Как насчет этого? https://github.com/aptnotes/data

Нет,  такого в паблике сейчас нет. Но мы понемногу об этом думаем :)

Спасибо за ответ. Надеюсь, что надумаете)
"Больше отчетов хороших и разных" - должно принести пользу российскому ИБ сообществу)
Возможно, что кто-то даже задумается, что и у них уже не всё ок и проверит эту гипотезу.

Ээээ, сугубо имхо, но атрибуция кибергруппировок (а многие упомянутые отчеты и ссылки именно про них) для большинства компаний не нужна от слова совсем. Это не говоря уже о возможной неточности самой атрибуции. На практике знания`TTP должно быть достаточно для выстраивания процесса мониторинга и реагирования

В таком случае по какому критерию производить приоритизацию? Почему вы в целом так думаете?

TTP без атрибуции? Хм

Согласен с Алексеем. Важнее знать саму тактику и возможные методики её детектирования. Знание страны происхождения автора малвари, потенциальные цели среди госструктур других государств слабо помогает.

В качестве приоритизации я бы предложил некоторую функцию от: потенциальной опасности самой техники, надёжности детекта и значимости актива для которого этот детект срабатывает

Серёж, ну если под атрибуцией вы понимаете только это - тогда для вас мб

А я скорее не соглашусь. Да, методики есть общие и за ними надо следить.  Но особенности техник и фокус группировки очень помогают в большой промышленной инфраструктуре (как у нас)  или при малых ресурсах.  Хантить малварь, написанную под ВПК, в банке для очистки совести конечно нужно, но не с тем темпом, как очередной банковский троян.  Если в модулях вируса целевая работа идёт с банкоматами - имеет смысл приоритеты всех инцидентов вокруг поднять, хотя бы пока хантим. Да и возвращаясь к свежей ссылке - соседям из отрасли на какое-то время поднять приоритет инцидент с использованием конкретных тулов.

Да,  геопренадлежность и люди в работе SOC,  имхо куда менее значимы

Люди - в смысле атрибуция персон группировки

Потому что 99% компаний не способно атрибутировать то, с чем они сталкиваются. То, о чем пишет Володя Дрюков, - это удел хорошо если десятка компаний в России, которые ЗАРАБАТЫВАЮТ на ИБ. Их трудом пользуются все остальные (за деньги или бесплатно). Мне, как заказчику, важнее детектить/хантить применение конкретных ТТР, чем заморачиваться вопросами КТО и ЗАЧЕМ. Ответы на них полезны, но второстепенны

Тогда давай к истокам и определимся с термином ;-)

Вот с этого и нужно начинать)

Но в фб я тебе уже ответил)

Тогда давайте будем до конца честны "детектить/хантить применение конкретных TTP" удел 10ка заказчиков в РФ ну хорошо - четырех 10ков.

Остальным дай бог заниматься первичной "гигиеной". Антивирусы ставить , фаерволы настраивать, на внешке прибраться, и далее.

Алексей, а на западе разве иначе?  Так же микропроцент компаний, которые делают сами и mssp/mdr,  которые зарабатывают на этом деньги?  И значит ли то, что сейчас этого никто не делает, что и пытаться хоть немного не стоит?  ИБ такая штука, развивающаяся

Тонко :)

Думаю это число побольше, но в целом незначительно, согласен. По мере же большей автоматизации и понимания, что антивирус - это отстой и вчерашний день, и его пора менять на EDR/MDR, число тех, у кого будет возможность хантить увеличится. Детектить можно и сейчас - многие продукты (правда, преимущественно неотечественные) это позволяют. Но только благодаря автоматизации, которая упрощает детект/хантинг. Но не атрибуцию, которая удел единиц