Post on 25-May-2020
Источники для Threat IntelligenceКак не закопаться в фидах?
Калинин Антон Александрович
Аналитик SOC
ICL Системные Технологии
Проблема
Популярность тематики Threat Intelligence привела к появлению большого количества сервисов, вендоров, провайдеров, open-source проектов и других источников, предоставляющих данные об угрозах.
© 2019 Cisco and/or its affiliates. All rights reserved.
Что же из них выбрать и не прогадать?
Потребители TI. Определение целей
© 2019 Cisco and/or its affiliates. All rights reserved.
Чаще всего работает в конкретной отрасли
Внутренний SOC Коммерческий SOC
• Финансы
• Промышленность
• Государственные структуры
• Муниципальные Службы
• Другое
Ориентируется на общий спектр угроз и профили своих заказчиков.
Типы источников Threat Intelligence
© 2019 Cisco and/or its affiliates. All rights reserved.
Внешние Внутренние
Government
Commercialsources
OSINT
ISACsPrivate
B2B sharing
Threat
Intelligence
Platform
ВнешниеИсточники Threat Intelligence
Типы внешних источников
© 2019 Cisco and/or its affiliates. All rights reserved.
Индикаторы Угроз (IoC) Фиды угроз Комплексные сервисы
• Индикаторы
• Правила
• Сигнатуры
• Индикаторы
• Правила
• Контекст
• Анализ образцов
• Индикаторы
• Правила
• Контекст
• Аналитика
• Артефакты
• Инструменты
• Оценка угроз
Один источник или много?
© 2019 Cisco and/or its affiliates. All rights reserved.
• Может отсутствовать информация о массовых атаках
• Может отсутствовать информация о профильных угрозах
• Ошибочная информация (Potential False)
Внимание на детали
© 2019 Cisco and/or its affiliates. All rights reserved.
• Тип источника
• Актуальность
• Формат и унифицированность предоставляемых данных (STIX или OpenIOC)
• Уникальность
• Частота появления/обновления информации
• Полнота контекста
• Известность
• Автоматизация доставки (Наличие API)
• Релевантность данных
Используемые Фиды
© 2019 Cisco and/or its affiliates. All rights reserved.
Данные в 95% случаях проверены и релевантны
AEGIS Program
Пример
© 2019 Cisco and/or its affiliates. All rights reserved.
STIX формат
Как это выглядит в TIP
Что делать с источниками IoC без контекста?
© 2019 Cisco and/or its affiliates. All rights reserved.
1) Деление на 2 группы
2) Проверка на релевантность!
ХостовыеСетевые
• IP
• Домены
• URL
• Почтовые адреса
• Файлы
• Процессы
• Ключи реестра
• Хэш-суммы
Проверка на релевантность
© 2019 Cisco and/or its affiliates. All rights reserved.
GOSINT –инструмент автоматизации проверок индикаторов на релевантность
Проверка на релевантность
© 2019 Cisco and/or its affiliates. All rights reserved.
Менеджер рецептов -облегчает создание обработчиков для индикаторов
Что дальше?
© 2019 Cisco and/or its affiliates. All rights reserved.
• Объединение и корреляция данных в рамках одной угрозы
• Классификация
В дело вступает Threat Intelligence Platform
ВнутренниеИсточники Threat Intelligence
Внешних данных недостаточно
© 2019 Cisco and/or its affiliates. All rights reserved.
• Могут не давать полноты картины
• Могут не охватывать ваш профиль
• Не дают результатов в связи с неправильным выбором внешних источников
Откуда брать данные?
© 2019 Cisco and/or its affiliates. All rights reserved.
• Песочницы (в том числе потоковые, стоящие на периметре сети или на почтовом трафике)
• EDR-системы
• HoneyPot-ы
• СенсорыПесочницы
EDR
HoneyPot
HoneyPot
Сенсоры
Threat Intelligence Platform
Откуда берет данные наш SOC?
© 2019 Cisco and/or its affiliates. All rights reserved.
HoneyPot-ы
• SSH honeypots (Kippo, Cowrie)
• Redispot (NoSQLpot)
• VNC honeypot (VncLowPot)
• PostgreSQL honeypot (Pghoney)
Еще..
Потоковые песочницы заказчиков
СЗИ заказчиков
Кроме фидов
© 2019 Cisco and/or its affiliates. All rights reserved.
• Отчеты о региональных ландшафтах киберугроз
• Отчеты об угрозах, адресованных конкретным индустриям
• Годовые отчеты об угрозах и прогнозы на следующий год
• Отчеты по специфичным угрозам для конкретного заказчика
Заключение
© 2019 Cisco and/or its affiliates. All rights reserved.
«Хорошее начало - половина дела» (Платон)
Планирование
Сбор и Обработка
Анализ
Распространение
Обратная Связь
Спасибо за внимание!
www.facebook.com/CiscoRu
© 2019 Cisco and/or its affiliates. All rights reserved.
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
www.vk.com/cisco
Оцените данную сессию в мобильном приложении конференции
Контакты:
Тел.: +7 495 9611410www.cisco.com