$
Ну подожди ты
Size: a a a
2019 May 14
$
Чтож сразу так)
$
Это не рокот саенс. Это попытка жидкости придать свойства твердости. Одна обнал площадка может обслуживать несколько групп
IG
Про альтернативные каналы - приведёте примеры?
доступ к c2, к форуму или джабберу определенной группировки. или друзья, у которых есть доступ.
IG
Дэн, понятно, что это далеко не 50% кейсов и даже не 10% скорее всего :) тем более для большинства
$
доступ к c2, к форуму или джабберу определенной группировки. или друзья, у которых есть доступ.
Вы все-рвано к заражённому придёте с атрибуцией
BB
Атрибуция по альтернативным каналам в том виде, как вы их описываете, имхо нахрен не нужная большинству заказчиков вещь.
Это нужно операм при расследованиях и тому подобные случаи.
Если индивидуальная работа с зараженным, то это даже не tlp:red, это обычно вообще не распространяют
Это нужно операм при расследованиях и тому подобные случаи.
Если индивидуальная работа с зараженным, то это даже не tlp:red, это обычно вообще не распространяют
y
Если в ответ будет про авторство - отвечу сразу - это уже частный случай применения того что в определении выше
хз чего вас в психологию понесло, но под атрибуцией в CTI подразумевается именно определение Threat Actor будь то некая группа / организация или отдельный индивид. может быть это и частный случай атрибуции в см психологии, но это вообще не касается топика.
$
хз чего вас в психологию понесло, но под атрибуцией в CTI подразумевается именно определение Threat Actor будь то некая группа / организация или отдельный индивид. может быть это и частный случай атрибуции в см психологии, но это вообще не касается топика.
Для чего определяется threat actor?
y
отличный вопрос, как раз с него и начали — причины, реальная необходимость.
в россии пока в этом плане дичь и хаос, но на западе давно устоявшаяся вещь и вроде как всем понятная.
общепринятое мнение — для того чтобы можно было описать этих threat actor'ов, быстро поделиться инфой и все остальные будут предупреждены. в добавок разные хитмапы, чтобы делать приоритизацию по часто используемым техникам группировками конкретной направленности.
но хочу вас сразу предупредить — я с этой позицией не согласен.
в россии пока в этом плане дичь и хаос, но на западе давно устоявшаяся вещь и вроде как всем понятная.
общепринятое мнение — для того чтобы можно было описать этих threat actor'ов, быстро поделиться инфой и все остальные будут предупреждены. в добавок разные хитмапы, чтобы делать приоритизацию по часто используемым техникам группировками конкретной направленности.
но хочу вас сразу предупредить — я с этой позицией не согласен.
y
но это именно то что вам расскажут на курсах SANS и будет просить делать руководство, ибо это хороший способ донесения до бизнеса что ты делаешь и почему.
y
разумеется есть рабочие варианты, типо червей или отдельных ботнетов, где реально статичная захардкоженная активность и она всегда одинаково действует или там 2-3 вариации. но определение групп по TTP, по поведению — это такое
$
отличный вопрос, как раз с него и начали — причины, реальная необходимость.
в россии пока в этом плане дичь и хаос, но на западе давно устоявшаяся вещь и вроде как всем понятная.
общепринятое мнение — для того чтобы можно было описать этих threat actor'ов, быстро поделиться инфой и все остальные будут предупреждены. в добавок разные хитмапы, чтобы делать приоритизацию по часто используемым техникам группировками конкретной направленности.
но хочу вас сразу предупредить — я с этой позицией не согласен.
в россии пока в этом плане дичь и хаос, но на западе давно устоявшаяся вещь и вроде как всем понятная.
общепринятое мнение — для того чтобы можно было описать этих threat actor'ов, быстро поделиться инфой и все остальные будут предупреждены. в добавок разные хитмапы, чтобы делать приоритизацию по часто используемым техникам группировками конкретной направленности.
но хочу вас сразу предупредить — я с этой позицией не согласен.
Хитмапы - имеется в виду «куда ещё смотреть»?
y
Хитмапы - имеется в виду «куда ещё смотреть»?
не. вот примеры
$
не. вот примеры
Спасибо)
Я рассматриваю атрибуцию (именно в свете авторства) как получение информации о дополнительных IOC, в свете наиболее полного мониторинга/реагирования. Но только как дополнительных.
Роман выше отвечал, его точку зрения я разделяю.
И в этом ключе - атрибуция как раз прекрасно ложится в то что я привёл из психологии. Как и что делает тот или иной threat actor. Но опять же - в ключе «дополнительно».
Мне интересно не столько кто, сколько как, где и зачем
Я рассматриваю атрибуцию (именно в свете авторства) как получение информации о дополнительных IOC, в свете наиболее полного мониторинга/реагирования. Но только как дополнительных.
Роман выше отвечал, его точку зрения я разделяю.
И в этом ключе - атрибуция как раз прекрасно ложится в то что я привёл из психологии. Как и что делает тот или иной threat actor. Но опять же - в ключе «дополнительно».
Мне интересно не столько кто, сколько как, где и зачем
IG
Спасибо)
Я рассматриваю атрибуцию (именно в свете авторства) как получение информации о дополнительных IOC, в свете наиболее полного мониторинга/реагирования. Но только как дополнительных.
Роман выше отвечал, его точку зрения я разделяю.
И в этом ключе - атрибуция как раз прекрасно ложится в то что я привёл из психологии. Как и что делает тот или иной threat actor. Но опять же - в ключе «дополнительно».
Мне интересно не столько кто, сколько как, где и зачем
Я рассматриваю атрибуцию (именно в свете авторства) как получение информации о дополнительных IOC, в свете наиболее полного мониторинга/реагирования. Но только как дополнительных.
Роман выше отвечал, его точку зрения я разделяю.
И в этом ключе - атрибуция как раз прекрасно ложится в то что я привёл из психологии. Как и что делает тот или иной threat actor. Но опять же - в ключе «дополнительно».
Мне интересно не столько кто, сколько как, где и зачем
вы описываете определение через его следствие. атрибуция - это прежде всего кто. в своем примере с альтернативным источниками я как раз на это и хотел указать.