В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1494 membersпожаловаться на группу
2021 April 25

v

vbengin in SOС Технологии
К сожалению (или к счастью) но рынок в целом смотрит на TI как на  сборщик фидов и работа с ним. Собрать , агрегировать, отприоритизировать, выдать готовые списки для разных подсистем или показать операторк карточки чтоб он внимательно вникнал.

По факту это все превращается в работу с ioc. Агрегировать с разных источников и держать в одном месте.

И от рисков это бесконечно далеко.
источник
00:15пожаловаться#1

AL

Alexey Lukatsky in SOС Технологии
Чтобы хотя бы собрать правильные IoCи (а не весь шлак с рынка), надо понимать что собирать, для каких активов, от каких нарушителей и тп. То есть входом для Ti-процесса у тебя будет именно моделирование угроз.

Риски определяют угрозы. Угрозы описываются TTP. TTP детектятся среди прочего с помощью IoCов.

Но да, можно отбросить первые 3 элемента и начать с IoCов. А потом ругаться, что там один шлак
источник
00:22пожаловаться#2

NA

Nikolai Arefiev in SOС Технологии
Ну шлак в IoCах имеет разную природу и большая часть более прозаична, нежели непонимание угроз.
источник
00:24пожаловаться#3

AL

Alexey Lukatsky in SOС Технологии
Если есть непонимание угроз, то шлака слишком много. И выбирать из него становится гораздо сложнее, чем если сначала ограничить условия сбора
источник
00:25пожаловаться#4

NA

Nikolai Arefiev in SOС Технологии
тогда 90% компаний, как минимум в России, можно забыть про TI )))
источник
00:26пожаловаться#5

AL

Alexey Lukatsky in SOС Технологии
Низкое качество IoCов, отсутствие контроля их актуальности, отсутствие оценки confidence level - это проблема не TI- платформ, а, во-многом, их источников, на которые повлиять почти нельзя, исключая их отбор
источник
00:28пожаловаться#6

AL

Alexey Lukatsky in SOС Технологии
Нет, почему. Про них Владимир и пишет, что к счастью они умеют только в IoCи. Им и впаривают «TI = IoCи»
источник
00:29пожаловаться#7

v

vbengin in SOС Технологии
Я бы согласился, но похоже это теория и от практики она с каждым днём всё дальше.

1. Шлак в иоках засирает вне зависимости от модели угроз. Если в ваших иоках обнаружен Гугл и 127001. Пофигу какая там модель угроз.


2. Если вы крупный банк  а к вам попала апт работающая в военном секторе. Я бы рекомендовал  все рано переживать и на такие сработки обращать внимание.
источник
00:29пожаловаться#8

v

vbengin in SOС Технологии
+100500
источник
00:30пожаловаться#9

NA

Nikolai Arefiev in SOС Технологии
+1
источник
00:31пожаловаться#10

DD

Daniel Doe in SOС Технологии
Кстати, вот еще был старенький whitepaper от Mandiant.
Мне кажется, там было наиболее интересное представление TI по всем уровням
https://www.foo.be/docs/informations-sharing/Threat-Intelligence-Whitepaper.pdf

Но сейчас он уже вряд ли актуален без маппинга на TTP MITRE ATT&CK и понимания релевантности к защищаемой инфраструктуре
источник
00:38пожаловаться#11

DD

Daniel Doe in SOС Технологии
Вот эта заезженная картинка наверное уже является классической при описании уровней и процессов TI
источник
00:41пожаловаться#12

NA

Nikolai Arefiev in SOС Технологии
Кстати, забавная вещь. По исследованию SANS (2021 SANS Cyber Threat Intelligence (CTI) Survey) TI используется для оценки рисков. Про формирование TI на основе моделирования рисков нет ни слова )
источник
00:51пожаловаться#13

NA

Nikolai Arefiev in SOС Технологии
Это как-бы не опровержение подхода при котором TI строится на фундаменте рисковой модели, просто забавный факт
источник
00:52пожаловаться#14

K

Kevin in SOС Технологии
У SWI, насколько я понял, не было вообще ничего, кроме одного апсек инженера из Буэнос-Айреса на аутсорсе.
источник
08:29пожаловаться#15

АР

Александр Родченко... in SOС Технологии
ну и в модели было сказано что-то вроде "мы доверяем поставщикам своего ПО иначе с ума сойдём ещё и софт перепроверять за этими норкоманами"
источник
10:27пожаловаться#16

АР

Александр Родченко... in SOС Технологии
тоесть модель помогает от рисков, которые учтены и принято решение от них защитится. Как бы если риска нет в модели - надо его добавить. Это не значит что модель плохая - защищается что должно от чего должно за нужную цену.
источник
10:45пожаловаться#17

AL

Alexey Lukatsky in SOС Технологии
Если рассматривать стратегический CTI, то оно так и есть. Если IoCи, то нет
источник
10:49пожаловаться#18
2021 April 29

nastya князева... in SOС Технологии
Всм привет
источник
13:05пожаловаться#19

$

$t3v3;0) in SOС Технологии
Привет
источник
13:24пожаловаться#20