Киберразведка: ключ к эффективной защите

Как вы информируете руководство об актуальных опасностях? Если мы знаем инфраструктуру, утилиты, методики и уязвимости врага, то нам проще защищаться и вовремя отбивать атаки без ущерба для компании. Threat Intelligence (TI) — это данные об угрозах, которые существуют сейчас в мире. Они используются для обнаружения и реагирования на эти угрозы, понимания заготовленных против вас эксплойтов, вредоносного кода и сетевой инфраструктуры. TI позволяет собирать и обмениваться информацией о хакерах и том, что они делают. Для чего компаниям нужно внедрять TI, а также какие действия нужно сделать, чтобы реализовать у себя этот процесс и о том, как выглядит пирамида боли хакера, Денис рассказал в видеоролике. Портал с исследованиями команды TI от компании Positive Technologies: Таймкоды: 0:00 Начало 0:18 Как вы информируете свое руководство об актуальных опасностях? 0:24 Threat Intelligence содержит информацию об угрозах существующих в мире 0:57 TI должен содержать еще и подсказки как реагировать на угрозы 1:25 TI нужен, чтобы более проактивно реагировать на угрозы 2:02 Positive Technologies уведомляет своих заказчиков об актуальных угрозах 2:40 Откуда получают IoC и фиды 2:18 Часть индикаторов удобно получать при работе песочниц 3:03 IoC и фиды бывают разных типов 3:25 В интернет есть готовые фиды, например в IPSUM и национальных CERT 3:52 В чем трудности IoC и фидов 4:14 Иногда TI отдают сами хакеры 4:25 TI это не только IoC — это еще отчеты, техники и их взаимосвязи 4:51 TI содержит информацию о времени актуальности индикатора 5:06 TI должен быть связан с работой SOC 5:15 Безопасник может пропустить Zero Day, при этом хакеру после попадания в сеть тоже трудно 5:33 Как обмениваться информацией о тактиках атакующих 5:59 Adversary playbook придуман для обмена информацией о TTP 6:19 Техники, тактики и процедуры (TTP) хакеров записаны в MITRE ATT&CK 6:57 Кампании (Campaigns) и используют конкретные TTP 7:18 Пирамида боли хакера показывает что ему больше всего вредит. 8:12 TTP распознает MaxPatrol EDR, PT SIEM, PT NAD 8:22 Увидеть TTP можно на портале: 8:44 Как TTP попадают в продукты безопасности Positive Technologies 9:04 От поставщика важно получать актуальные данные TI 9:31 Мы обязаны делиться друг с другом свежими TI данными 10:20 Как Threat Intelligence Portal связывает IoC и контекст 10:59 PT Threat Intelligence Feeds источник IoC и взаимосвязей 10:46 Фиды можно использовать в EDR, NDR, NGFW, SIEM и SOAR 11:53 Как TIP помогает понять актуальность найденного IoC 12:13 Атрибуция киберугроз определенной группировке 12:37 PT Threat Analyzer интегрирован с PT VM 12:50 Как внедрить процесс TI у себя в компании 14:40 Используйте для быстрой проверки файла или индикатора компрометации