Post on 21-Aug-2020
РОЛЬ THREAT INTELLIGENCE В РАБОТЕ INTELLIGENCE-DRIVEN SOC SOC-FORUM V2.0
1
Виктор Ивановский Менеджер по развитию бизнеса, Group-IB
2
Disclaimer
3
Начнем с теории…
ВЕСЬ ЛИ THREAT INTELLIGENCE ОДИНАКОВО ПОЛЕЗЕН ДЛЯ SOC?
4
Стратегическая информация Оперативная информация Тактическая информация
Горизонт событий Intelligence
СТРАТЕГИЧЕСКАЯ ИНФОРМАЦИЯ ГОРИЗОНТ СОБЫТИЙ: МЕСЯЦЫ
Intelligence :
Подготовка Детект и анализ
Локализация, ликвидация и
восстановление Lessons learned
ОПЕРАТИВНАЯ ИНФОРМАЦИЯ ГОРИЗОНТ СОБЫТИЙ: ОТ НЕСКОЛЬКИХ ДНЕЙ ДО МЕСЯЦЕВ
ТАКТИЧЕСКАЯ ИНФОРМАЦИЯ ГОРИЗОНТ СОБЫТИЙ: ОТ НЕСКОЛЬКИХ МИНУТ ДО НЕДЕЛЬ
• IoC
• Инструменты
• TTP
Что из этого важнее?
PoP: SAY “PYRAMID OF PAIN” ONCE AGAIN!
AND I DARE YOU! I DOUBLE DARE YOU!
• IoC
• Инструменты
• TTP
Что из этого важнее?
PoP:
СТРАТЕГИЧЕСКАЯ ИНФОРМАЦИЯ
ОПЕРАТИВНАЯ ИНФОРМАЦИЯ
ТАКТИЧЕСКАЯ ИНФОРМАЦИЯ
С
О
Т
• Технологии
• Люди
• Процессы
И как со всем этим работать?
Работа с Intelligence:
СТРАТЕГИЧЕСКАЯ ИНФОРМАЦИЯ
ТАКТИЧЕСКАЯ ИНФОРМАЦИЯ
ИНФРАСТРУКТУРА
ОПЕРАТИВНАЯ ИНФОРМАЦИЯ
СПЕЦИАЛИСТ ПО КИБЕРБЕЗОПАСНОСТИ
АНАЛИТИК 80 LVL
НАВЫКИ НА УРОВНЕ ДОМЕН АДМИНА
СПЕЦИАЛИСТ ПО РЕАГИРОВАНИЮ НА ИНЦИДЕНТЫ
АНАЛИТИК
IR ПЛАТФОРМА
ОРГАНИЗАЦИОННЫЕ ПРОЦЕССЫ ВНУТРИ КОМПАНИИ
8
Тактическая информация
9
Оперативная информация
10
Стратегическая информация
11
Как это работает
Обратная связь: - Россия - Европа - США - Ближний
Восток - ЮВ Азия
Enterprise или MSSP
SOC
Incident Response Team
1 ПРИОРИТЕТ – ДЕТЕКТИРОВАНИЕ УГРОЗ 2 ПРИОРИТЕТ – ОПРЕДЕЛЕНИЕ ПРИОРИТЕТОВ ИНЦИДЕНТА
1 ПРИОРИТЕТ – ОПРЕДЕЛИТЬ ЧТО КОНКРЕТНО ПРОРВАЛОСЬ В КОНТУР 2 ПРИОРИТЕТ – КАК, ЧТО И ГДЕ ВЫЧИЩАТЬ НА МЕСТЕ ИНЦИДЕНТА
12
Что востребовано SOC
ИНДИКАТОРЫ КОМПРОМЕТАЦИИ
TTP
ОТЧЕТЫ ОБ УГРОЗАХ
КТО МЫ?? SOC!!!
ЧТО МЫ ХОТИМ!? IOC! НУ И TTP ТОЖЕ…
КАК МЫ ЭТО ХОТИМ?! JSON! НУ И STIX ТОЖЕ…
13
Куда все движется - 1?
ЕСТЬ ЗАПРОС НА СМЕЩЕНИЕ ФОКУСА С DETECT И PREVENT В ЗОНУ PREDICT
Predict
Prevent
Detect
Respond
14
Куда все движется -2?
ДВИЖЕНИЕ В СТОРОНУ РОСТА КОМПЕТЕНЦИЙ В СФЕРЕ CYBERSECURITY ANALYTICS
15
Куда все движется -3?
УМЕНЬШЕНИЕ ЦЕННОСТИ И ВРЕМЕНИ ЖИЗНИ IOC И ТАКТИЧЕСКИХ ДАННЫХ
ДВИЖЕНИЕ ОТ COMMODITY АТАК В СТОРОНУ ЦЕЛЕВЫХ АТАК
РОСТ ЗНАЧЕНИЯ TTP И ОПЕРАТИВНЫХ THREAT INTELLIGENCE DATA
16
Роль Intelligence в intelligence-driven SOC
17
Роль Intelligence в intelligence-driven SOC
18
Спасибо за внимание! Ivanovskiy@group-ib.com