Advanced monitoring, profile picture
Uploaded byAdvanced monitoring
PPTX, PDF358 views

Threat Intelligence вам поможет, если его правильно приготовить…

Документ обсуждает концепцию threat intelligence (TI), подчеркивая ее значение в сборе, анализе и обмене данными об угрозах. Он выделяет различные типы TI, процессы ее использования, а также источники данных и форматы, используемые для обмена информацией. Основные потребители TI охватывают стратегический и операционный уровни управления, а данные TI помогают в обнаружении, реагировании и планировании на киберугрозы.

Embed presentation

Download to read offline
Threat Intelligence вам поможет, если его правильно приготовить… Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru
©2016, ОАО «ИнфоТеКС». Возникновение Threat Intelligence Конец прошлого века: • базы антивирусных сигнатур • правила для IDS • списки для спам-фильтров 2014–2015 гг.: поставщики уже используют термин «threat intelligence» и проводятся первые исследования рынка TI
©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Военный термин: система по сбору и обработке разведывательных данных о силах и средствах противника Threat Intelligence (TI) — это совокупность процессов сбора, анализа и обмена подкреплённой доказательствами информацией об угрозах
©2016, ОАО «ИнфоТеКС». Кто как понимает Threat Intelligence Признак Стратегическая TI Техническая TI Форма Отчёты, публикации, документы Правила, параметры настройки Создаётся Людьми Машинами или людьми совместно с машинами Потребляют Люди Машины и люди Сроки доставки до потребителя Дни — месяцы Секунды — часы Период полезности Долгий (год и более) Короткий (до появления нового эксплойта или уязвимости) Использование Планирование, принятие решений Обнаружение, приоритизация, реагирование
©2016, ОАО «ИнфоТеКС». Потребители Threat Intelligence INSA Cyber Intelligence Task Force White Paper Уровень управления Операционный уровень Вдолгосрочной перспективе СТРАТЕГИ - Высшее руководство Высокоуровневая информация: • Финансовые аспекты, бюджетирование. • Тренды угроз и атак. • Киберриски. ТЕХНИКИ - Архитекторы и сисадмины Тактики, техники, процедуры (TTP): • Инструменты атакующих. • Цели атак. • Эксплойты и методы защиты. • Критичные обновления. Вкраткосрочнойисреднесрочной перспективе ТАКТИКИ - Руководители служб ИБ Детали конкретных готовящихся и проводимых атак: • Кто? • Зачем? • Где? • Когда? • Ресурсы и возможности атакующих. • Как общаются между собой? • Как маскируются? • Что произошло или может произойти? • Способы выявления. • Способы противодействия. ОПЕРАТОРЫ - персонал SOC, ГР, forensics Индикаторы атак и компрометации: • Образцы или хэш-суммы вредоносного кода. • YARA-rules. • Изменения ключей реестра. • Появление файлов, вредоносного кода. • Фиды вредоносных IP-адресов. • IP-адреса и домены Command & Control. • Почтовые индикаторы (темы, адреса, домены). • Векторы атак. • Изменения количества атакующих ресурсов. • Стадии развития атак. • Способы совершения преступлений.
©2016, ОАО «ИнфоТеКС». Типы поставщиков Threat Intelligence Комплексная TI TI для пользователей стратегического уровня Фиды угроз Приоритизация Техническая аналитика Контекст Статистика Индикаторы угроз Сигнатуры Правила
©2016, ОАО «ИнфоТеКС». Где применяются результаты TI Тип СЗИ Интеграция TI Межсетевые экраны / UTM 39.2% IPS/IDS 41.1% Управление уязвимостями 30.4% SIEM 31.6% Хостовые средства безопасности 34.8% Средства безопасности приложений 27.2% IAM / IDM 25.9% Расследование инцидентов 17.7% Аналитические платформы, отличные от SIEM (например, BI) 21.5% Big data 13.9% 2015 г. опрос SANS Institute
©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Технологические собственные (структурированные, необработанные) • Открытые (человекочитаемые, реже машиночитаемые) • Фиды (машиночитаемые) • Закрытые • Социальные медиа (человекочитаемые) • Личные контакты • «Глубокий» и «Тёмный» веб (разные)
©2016, ОАО «ИнфоТеКС». Технологические собственные Сетевые устройства Маршрутизаторы Свичи Прокси WiFi VPN СЗИ IPSIDS Хостовые IPSIDS DLP Межсетевые экраны Антивирусы IAM Сканеры уязвимостей Серверы Приложений БД Почта Веб «Песочницы» (Sandbox) Honeypots Логи СКУД Операционные системы Приложения Технологические собственные
©2016, ОАО «ИнфоТеКС». Открытые White papers Статьи и публикации Новостные потоки Выставки и конференции Государственные и индустриальные сообщества обмена результатами TI Отчёты об исследованиях Сообщества обмена информацией для машин Вендоры ИТ и ИБ Фирмы, предоставляющие услуги TI Открытые
©2016, ОАО «ИнфоТеКС». Фиды IP и DNS адреса вредоносных сайтов спам-серверов серверов С&C Узлы анонимных сетей p2p сетей SSL-сертификаты вредоносных сайтов Заголовки и метаданные писем (спам и фишинг) Образцы и хэши вредоносного кода Ключи реестра и файловые артефакты ОС Фиды уязвимостей (CVE, CWE и т.д) Базы эксплойтов Фиды
©2016, ОАО «ИнфоТеКС». Форматы и языки описания • Open Threat Exchange (OTX) — 51% • Structured Threat Information Expression (STIX) — 46% • Collective Intelligence Framework (CIF) — 39% • Open Indicators of Compromise (OpenIOC) framework — 33% • Trusted Automated eXchange of Indicator Information (TAXII) — 33% • Traffic Light Protocol (TLP) — 28% • Cyber Observable eXpression (CybOX) — 26% • Incident Object Description and Exchange Format (IODEF) — 23% • Vocabulary for Event Recording and Incident Sharing (VERIS) — 20% SANS Institute
©2016, ОАО «ИнфоТеКС». Закрытые Доверенная третья сторона B2B обмен Закрытые
©2016, ОАО «ИнфоТеКС». Социальные медиа Соцсети Форумы Блоги Чаты IRC Paste сайты Репозитории кода Социальные медиа
©2016, ОАО «ИнфоТеКС». Источники данных для Threat Intelligence • Личные контакты • «Глубокий» и «Тёмный» веб Искусство возможного …
©2016, ОАО «ИнфоТеКС». Threat Intelligence от ПМ (ГК InfoTecs) Правила Продукты Услуги Фиды IDS VipNet IDS + TIAS Мониторинг IP и домены HIDS VipNet HIDS Реагирование ВПО FW/UTM VipNet HW Расследование IOC SIEM SIEM Создание ЦМ Уязвимости
©2016, ОАО «ИнфоТеКС». Чем помогло TI 2015 г. IDC 329 компаний 1% 2% 5% 5% 6% 10% 13% 30% 30% 40% 42% 43% 55%Создание профиля нормального поведения Выявление внешних угроз использования ВПО Создание правил для антифрод систем Выявление нарушения политик ИБ Выявление скомпрометированных учётных записей Уменьшение количества ложных срабатываний Ускорение обнаружения и реагирования на атаки Видимость сетевой и АРМ активности Мониторинг и менеджмент соответствия стандартам Обнаружение инсайдеров Улучшение видимости угроз и атак Обнаружение новых или неизвестных угроз Понимание угроз и атак
Спасибо! Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru

More Related Content

PDF
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
PPTX
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
byAdvanced monitoring
 
PPTX
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
byAdvanced monitoring
 
PPTX
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
byAdvanced monitoring
 
PPTX
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
byAdvanced monitoring
 
PPTX
Расследование инцидентов ИБ с помощью открытых интернет-источников
byAdvanced monitoring
 
PDF
пр 10 ошибок сотрудников для bisa 2013 02-13
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Типовые сценарии атак на современные клиент-серверные приложения
byAdvanced monitoring
 
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
byAdvanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
byAdvanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
byAdvanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
byAdvanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
byAdvanced monitoring
 
пр 10 ошибок сотрудников для bisa 2013 02-13
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Типовые сценарии атак на современные клиент-серверные приложения
byAdvanced monitoring
 

What's hot

PDF
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
byExpolink
 
PDF
Финцерт БР РФ
bymalvvv
 
PDF
Инфографика. Информационная безопасность
byCisco Russia
 
PDF
Киберугрозы будущего
byАльбина Минуллина
 
PPTX
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
byAlexey Kachalin
 
PDF
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
byExpolink
 
PPS
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
byExpolink
 
PDF
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
byExpolink
 
PDF
Критерии приобретения систем сетевой безопасности нового поколения
byCisco Russia
 
PDF
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
byExpolink
 
PPTX
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
bycnpo
 
PPTX
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
byExpolink
 
PDF
пр нужны ли Dlp системы для защиты пдн (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
byExpolink
 
PPTX
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
byExpolink
 
PPS
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
byExpolink
 
PDF
Инфографика. Программы-вымогатели: реальное положение вещей
byCisco Russia
 
PDF
Вирусы-шифровальщики и фишинг
bySergey Borisov
 
PPTX
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
byExpolink
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
byExpolink
 
Финцерт БР РФ
bymalvvv
 
Инфографика. Информационная безопасность
byCisco Russia
 
Киберугрозы будущего
byАльбина Минуллина
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
byAlexey Kachalin
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
byExpolink
 
SearchInform. Дмитрий Софронов. "Как выбрать идеальную DLP-систему?"
byExpolink
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
byExpolink
 
Критерии приобретения систем сетевой безопасности нового поколения
byCisco Russia
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
byExpolink
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
bycnpo
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
byExpolink
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
byExpolink
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
byExpolink
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
byExpolink
 
Инфографика. Программы-вымогатели: реальное положение вещей
byCisco Russia
 
Вирусы-шифровальщики и фишинг
bySergey Borisov
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
byExpolink
 

Viewers also liked

PDF
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
byAdvanced monitoring
 
PDF
Тенденции кибербезопасности
byAleksey Lukatskiy
 
PPTX
Анализ защищенности ПО и инфраструктур – подходы и результаты
byAdvanced monitoring
 
PPTX
Практический опыт мониторинга и анализа компьютерных атак
byAdvanced monitoring
 
PDF
Разработка средств защиты в России и на Западе: разность подходов
byAleksey Lukatskiy
 
PPTX
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
byAdvanced monitoring
 
PPS
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
byExpolink
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
byAdvanced monitoring
 
Тенденции кибербезопасности
byAleksey Lukatskiy
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
byAdvanced monitoring
 
Практический опыт мониторинга и анализа компьютерных атак
byAdvanced monitoring
 
Разработка средств защиты в России и на Западе: разность подходов
byAleksey Lukatskiy
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
byAdvanced monitoring
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
byExpolink
 

Similar to Threat Intelligence вам поможет, если его правильно приготовить…

PDF
От разрозненных фидов к целостной программе Threat intelligence
byAleksey Lukatskiy
 
PDF
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
byExpolink
 
PPTX
Разведка угроз промышленных предприятий
byAnton Shipulin
 
PPTX
Threat intelligence в процессах SOC
byPositive Hack Days
 
PPTX
RuSIEM
byOlesya Shelestova
 
PDF
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
byExpolink
 
PDF
Откуда и какие брать данные Threat Intelligence для SOC?
byAleksey Lukatskiy
 
PDF
Обзор портфолио экспертных сервисов.pdf
bytrenders
 
PDF
Как создать в России свою систему Threat intelligence?
byAleksey Lukatskiy
 
PDF
Увидеть все
byCisco Russia
 
PDF
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
PDF
Один зеродей и тысяча ночей без сна
byAleksey Lukatskiy
 
PDF
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
PDF
Обнаружение атак - из конца 90-х в 2018-й
byAleksey Lukatskiy
 
PDF
Ландшафт технологий кибербезопасности 2025
byAleksey Lukatskiy
 
PDF
Особенности построения национальных центров мониторинга киберугроз
byAleksey Lukatskiy
 
PDF
SIEM - мониторинг безопасности в Вашей компании
bySoftline
 
PDF
построение системы адаптивной защиты от угроз иб Савин и
byDiana Frolova
 
PPTX
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
byOlesya Shelestova
 
PPS
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
byExpolink
 
От разрозненных фидов к целостной программе Threat intelligence
byAleksey Lukatskiy
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
byExpolink
 
Разведка угроз промышленных предприятий
byAnton Shipulin
 
Threat intelligence в процессах SOC
byPositive Hack Days
 
RuSIEM
byOlesya Shelestova
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
byExpolink
 
Откуда и какие брать данные Threat Intelligence для SOC?
byAleksey Lukatskiy
 
Обзор портфолио экспертных сервисов.pdf
bytrenders
 
Как создать в России свою систему Threat intelligence?
byAleksey Lukatskiy
 
Увидеть все
byCisco Russia
 
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
Один зеродей и тысяча ночей без сна
byAleksey Lukatskiy
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
Обнаружение атак - из конца 90-х в 2018-й
byAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
byAleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
byAleksey Lukatskiy
 
SIEM - мониторинг безопасности в Вашей компании
bySoftline
 
построение системы адаптивной защиты от угроз иб Савин и
byDiana Frolova
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
byOlesya Shelestova
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
byExpolink
 

Threat Intelligence вам поможет, если его правильно приготовить…

  • 1.
    Threat Intelligence вампоможет, если его правильно приготовить… Михаил Богатырёв Mikhail.Bogatyrev@AMonitoring.ru @am_rnd amonitoring.ru
  • 2.
    ©2016, ОАО «ИнфоТеКС». ВозникновениеThreat Intelligence Конец прошлого века: • базы антивирусных сигнатур • правила для IDS • списки для спам-фильтров 2014–2015 гг.: поставщики уже используют термин «threat intelligence» и проводятся первые исследования рынка TI
  • 3.
    ©2016, ОАО «ИнфоТеКС». Ктокак понимает Threat Intelligence Военный термин: система по сбору и обработке разведывательных данных о силах и средствах противника Threat Intelligence (TI) — это совокупность процессов сбора, анализа и обмена подкреплённой доказательствами информацией об угрозах
  • 4.
    ©2016, ОАО «ИнфоТеКС». Ктокак понимает Threat Intelligence Признак Стратегическая TI Техническая TI Форма Отчёты, публикации, документы Правила, параметры настройки Создаётся Людьми Машинами или людьми совместно с машинами Потребляют Люди Машины и люди Сроки доставки до потребителя Дни — месяцы Секунды — часы Период полезности Долгий (год и более) Короткий (до появления нового эксплойта или уязвимости) Использование Планирование, принятие решений Обнаружение, приоритизация, реагирование
  • 5.
    ©2016, ОАО «ИнфоТеКС». ПотребителиThreat Intelligence INSA Cyber Intelligence Task Force White Paper Уровень управления Операционный уровень Вдолгосрочной перспективе СТРАТЕГИ - Высшее руководство Высокоуровневая информация: • Финансовые аспекты, бюджетирование. • Тренды угроз и атак. • Киберриски. ТЕХНИКИ - Архитекторы и сисадмины Тактики, техники, процедуры (TTP): • Инструменты атакующих. • Цели атак. • Эксплойты и методы защиты. • Критичные обновления. Вкраткосрочнойисреднесрочной перспективе ТАКТИКИ - Руководители служб ИБ Детали конкретных готовящихся и проводимых атак: • Кто? • Зачем? • Где? • Когда? • Ресурсы и возможности атакующих. • Как общаются между собой? • Как маскируются? • Что произошло или может произойти? • Способы выявления. • Способы противодействия. ОПЕРАТОРЫ - персонал SOC, ГР, forensics Индикаторы атак и компрометации: • Образцы или хэш-суммы вредоносного кода. • YARA-rules. • Изменения ключей реестра. • Появление файлов, вредоносного кода. • Фиды вредоносных IP-адресов. • IP-адреса и домены Command & Control. • Почтовые индикаторы (темы, адреса, домены). • Векторы атак. • Изменения количества атакующих ресурсов. • Стадии развития атак. • Способы совершения преступлений.
  • 6.
    ©2016, ОАО «ИнфоТеКС». Типыпоставщиков Threat Intelligence Комплексная TI TI для пользователей стратегического уровня Фиды угроз Приоритизация Техническая аналитика Контекст Статистика Индикаторы угроз Сигнатуры Правила
  • 7.
    ©2016, ОАО «ИнфоТеКС». Гдеприменяются результаты TI Тип СЗИ Интеграция TI Межсетевые экраны / UTM 39.2% IPS/IDS 41.1% Управление уязвимостями 30.4% SIEM 31.6% Хостовые средства безопасности 34.8% Средства безопасности приложений 27.2% IAM / IDM 25.9% Расследование инцидентов 17.7% Аналитические платформы, отличные от SIEM (например, BI) 21.5% Big data 13.9% 2015 г. опрос SANS Institute
  • 8.
    ©2016, ОАО «ИнфоТеКС». Источникиданных для Threat Intelligence • Технологические собственные (структурированные, необработанные) • Открытые (человекочитаемые, реже машиночитаемые) • Фиды (машиночитаемые) • Закрытые • Социальные медиа (человекочитаемые) • Личные контакты • «Глубокий» и «Тёмный» веб (разные)
  • 9.
    ©2016, ОАО «ИнфоТеКС». Технологические собственные Сетевыеустройства Маршрутизаторы Свичи Прокси WiFi VPN СЗИ IPSIDS Хостовые IPSIDS DLP Межсетевые экраны Антивирусы IAM Сканеры уязвимостей Серверы Приложений БД Почта Веб «Песочницы» (Sandbox) Honeypots Логи СКУД Операционные системы Приложения Технологические собственные
  • 10.
    ©2016, ОАО «ИнфоТеКС». Открытые Whitepapers Статьи и публикации Новостные потоки Выставки и конференции Государственные и индустриальные сообщества обмена результатами TI Отчёты об исследованиях Сообщества обмена информацией для машин Вендоры ИТ и ИБ Фирмы, предоставляющие услуги TI Открытые
  • 11.
    ©2016, ОАО «ИнфоТеКС». Фиды IPи DNS адреса вредоносных сайтов спам-серверов серверов С&C Узлы анонимных сетей p2p сетей SSL-сертификаты вредоносных сайтов Заголовки и метаданные писем (спам и фишинг) Образцы и хэши вредоносного кода Ключи реестра и файловые артефакты ОС Фиды уязвимостей (CVE, CWE и т.д) Базы эксплойтов Фиды
  • 12.
    ©2016, ОАО «ИнфоТеКС». Форматыи языки описания • Open Threat Exchange (OTX) — 51% • Structured Threat Information Expression (STIX) — 46% • Collective Intelligence Framework (CIF) — 39% • Open Indicators of Compromise (OpenIOC) framework — 33% • Trusted Automated eXchange of Indicator Information (TAXII) — 33% • Traffic Light Protocol (TLP) — 28% • Cyber Observable eXpression (CybOX) — 26% • Incident Object Description and Exchange Format (IODEF) — 23% • Vocabulary for Event Recording and Incident Sharing (VERIS) — 20% SANS Institute
  • 13.
  • 14.
  • 15.
    ©2016, ОАО «ИнфоТеКС». Источникиданных для Threat Intelligence • Личные контакты • «Глубокий» и «Тёмный» веб Искусство возможного …
  • 16.
    ©2016, ОАО «ИнфоТеКС». ThreatIntelligence от ПМ (ГК InfoTecs) Правила Продукты Услуги Фиды IDS VipNet IDS + TIAS Мониторинг IP и домены HIDS VipNet HIDS Реагирование ВПО FW/UTM VipNet HW Расследование IOC SIEM SIEM Создание ЦМ Уязвимости
  • 17.
    ©2016, ОАО «ИнфоТеКС». Чемпомогло TI 2015 г. IDC 329 компаний 1% 2% 5% 5% 6% 10% 13% 30% 30% 40% 42% 43% 55%Создание профиля нормального поведения Выявление внешних угроз использования ВПО Создание правил для антифрод систем Выявление нарушения политик ИБ Выявление скомпрометированных учётных записей Уменьшение количества ложных срабатываний Ускорение обнаружения и реагирования на атаки Видимость сетевой и АРМ активности Мониторинг и менеджмент соответствия стандартам Обнаружение инсайдеров Улучшение видимости угроз и атак Обнаружение новых или неизвестных угроз Понимание угроз и атак
  • 18.

Editor's Notes

  • #3 К 2014–2015 годам поставщики всего, что можно считать TI, решили, что надо продвигать свои продукты, используя модный термин «threat intelligence». Это очень чёткий тренд, его можно отследить по тематике выступлений на RSA Conference. Провайдеры TI старательно «подогревали» интерес к своим продуктам, и у потенциальных потребителей сформировался спрос на исследования в этой области: кто лидер, что предлагают, какие услуги и решения существуют. Поэтому первые исследования рынка TI появились только в 2014–2015 годах.
  • #6 В Таблице Потребители TI перечислены основные группы потребителей результатов TI, признаки интересующей их информации, конкретные данные, которые потребители хотели бы получать от TI. Данная модель подразумевает обмен информацией между целевыми группами, который показан стрелками. Один и тот же набор результатов TI может быть интересен различным целевым группам.
  • #7 Поставщики индикаторов угроз Большое количество СЗИ-вендоров и мейнтейнеров open-source проектов поставляют на регулярной основе индикаторы, сигнатуры и правила обнаружения атак для межсетевых экранов, антивирусов, IPS/IDS, UTM. В некоторых случаях это сырые данные, в других — дополненные оценкой риска или репутации. Индикаторы угроз критичны для технического уровня TI, но часто не предоставляют контекста для реагирования на инцидент. Поставщики фидов угроз Технологические вендоры и ИБ-компании предоставляют свои фиды угроз. Они включают в себя проверенные и приоритизированные индикаторы угроз и технический анализ образцов вредоносного кода, информацию о ботнетах, DDoS атаках и других инструментах и видах вредоносной активности. Часто такие фиды дополняются статистикой и прогнозами: например, «ТОП-10 троянов» или «Список крупнейших ботнетов» и т.п. К основным недостаткам таких фидов относят отсутствие отраслевой или региональной специфики и малую ценность для пользователей TI стратегического уровня. Поставщики комплексной Threat Intelligence Небольшое число компании предоставляют по-настоящему комплексную TI: проверенные, актуальные для потребителя индикаторы угроз, фиды угроз и TI стратегического уровня. Сюда обычно входят: Проверенные и размеченные (тэгированные) индикаторы угроз. Детальная техническая аналитика инструментов атак. Глубокие исследования противника, дополненные информацией на «подпольных» сайтах и из частных источников. Оценка ландшафта угроз для отрасли и отдельного предприятия. Помощь в выработке требований к TI. TI, специально подготовленная для пользователей разных уровней внутри одной организации.
  • #8 SANS Institute попросил сотрудников ИБ-служб назвать системы, к которым они применяют результаты TI. Как видно из таблицы, область применения не ограничивается одними IDS
  • #10 В эту группу вошли технологические источники, контролируемые самой компанией, которая заинтересована в получении результатов TI. Данные от этих источников могут передаваться в аналитическую систему либо напрямую в виде логов, либо через специализированные ПАК сбора данных.
  • #11 В эту группу вошли источники TI, которые доступны всем. Их может использовать любая организация. Эти источники могут платными и бесплатными. Платность источника не означает, что он не является открытым, ведь доступ к ним не ограничивается как-то искусственно.
  • #12 В этой группе источников — формализованные стандартизированные потоки машиночитаемых данных, правил и сигнатур.
  • #13 Для описания угроз, атак и уязвимостей в понятном машинам виде существует множество форматов, синтаксисов и стандартов. Среди тех потребителей и поставщиков TI, кто использует стандартные форматы, наиболее популярны (согласно исследованию SANS Institute):
  • #14 Основное отличие этой группы источников — к ним подключиться могут не все. Участников объединяет либо одна отрасль, либо принадлежность к одному холдингу, либо некая «тусовка» руководителей служб ИБ, в которой они обмениваются информацией. При B2B обмене результатами TI, стороны действуют напрямую, известен источник и получатель информации. Если в обмене участвует доверенная третья сторона, то она, как правило, анонимизирует источник данных, проверяет и рассылает информацию всем участникам объединения.
  • #15 Paste сайты — это площадки для быстрого размещения текста (например, Pastebin). Обычно для мониторинга таких сайтов используют их API вкупе с какими-либо анализаторами исходного кода, которые позволяют находить потенциально вредоносный код, который размещается на таких площадках.
  • #16 Данные источники непостоянны, с ними связаны некоторые риски.