Источники для Threat Intelligence...Что же из них выбрать и не...

Источники для Threat IntelligenceКак не закопаться в фидах?

Калинин Антон Александрович

Аналитик SOC

ICL Системные Технологии

Проблема

Популярность тематики Threat Intelligence привела к появлению большого количества сервисов, вендоров, провайдеров, open-source проектов и других источников, предоставляющих данные об угрозах.

© 2019 Cisco and/or its affiliates. All rights reserved.

Что же из них выбрать и не прогадать?

Потребители TI. Определение целей


Чаще всего работает в конкретной отрасли

Внутренний SOC Коммерческий SOC

• Финансы

• Промышленность

• Государственные структуры

• Муниципальные Службы

• Другое

Ориентируется на общий спектр угроз и профили своих заказчиков.

Типы источников Threat Intelligence


Внешние Внутренние

Government

Commercialsources

OSINT

ISACsPrivate

B2B sharing

Threat

Intelligence

Platform

ВнешниеИсточники Threat Intelligence

Типы внешних источников


Индикаторы Угроз (IoC) Фиды угроз Комплексные сервисы

• Индикаторы

• Правила

• Сигнатуры


• Правила

• Контекст

• Анализ образцов


• Правила

• Контекст

• Аналитика

• Артефакты

• Инструменты

• Оценка угроз

Один источник или много?


• Может отсутствовать информация о массовых атаках

• Может отсутствовать информация о профильных угрозах

• Ошибочная информация (Potential False)

Внимание на детали


• Тип источника

• Актуальность

• Формат и унифицированность предоставляемых данных (STIX или OpenIOC)

• Уникальность

• Частота появления/обновления информации

• Полнота контекста

• Известность

• Автоматизация доставки (Наличие API)

• Релевантность данных

Используемые Фиды


Данные в 95% случаях проверены и релевантны

AEGIS Program

Пример


STIX формат

Как это выглядит в TIP

Что делать с источниками IoC без контекста?


1) Деление на 2 группы

2) Проверка на релевантность!

ХостовыеСетевые

• IP

• Домены

• URL

• Почтовые адреса

• Файлы

• Процессы

• Ключи реестра

• Хэш-суммы

Проверка на релевантность


GOSINT –инструмент автоматизации проверок индикаторов на релевантность

Проверка на релевантность


Менеджер рецептов -облегчает создание обработчиков для индикаторов

Что дальше?


• Объединение и корреляция данных в рамках одной угрозы

• Классификация

В дело вступает Threat Intelligence Platform

ВнутренниеИсточники Threat Intelligence

Внешних данных недостаточно


• Могут не давать полноты картины

• Могут не охватывать ваш профиль

• Не дают результатов в связи с неправильным выбором внешних источников

Откуда брать данные?


• Песочницы (в том числе потоковые, стоящие на периметре сети или на почтовом трафике)

• EDR-системы

• HoneyPot-ы

• СенсорыПесочницы

EDR

HoneyPot

HoneyPot

Сенсоры

Threat Intelligence Platform

Откуда берет данные наш SOC?


HoneyPot-ы

• SSH honeypots (Kippo, Cowrie)

• Redispot (NoSQLpot)

• VNC honeypot (VncLowPot)

• PostgreSQL honeypot (Pghoney)

Еще..

Потоковые песочницы заказчиков

СЗИ заказчиков

Кроме фидов


• Отчеты о региональных ландшафтах киберугроз

• Отчеты об угрозах, адресованных конкретным индустриям

• Годовые отчеты об угрозах и прогнозы на следующий год

• Отчеты по специфичным угрозам для конкретного заказчика

Заключение


«Хорошее начало - половина дела» (Платон)

Планирование

Сбор и Обработка

Анализ

Распространение

Обратная Связь

Спасибо за внимание!

www.facebook.com/CiscoRu


www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

www.vk.com/cisco

Оцените данную сессию в мобильном приложении конференции

Контакты:

Тел.: +7 495 9611410www.cisco.com

Источники для Threat Intelligence...Что же из них выбрать и не...

Documents

Transcript of Источники для Threat Intelligence...Что же из них выбрать и не...