43% 55%Создание профиля нормального поведения Выявление внешних угроз использования ВПО Создание правил для антифрод систем Выявление нарушения политик ИБ Выявление скомпрометированных учётных записей Уменьшение количества ложных срабатываний Ускорение обнаружения и реагирования на атаки Видимость сетевой и АРМ активности Мониторинг и менеджмент соответствия стандартам Обнаружение инсайдеров Улучшение видимости угроз и атак Обнаружение новых или неизвестных угроз Понимание угроз и атак
Спасибо! Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru

Recommended

Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"Expolink
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"Expolink
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
Критерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколенияКритерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколенияCisco Russia
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ malvvv
 
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Expolink
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Expolink
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Expolink
 
Киберугрозы будущего
Киберугрозы будущегоКиберугрозы будущего
Киберугрозы будущегоАльбина Минуллина
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Advanced monitoring
 

More Related Content

What's hot

Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"Expolink
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"Expolink
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
Критерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколенияКритерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколенияCisco Russia
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ malvvv
 
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Expolink
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Expolink
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Expolink
 

What's hot (20)

Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасность
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещей
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
Критерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколенияКритерии приобретения систем сетевой безопасности нового поколения
Критерии приобретения систем сетевой безопасности нового поколения
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ
 
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
 
Киберугрозы будущего
Киберугрозы будущегоКиберугрозы будущего
Киберугрозы будущего
 

Viewers also liked

Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Advanced monitoring
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Advanced monitoring
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Expolink
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 

Viewers also liked (7)

Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 

Similar to Threat Intelligence вам поможет, если его правильно приготовить…

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Увидеть все
Увидеть всеУвидеть все
Увидеть всеCisco Russia
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Tim Parson
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication SystemsSSA KPI
 
Dr web
Dr webDr web
Dr webBDA
 
Dr web
Dr webDr web
Dr webBDA
 
Dr web
Dr webDr web
Dr webBDA
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информацииDialogueScience
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 

Similar to Threat Intelligence вам поможет, если его правильно приготовить… (20)

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
Увидеть все
Увидеть всеУвидеть все
Увидеть все
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication Systems
 
Dr web
Dr webDr web
Dr web
 
Dr web
Dr webDr web
Dr web
 
Dr web
Dr webDr web
Dr web
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
03
0303
03
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 

Threat Intelligence вам поможет, если его правильно приготовить…

  • 1. Threat Intelligence вам поможет, если его правильно приготовить… Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru
  • 2. ©2016, ОАО «ИнфоТеКС». Возникновение Threat Intelligence Конец прошлого века: • базы антивирусных сигнатур • правила для IDS • списки для спам-фильтров 2014–2015 гг.: поставщики уже используют термин «threat intelligence» и проводятся первые исследования рынка TI
  • 3. ©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Военный термин: система по сбору и обработке разведывательных данных о силах и средствах противника Threat Intelligence (TI) — это совокупность процессов сбора, анализа и обмена подкреплённой доказательствами информацией об угрозах
  • 4. ©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Признак Стратегическая TI Техническая TI Форма Отчёты, публикации, документы Правила, параметры настройки Создаётся Людьми Машинами или людьми совместно с машинами Потребляют Люди Машины и люди Сроки доставки до потребителя Дни — месяцы Секунды — часы Период полезности Долгий (год и более) Короткий (до появления нового эксплойта или уязвимости) Использование Планирование, принятие решений Обнаружение, приоритизация, реагирование
  • 5. ©2016, ОАО «ИнфоТеКС». Потребители Threat Intelligence INSA Cyber Intelligence Task Force White Paper Уровень управления Операционный уровень Вдолгосрочной перспективе СТРАТЕГИ - Высшее руководство Высокоуровневая информация: • Финансовые аспекты, бюджетирование. • Тренды угроз и атак. • Киберриски. ТЕХНИКИ - Архитекторы и сисадмины Тактики, техники, процедуры (TTP): • Инструменты атакующих. • Цели атак. • Эксплойты и методы защиты. • Критичные обновления. Вкраткосрочнойисреднесрочной перспективе ТАКТИКИ - Руководители служб ИБ Детали конкретных готовящихся и проводимых атак: • Кто? • Зачем? • Где? • Когда? • Ресурсы и возможности атакующих. • Как общаются между собой? • Как маскируются? • Что произошло или может произойти? • Способы выявления. • Способы противодействия. ОПЕРАТОРЫ - персонал SOC, ГР, forensics Индикаторы атак и компрометации: • Образцы или хэш-суммы вредоносного кода. • YARA-rules. • Изменения ключей реестра. • Появление файлов, вредоносного кода. • Фиды вредоносных IP-адресов. • IP-адреса и домены Command & Control. • Почтовые индикаторы (темы, адреса, домены). • Векторы атак. • Изменения количества атакующих ресурсов. • Стадии развития атак. • Способы совершения преступлений.
  • 6. ©2016, ОАО «ИнфоТеКС». Типы поставщиков Threat Intelligence Комплексная TI TI для пользователей стратегического уровня Фиды угроз Приоритизация Техническая аналитика Контекст Статистика Индикаторы угроз Сигнатуры Правила
  • 7. ©2016, ОАО «ИнфоТеКС». Где применяются результаты TI Тип СЗИ Интеграция TI Межсетевые экраны / UTM 39.2% IPS/IDS 41.1% Управление уязвимостями 30.4% SIEM 31.6% Хостовые средства безопасности 34.8% Средства безопасности приложений 27.2% IAM / IDM 25.9% Расследование инцидентов 17.7% Аналитические платформы, отличные от SIEM (например, BI) 21.5% Big data 13.9% 2015 г. опрос SANS Institute
  • 8. ©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Технологические собственные (структурированные, необработанные) • Открытые (человекочитаемые, реже машиночитаемые) • Фиды (машиночитаемые) • Закрытые • Социальные медиа (человекочитаемые) • Личные контакты • «Глубокий» и «Тёмный» веб (разные)
  • 9. ©2016, ОАО «ИнфоТеКС». Технологические собственные Сетевые устройства Маршрутизаторы Свичи Прокси WiFi VPN СЗИ IPSIDS Хостовые IPSIDS DLP Межсетевые экраны Антивирусы IAM Сканеры уязвимостей Серверы Приложений БД Почта Веб «Песочницы» (Sandbox) Honeypots Логи СКУД Операционные системы Приложения Технологические собственные
  • 10. ©2016, ОАО «ИнфоТеКС». Открытые White papers Статьи и публикации Новостные потоки Выставки и конференции Государственные и индустриальные сообщества обмена результатами TI Отчёты об исследованиях Сообщества обмена информацией для машин Вендоры ИТ и ИБ Фирмы, предоставляющие услуги TI Открытые
  • 11. ©2016, ОАО «ИнфоТеКС». Фиды IP и DNS адреса вредоносных сайтов спам-серверов серверов С&C Узлы анонимных сетей p2p сетей SSL-сертификаты вредоносных сайтов Заголовки и метаданные писем (спам и фишинг) Образцы и хэши вредоносного кода Ключи реестра и файловые артефакты ОС Фиды уязвимостей (CVE, CWE и т.д) Базы эксплойтов Фиды
  • 12. ©2016, ОАО «ИнфоТеКС». Форматы и языки описания • Open Threat Exchange (OTX) — 51% • Structured Threat Information Expression (STIX) — 46% • Collective Intelligence Framework (CIF) — 39% • Open Indicators of Compromise (OpenIOC) framework — 33% • Trusted Automated eXchange of Indicator Information (TAXII) — 33% • Traffic Light Protocol (TLP) — 28% • Cyber Observable eXpression (CybOX) — 26% • Incident Object Description and Exchange Format (IODEF) — 23% • Vocabulary for Event Recording and Incident Sharing (VERIS) — 20% SANS Institute
  • 15. ©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Личные контакты • «Глубокий» и «Тёмный» веб Искусство возможного …
  • 16. ©2016, ОАО «ИнфоТеКС». Threat Intelligence от ПМ (ГК InfoTecs) Правила Продукты Услуги Фиды IDS VipNet IDS + TIAS Мониторинг IP и домены HIDS VipNet HIDS Реагирование ВПО FW/UTM VipNet HW Расследование IOC SIEM SIEM Создание ЦМ Уязвимости
  • 17. ©2016, ОАО «ИнфоТеКС». Чем помогло TI 2015 г. IDC 329 компаний 1% 2% 5% 5% 6% 10% 13% 30% 30% 40% 42% 43% 55%Создание профиля нормального поведения Выявление внешних угроз использования ВПО Создание правил для антифрод систем Выявление нарушения политик ИБ Выявление скомпрометированных учётных записей Уменьшение количества ложных срабатываний Ускорение обнаружения и реагирования на атаки Видимость сетевой и АРМ активности Мониторинг и менеджмент соответствия стандартам Обнаружение инсайдеров Улучшение видимости угроз и атак Обнаружение новых или неизвестных угроз Понимание угроз и атак

Editor's Notes

  1. К 2014–2015 годам поставщики всего, что можно считать TI, решили, что надо продвигать свои продукты, используя модный термин «threat intelligence». Это очень чёткий тренд, его можно отследить по тематике выступлений на RSA Conference. Провайдеры TI старательно «подогревали» интерес к своим продуктам, и у потенциальных потребителей сформировался спрос на исследования в этой области: кто лидер, что предлагают, какие услуги и решения существуют. Поэтому первые исследования рынка TI появились только в 2014–2015 годах.
  2. В Таблице Потребители TI перечислены основные группы потребителей результатов TI, признаки интересующей их информации, конкретные данные, которые потребители хотели бы получать от TI. Данная модель подразумевает обмен информацией между целевыми группами, который показан стрелками. Один и тот же набор результатов TI может быть интересен различным целевым группам.
  3. Поставщики индикаторов угроз Большое количество СЗИ-вендоров и мейнтейнеров open-source проектов поставляют на регулярной основе индикаторы, сигнатуры и правила обнаружения атак для межсетевых экранов, антивирусов, IPS/IDS, UTM. В некоторых случаях это сырые данные, в других — дополненные оценкой риска или репутации. Индикаторы угроз критичны для технического уровня TI, но часто не предоставляют контекста для реагирования на инцидент. Поставщики фидов угроз Технологические вендоры и ИБ-компании предоставляют свои фиды угроз. Они включают в себя проверенные и приоритизированные индикаторы угроз и технический анализ образцов вредоносного кода, информацию о ботнетах, DDoS атаках и других инструментах и видах вредоносной активности. Часто такие фиды дополняются статистикой и прогнозами: например, «ТОП-10 троянов» или «Список крупнейших ботнетов» и т.п. К основным недостаткам таких фидов относят отсутствие отраслевой или региональной специфики и малую ценность для пользователей TI стратегического уровня. Поставщики комплексной Threat Intelligence Небольшое число компании предоставляют по-настоящему комплексную TI: проверенные, актуальные для потребителя индикаторы угроз, фиды угроз и TI стратегического уровня. Сюда обычно входят: Проверенные и размеченные (тэгированные) индикаторы угроз. Детальная техническая аналитика инструментов атак. Глубокие исследования противника, дополненные информацией на «подпольных» сайтах и из частных источников. Оценка ландшафта угроз для отрасли и отдельного предприятия. Помощь в выработке требований к TI. TI, специально подготовленная для пользователей разных уровней внутри одной организации.
  4. SANS Institute попросил сотрудников ИБ-служб назвать системы, к которым они применяют результаты TI. Как видно из таблицы, область применения не ограничивается одними IDS
  5. В эту группу вошли технологические источники, контролируемые самой компанией, которая заинтересована в получении результатов TI. Данные от этих источников могут передаваться в аналитическую систему либо напрямую в виде логов, либо через специализированные ПАК сбора данных.
  6. В эту группу вошли источники TI, которые доступны всем. Их может использовать любая организация. Эти источники могут платными и бесплатными. Платность источника не означает, что он не является открытым, ведь доступ к ним не ограничивается как-то искусственно.
  7. В этой группе источников — формализованные стандартизированные потоки машиночитаемых данных, правил и сигнатур.
  8. Для описания угроз, атак и уязвимостей в понятном машинам виде существует множество форматов, синтаксисов и стандартов. Среди тех потребителей и поставщиков TI, кто использует стандартные форматы, наиболее популярны (согласно исследованию SANS Institute):
  9. Основное отличие этой группы источников — к ним подключиться могут не все. Участников объединяет либо одна отрасль, либо принадлежность к одному холдингу, либо некая «тусовка» руководителей служб ИБ, в которой они обмениваются информацией. При B2B обмене результатами TI, стороны действуют напрямую, известен источник и получатель информации. Если в обмене участвует доверенная третья сторона, то она, как правило, анонимизирует источник данных, проверяет и рассылает информацию всем участникам объединения.
  10. Paste сайты — это площадки для быстрого размещения текста (например, Pastebin). Обычно для мониторинга таких сайтов используют их API вкупе с какими-либо анализаторами исходного кода, которые позволяют находить потенциально вредоносный код, который размещается на таких площадках.
  11. Данные источники непостоянны, с ними связаны некоторые риски.