Вопрос в уровне зрелости

Я видел инциденты, которые пропускали 4,7,10 лет и малварь стучала на с2 которых нет в живых уже несколько лет. И что, можно расслабится?

Или как владелец инфраструктуры стоит задуматься что сеть не твоя уже 4 года и попытаться искать, что с ней сейчас?

Обращение на Гугл диск свидетельствует о возможности вируса. Что даст обогащение из ЛВС?

Вот есть у тебя 2 индикатора, с2 домен и с2 ip из фида, которому год.  Если ты видишь обращение к домену, то твои дела обычно хуже, чем к IP  в данном конкретном контексте, потому что IP  за год мог сильнее по рукам походить. Поэтому даже зная роль индикатора, разные типы индикаторов имеют разный уровень критичности если его размазать по шкале времени

А если командный центр поднят внутри ЛВС?

а если его вообще нет и доступ получен легитимным для компании способом?)

почему все думают что обязательно должен быть c2c...как и закрепление

такое тоже встречается)

это классика жанра ;)

на этом можно заработать (с)

Если у вас такое обращение прям "свидетельствует", то очень сочувствую xD
В общем, не преувеличивайте.

Но при этом в моей практике были случаи, когда находится С2 (не без помощи обогащения) и он не меняется достаточно продолжительное время (осознано не блокировали). То есть для меня сценарий, описанный выше, вполне подходит.

И ещё туннелирование внутри сети с помощью сертифицированного по с  гостовой криптой. Всякое бывает...

Я и не спорю, но сужу по себе )
Но, увы, я пока не видел хорошей ACTIONABLE аналитики (TI) со стороны, даже за большие деньги.
Последний раз - меня 3 месяца уговаривали посмотреть демку новой топовой в РФ TIP. Её продавали как раз с акцентом на то, что там будет много аналитики по релевантным для меня (я в РФ работаю) threat actors. Вот только после того, как они показали этих threat actors, там оказались APT28 и Иран =)
В общем, не захотели мне её давать на пилот, сказали, что чуть-чуть докрутят и вернутся =)

Ну так по делу оказалось

Кстати, если есть что показать (и продать) по TI для РФ, то я с радостью посмотрю и включу в закупку )
Пишите в ЛС.

O_o
А можно ссылку на какой-нибудь публичный отчет?

Любимая тема для спекуляции страхом.
А он наружу никуда не обращается? Или вы это не умеете детектить?)

составляешь список для бана?