AS
У меня к TI много вопросов )
Size: a a a
2021 April 24
AS
Я бы вообще разобрался кто что вкладывает в TI. В самом банальном случае все говорят про IoC от вендоров (фиды) и репорты по группам и кампаниям. Это не плохо, но мне интересно как люди делают внутренний анализ, потому что, как мне кажется, вся польза TI когда ты анализируешь свой стек технологий, свои данные и так же строишь прогнозы. А не просто фиды перегоняешь от вендора на свои логи. Но я тут пытаюсь понять еще, зачем мне это надо)
AS
Так просто, купи КарудСтрайк, они тебе и ТИ фид, и сразу же совим агентом смотрят все эти IoC.
$
Тут зависит от твоих возможностей)
То что ты описал очень не многие могут позволить)
То что ты описал очень не многие могут позволить)
$
Это фантастика(с)
AS
ну вот мне пока интересно. В идеале ТИ должен помогать выбирать угрозы. ВОт у меня есть платформа-продукт-сисетема, как её и кто будет ломать?Что бы знать что в первую очередь настраивать )
y
если ты озвучишь вопросы я думаю будет проще на них ответить)
$
Для начала матрицу угроз нужно знать)))
И остальные вещи, связанные с рисками
TI в вакууме не живет
И остальные вещи, связанные с рисками
TI в вакууме не живет
AS
И как люди делают матрицу угроз?
AS
Получается сначала надо иметь модель угроз и пополнять и обновлять ее. Что мне кажется логичным...
$
А нет готового решения. У многих даже комитета по рискам нет.
А кроме людей из организации риски организации никто не сделает. Но, к сожалению, не все это понимают
А кроме людей из организации риски организации никто не сделает. Но, к сожалению, не все это понимают
$
Как минимум нужно понимать что для бизнеса плохо или критично, а на что можно не обращать внимания
AS
Вот
$
Ну просто есть технические вопросы, а есть организационные(это пример, есть и другие категории)
И не нужно организационные вопросы решать техническими мерами (самая частая ошибка)
И не нужно организационные вопросы решать техническими мерами (самая частая ошибка)
AS
Модель угроз это и должна делать - строить карту критичных процессов, активов, ассетов и мапить риски через угрозы...как мне кажется это поможет управлять рисками. А TI, в общем даж не про IoC, а про то что бы понимать какие угрозы щас у нас есть и как это ложится на наши активы.
AS
Причем TI это и про внутренние инциденты, события, понимание что у нас есть и где, как это открыто для угроз и каких...
AS
Это я просто пытаюсь понять для себя, потому что все в интернете пишут про фиды и ioc и про митре.. а про это что то найти не могу, чего умного почитать
AS
Кроме вайтпепера локхидмартина про угрозо моделирование. Но про TI там нет особо
NR
Может желать мапинг регион/индустрия/threat actor и отслеживать последние новости и их анализировать - на предмет ttp и трендов - а это уже мапить на свою инфраструктуру
