18 октября в Cloud Networks состоялся митап СN Talks, который был посвящен теме Threat Intelligence. В московском офисе компании собрались представители ИБ-подразделений крупных компаний и эксперты компаний Security Vision, RST Cloud и Cloud Networks.
Николай Арефьев, сооснователь RST Cloud (ООО «Технологии киберугроз»), рассказал про использование фидов из открытых источников:
Существуют 4 основные проблемы открытых источников:
1. Общие, такие как разные форматы источников, отсутствие контекста, отсутствие очистки индикатора, более 200к уникальных индикаторов в сутки.
2. Проблемы с отчетами: ручная валидация результатов, индикаторы в скриншотах, сложность извлечения связей IoC, IoC, которые ими не являются.
3. Социальные сети: регулярных выражений недостаточно – необходимо понимать, в какой части текста ожидать IoC, множество способов экранирования, синтаксические ошибки и ошибки в IoC.
4. Фиды: вольное трактование форматов, поломанные форматы и ошибки в IoC. Фиды из открытых источников объединяют в себе экспертизу множества независимых исследователей, оперативность появления индикаторов, взаимодополнение источников и широкий круг покрытия угроз.
RST Cloud является ведущим поставщиком фидов на отечественном рынке. Опыт компании основан на множестве проектов, в которых клиентам помогали не просто настраивать получение фидов, но и подсказывали, каким образом нужно выстраивать процесс работы с ними.
Подробнее о продукте можно прочитать у нас на сайте.
Роман Шиц, Руководитель группы коммерческого пресейла Security Vision, посвятил участников CN Talks в «TIPовой подход к кибербезопасности». Роман начал рассказ с проблем, с которыми сталкиваются ИБ-специалисты: SIEM переполнен событиями, аналитики не успевают регулярно обновлять правила, которые еще могут быть недопрофилированы, «фолзят» и даже устаревают. Чтобы облегчить работу с инцидентами, нужно включать практику работы с Threat Intelligence и постараться охватить все уровни: стратегический, операционный, тактический и технический. Поэтому TI-платформа очень важный инструмент, который позволяет использовать множество фидов и другую информацию из открытых источников и расширить контекст при работе с инцидентами.
После аналитики наиболее распространенных угроз, Security Vision показали комбинированный подход к TI:
В заключение Роман посоветовал не гнаться за злоумышленниками, а предугадывать и прогнозировать их поведение, использовать поведенческие факторы и «выкрутить TI на полную катушку!».
«CN Talks – это мой любимый формат открытого диалога между представителями наших клиентов и вендоров. Мы рады объединять участников на площадке нашего офиса и погружаться в обмен мнениями и опытом относительно важных тематик информационной безопасности. Как правило, вопросов из аудитории при таком формате проведения мероприятия звучит в разы больше, нежели на привычных нам конференциях с большими залами, пленарными заседаниями, круглыми столами и тд. Это не обезличенное тиражирование информации, это – инновации, технологии и отношения», – отметила Варвара Аликина, Директор по развитию партнерских отношений Cloud Networks и контентный вдохновитель CN Talks.