SlideShare una empresa de Scribd logo

Как создать в России свою систему Threat intelligence?

Aleksey Lukatskiy
Aleksey Lukatskiy

Как создать в России свою систему Threat intelligence? Обзор процессов, ресурсов и инструментов

Tecnología
1 de 32
Descargar para leer sin conexión
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 А что если завтра нас отключат от CVE? Или как создать собственную систему Threat Intelligence? Алексей Лукацкий Бизнес-консультант по безопасности 12 February 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Что такое Threat Intelligence? •  Threat Intelligence – информация (процесс ее получения) об угрозах и нарушителях, обеспечивающая понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им •  Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Что на выходе системы Threat Intelligence? •  Анализ уязвимостей •  Анализ угроза (атак) •  Анализ вредоносного кода •  Анализ нарушителей •  Анализ кампаний •  Мониторинг бренда •  Фиды •  Резюме для руководителей •  Периодические бюллетени
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Уровни функционирования системы Threat Intelligence Тактическая / операционная Стратегическая •  Пример Фиды об признаках угроз (сетевых или хостовых) Анализ конкретной вредоносной программы (например, Stuxnet) •  Пример Анализ хакерской кампании Оценка угроз для конкретной отрасли (например, новый вид мошенничества для банков)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Карты угроз: пример стратегической Threat Intelligence
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Почему нельзя оставить все как есть? •  Отсутствие автоматизации процесса приводит к пропуску угроз и реализации ущерба Вспомним ПП-861 про уведомление об инцидентах на объектах ТЭК на бумаге с указанием цвета шариковой ручки, которым должно заполняться уведомление •  Непростая геополитическая ситуация Противостояние России и Запада •  Лидерство России в различных блоках ШОС, ОДКБ, БРИКС, ЕАЭС, СНГ… •  А вдруг реально опустится «железный занавес»?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Зачем нужна Threat Intelligence? Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды Минуты Часы Дни Недели Месяцы Годы 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Возрастает число (около)государственных CERTов •  GovCERT Уже действует. Указ Президента №31с •  FinCERT Решение о создании принято •  CERT для критических инфраструктур Должен быть создан по законопроекту о безопасности критических информационных инфраструктур •  CERT для операторов связи Разговоры идут уже несколько лет •  CERT ОДКБ Решение о создании принято •  Включение темы реагирования на инциденты во многие нормативные акты •  Антидроп-клуб •  CERT-GIB •  RU-CERT •  WebPlus ISP •  …
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Текущий рынок Threat Intelligence •  Крупные производители средств защиты имеют собственные процессы/подразделения Threat Intelligence Например, покупка ThreatGRID компанией Cisco •  Существуют самостоятельные компании, предоставляющие услуги Threat Intelligence всем желающим IQRisk, ETPro, ThreatStream •  Существуют открытые источники Threat Intelligence •  Развиваются отраслевые/государственные центры обмена информацией Threat Intelligence Например, ISAC в США
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Российских игроков на этом рынке нет! •  Только в отчете Gartner фигурирует Group-IB
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Facebook тоже выходит на рынок Threat Intelligence 11 февраля 2015 года! http://threatexchange.fb.com/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 А что, реально могут отключить? •  Как минимум, могут осложнить доступ с российских IP-адресов •  Могут быть ограничения по доступу к определенной информации только после регистрации Например, на многие сайты в домене .mil можно попасть только будучи сотрудником американской компании и имея соответствующие разрешения •  Как максимум, могут динамически вноситься изменения в предоставляемую информацию, снижая ее эффективность или вводя в заблуждение •  Информация об угрозах и уязвимостях может быть классифицирована (в будущем) как оружие – с соответствующими ограничениями по распространению
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Сценарии создания системы Threat Intelligence Государственная КоммерческаяСобственная •  Независимо от выбранного сценария принципы создания системы Threat Intelligence будут едиными Процессы, источники и инструментарий тоже •  В собственной системе Threat Intelligence можно активно задействовать данные от внутренних систем защиты информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 5 этапов процесса Threat Intelligence План Сбор Анализ Распространение информации Разбор полетов •  Зачем нам Threat Intelligence? •  Какие у нас требования? •  Кто (нарушитель) может атаковать нас (модель нарушителя)? •  Нюансы (геополитика, отрасль…) •  Своя или внешняя система Threat Intelligence? •  Что может провайдер TI (источники)? •  Возможности провайдера стыкуются с вашими потребностями? •  Кто внутри вас будет общаться с провайдером и как? •  Как «сырые» данные превратятся в TI? •  Платформа для обработки и анализа? •  Кто проводит анализ? •  Кому можно распространять информацию? На каких условиях? •  Какие стандарты используются для распространения? •  Когда распространять информацию? Реагирование •  Какие действия необходимо произвести на основании полученных данных? •  Как взаимодействовать со средствами защиты?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Признаки хорошей системы Threat Intelligence •  Точность. Точность источников и получаемых оттуда данных •  Связанность. Связь выбранной системы/источника с потребностями организации •  Интеграция. Без интеграции TI в систему защиты, эффективность TI стремится к нулю •  Предсказуемость. Необходимо стремиться к раннему предупреждению об угрозах •  Релевантность. Соответствие TI отрасли, географии, языку… •  Учет аудитории. Руководству не нужны индикаторы компрометации, а ИБ-эксперту не нужны карты угроз •  Своевременность. Все должно быть вовремя – информация и реагирование
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Задачи оперативной системы Threat Intelligence •  Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате •  Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате •  Выборка данных по определенным атрибутам и их наборам •  Запросы, импорт, экспорт и управление данными через пользовательский интерфейс •  Обмен данными с другими системами по определенным атрибутам •  Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям •  Обеспечение конфиденциальности, целостности данных и сервисы ААА
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Источники Threat Intelligence •  Тип источника •  Уровни представления информации •  Широта охвата •  Языковая поддержка/покрытие •  Доверие •  Частота предоставления •  Тип (OSINT/HUMINT/TECHINT) •  Платность •  Формализованность представления информации •  Abuse.ch •  AlienVault (Open Threat Exhange) •  Blocklist.de •  CleanMX •  Malwr.com •  SenderBase.org •  SpamHaus •  VirusTotal •  VirusShare •  ZeusTracker •  Dr.Web •  Group-IB •  IOCbucket.com •  IOCmap •  Malwaredomains.com •  MalwareIOC •  Microsoft APP •  Mirror-ma.com •  Pastebin •  Twitter •  Zone-h.org
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Внутри организации тоже много нужной информации! •  Сетевой трафик (Netflow / jFlow / sFlow) •  Активность с необычных IP-адресов •  DNS-запросы •  URL •  Заголовки SMTP •  Адреса email •  Сэмплы вредоносного кода •  Активность пользователей •  Неудачные попытки входа •  Административный доступ •  Операции с СУБД •  Соединения на нетипичных портах •  Появление нетипичных протоколов •  Несоответствие размеров пакетов для служебных протоколов стандартам •  Адреса анонимайзеров •  User Agent в HTTP •  Входные узлы Tor •  Вредоносные IP (C&C, спамеры, боты…) •  Репутация пользователей, узлов и файлов •  И т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Но ее не используют, опираясь на внешние TI-данные
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Необходима платформа для анализа информации •  Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect •  В простых случаях можно обойтись решениями open source
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Популярный Maltego •  Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними •  Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego •  Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Стандарты Threat Intelligence •  Описание различных проблем с ИБ CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак CCE (http://cce.mitre.org/) - описание конфигураций CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME MARF (http://datatracker.ietf.org/wg/marf/documents/) OVAL (http://oval.mitre.org/) - язык описания уязвимостей CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Стандарты Threat Intelligence •  Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях OpenIOC (http://openioc.org) - преимущественно хостовые признаки CybOX (http://cybox.mitre.org) OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга IODEF-SCI – расширение IODEF для добавления дополнительных данных VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Стандарты Threat Intelligence •  Обмен информацией TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA SecDEF – европейский стандарт ENISA CAIF (http://www.caif.info) - европейский стандарт DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт IODEF RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое RFC 5941 – обмен информацией о мошенничестве (фроде) MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Стандарты Threat Intelligence •  Разное TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Взаимосвязь стандартов Threat Intelligence
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Разработка политики Threat Intelligence •  Что должно быть / может быть предоставлено в рамках Threat Intelligence? •  Кто может обмениваться информацией или получать ее? •  Когда должен происходить обмен информацией? •  Как может распространяться информации (круг общения и маркировка)? •  Юридические основания для сбора/обмена информацией и использования ее в качестве доказательства
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Не забыть про данные вопросы •  Система Help Desk для отработки запросов / информации от заказчиков / источников •  Корреляция связанных, а также противоречивых данных из разных источников •  Эскалация сложных случаев •  Обратная связь •  Измерение эффективности •  Долгосрочное хранение всех данных •  API для интеграции с внешними решениями •  Описанные процессы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Нерешенные проблемы: по крупному •  Атрибуция атак •  Расследование инцидентов частными структурами (монополия органов ОРД) •  Отсутствие взаимодействия между госорганами (подковерные игры) и с другими странами (мы видим во всех врагов) •  Засекречивание всего и вся •  Политика импортозамещения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Threat Intelligence – это еще не конец •  Как будет интегрироваться информация о Threat Intelligence в вашу систему защиты? •  Информация Threat Intelligence – это часто вход для системы реагирования Она у вас выстроена? •  Если говорить об отечественной системе Threat Intelligence, то необходимо устанавливать особые требования к средствам защиты, которые могут отдавать данные для анализа и принимать команды для реагирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Выводы •  Система Threat Intelligence как никогда важна в текущих условиях для каждой организации, отрасли, государства •  Система Threat Intelligence может стать основой системы раннего предупреждения об атаках и спецоперациях в киберпространстве •  Сегодня есть все возможности, ресурсы и инструменты для создания такой системы •  Стандартизация и автоматизация (включая обновления) – ключ к эффективной системе Threat Intelligence •  Система Threat Intelligence не «висит в воздухе» – необходимо создание целой инфраструктуры для ее эффективного функционирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/

Recomendados

Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIAleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIAleksey Lukatskiy
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиAleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуAleksey Lukatskiy
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиAleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Aleksey Lukatskiy
 

Recomendados

Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIAleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIAleksey Lukatskiy
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиAleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуAleksey Lukatskiy
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиAleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времениAleksey Lukatskiy
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 

Más contenido relacionado

La actualidad más candente

Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времениAleksey Lukatskiy
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 

La actualidad más candente (20)

Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?Информационная безопасность на базе open source: есть ли смысл?
Информационная безопасность на базе open source: есть ли смысл?
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 

Destacado

Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?Aleksey Lukatskiy
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Безопасность Интернета вещей
Безопасность Интернета вещейБезопасность Интернета вещей
Безопасность Интернета вещейAleksey Lukatskiy
 
Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...
Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...
Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...HRPR Camp - Самое технологичное событие в HR
 
Безопасность мобильных платежей
Безопасность мобильных платежейБезопасность мобильных платежей
Безопасность мобильных платежейAleksey Lukatskiy
 
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Aleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиAleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Aleksey Lukatskiy
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Aleksey Lukatskiy
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about securityAleksey Lukatskiy
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operatorsAleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 

Destacado (20)

Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Безопасность Интернета вещей
Безопасность Интернета вещейБезопасность Интернета вещей
Безопасность Интернета вещей
 
Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...
Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...
Конкурентная разведка в Интернете _ Инна Юрик _ Школа бизнес-исследований_ bu...
 
Безопасность мобильных платежей
Безопасность мобильных платежейБезопасность мобильных платежей
Безопасность мобильных платежей
 
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
 
Mobile security office
Mobile security officeMobile security office
Mobile security office
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 

Similar a Как создать в России свою систему Threat intelligence?

Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Увидеть все
Увидеть всеУвидеть все
Увидеть всеCisco Russia
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Cisco Russia
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети Cisco Russia
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Cisco Russia
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 

Similar a Как создать в России свою систему Threat intelligence? (20)

Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Увидеть все
Увидеть всеУвидеть все
Увидеть все
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
ИБ эпохи перемен
ИБ эпохи переменИБ эпохи перемен
ИБ эпохи перемен
 

Más de Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 

Más de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 

Как создать в России свою систему Threat intelligence?

  • 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 А что если завтра нас отключат от CVE? Или как создать собственную систему Threat Intelligence? Алексей Лукацкий Бизнес-консультант по безопасности 12 February 2015
  • 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Что такое Threat Intelligence? •  Threat Intelligence – информация (процесс ее получения) об угрозах и нарушителях, обеспечивающая понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им •  Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.
  • 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Что на выходе системы Threat Intelligence? •  Анализ уязвимостей •  Анализ угроза (атак) •  Анализ вредоносного кода •  Анализ нарушителей •  Анализ кампаний •  Мониторинг бренда •  Фиды •  Резюме для руководителей •  Периодические бюллетени
  • 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Уровни функционирования системы Threat Intelligence Тактическая / операционная Стратегическая •  Пример Фиды об признаках угроз (сетевых или хостовых) Анализ конкретной вредоносной программы (например, Stuxnet) •  Пример Анализ хакерской кампании Оценка угроз для конкретной отрасли (например, новый вид мошенничества для банков)
  • 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Карты угроз: пример стратегической Threat Intelligence
  • 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Почему нельзя оставить все как есть? •  Отсутствие автоматизации процесса приводит к пропуску угроз и реализации ущерба Вспомним ПП-861 про уведомление об инцидентах на объектах ТЭК на бумаге с указанием цвета шариковой ручки, которым должно заполняться уведомление •  Непростая геополитическая ситуация Противостояние России и Запада •  Лидерство России в различных блоках ШОС, ОДКБ, БРИКС, ЕАЭС, СНГ… •  А вдруг реально опустится «железный занавес»?
  • 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Зачем нужна Threat Intelligence? Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды Минуты Часы Дни Недели Месяцы Годы 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы
  • 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Возрастает число (около)государственных CERTов •  GovCERT Уже действует. Указ Президента №31с •  FinCERT Решение о создании принято •  CERT для критических инфраструктур Должен быть создан по законопроекту о безопасности критических информационных инфраструктур •  CERT для операторов связи Разговоры идут уже несколько лет •  CERT ОДКБ Решение о создании принято •  Включение темы реагирования на инциденты во многие нормативные акты •  Антидроп-клуб •  CERT-GIB •  RU-CERT •  WebPlus ISP •  …
  • 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Текущий рынок Threat Intelligence •  Крупные производители средств защиты имеют собственные процессы/подразделения Threat Intelligence Например, покупка ThreatGRID компанией Cisco •  Существуют самостоятельные компании, предоставляющие услуги Threat Intelligence всем желающим IQRisk, ETPro, ThreatStream •  Существуют открытые источники Threat Intelligence •  Развиваются отраслевые/государственные центры обмена информацией Threat Intelligence Например, ISAC в США
  • 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Российских игроков на этом рынке нет! •  Только в отчете Gartner фигурирует Group-IB
  • 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Facebook тоже выходит на рынок Threat Intelligence 11 февраля 2015 года! http://threatexchange.fb.com/
  • 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 А что, реально могут отключить? •  Как минимум, могут осложнить доступ с российских IP-адресов •  Могут быть ограничения по доступу к определенной информации только после регистрации Например, на многие сайты в домене .mil можно попасть только будучи сотрудником американской компании и имея соответствующие разрешения •  Как максимум, могут динамически вноситься изменения в предоставляемую информацию, снижая ее эффективность или вводя в заблуждение •  Информация об угрозах и уязвимостях может быть классифицирована (в будущем) как оружие – с соответствующими ограничениями по распространению
  • 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Сценарии создания системы Threat Intelligence Государственная КоммерческаяСобственная •  Независимо от выбранного сценария принципы создания системы Threat Intelligence будут едиными Процессы, источники и инструментарий тоже •  В собственной системе Threat Intelligence можно активно задействовать данные от внутренних систем защиты информации
  • 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 5 этапов процесса Threat Intelligence План Сбор Анализ Распространение информации Разбор полетов •  Зачем нам Threat Intelligence? •  Какие у нас требования? •  Кто (нарушитель) может атаковать нас (модель нарушителя)? •  Нюансы (геополитика, отрасль…) •  Своя или внешняя система Threat Intelligence? •  Что может провайдер TI (источники)? •  Возможности провайдера стыкуются с вашими потребностями? •  Кто внутри вас будет общаться с провайдером и как? •  Как «сырые» данные превратятся в TI? •  Платформа для обработки и анализа? •  Кто проводит анализ? •  Кому можно распространять информацию? На каких условиях? •  Какие стандарты используются для распространения? •  Когда распространять информацию? Реагирование •  Какие действия необходимо произвести на основании полученных данных? •  Как взаимодействовать со средствами защиты?
  • 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Признаки хорошей системы Threat Intelligence •  Точность. Точность источников и получаемых оттуда данных •  Связанность. Связь выбранной системы/источника с потребностями организации •  Интеграция. Без интеграции TI в систему защиты, эффективность TI стремится к нулю •  Предсказуемость. Необходимо стремиться к раннему предупреждению об угрозах •  Релевантность. Соответствие TI отрасли, географии, языку… •  Учет аудитории. Руководству не нужны индикаторы компрометации, а ИБ-эксперту не нужны карты угроз •  Своевременность. Все должно быть вовремя – информация и реагирование
  • 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Задачи оперативной системы Threat Intelligence •  Автоматизированные экспорт и импорт индикаторов угроз из / в различных источников в стандартизованном формате •  Автоматизированные экспорт и импорт информации об инцидентах из / в различных систем в стандартизованном формате •  Выборка данных по определенным атрибутам и их наборам •  Запросы, импорт, экспорт и управление данными через пользовательский интерфейс •  Обмен данными с другими системами по определенным атрибутам •  Экспорт данных для систем защиты (МСЭ, систем предотвращения вторжений и т.п.) по различным критериям •  Обеспечение конфиденциальности, целостности данных и сервисы ААА
  • 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Источники Threat Intelligence •  Тип источника •  Уровни представления информации •  Широта охвата •  Языковая поддержка/покрытие •  Доверие •  Частота предоставления •  Тип (OSINT/HUMINT/TECHINT) •  Платность •  Формализованность представления информации •  Abuse.ch •  AlienVault (Open Threat Exhange) •  Blocklist.de •  CleanMX •  Malwr.com •  SenderBase.org •  SpamHaus •  VirusTotal •  VirusShare •  ZeusTracker •  Dr.Web •  Group-IB •  IOCbucket.com •  IOCmap •  Malwaredomains.com •  MalwareIOC •  Microsoft APP •  Mirror-ma.com •  Pastebin •  Twitter •  Zone-h.org
  • 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Внутри организации тоже много нужной информации! •  Сетевой трафик (Netflow / jFlow / sFlow) •  Активность с необычных IP-адресов •  DNS-запросы •  URL •  Заголовки SMTP •  Адреса email •  Сэмплы вредоносного кода •  Активность пользователей •  Неудачные попытки входа •  Административный доступ •  Операции с СУБД •  Соединения на нетипичных портах •  Появление нетипичных протоколов •  Несоответствие размеров пакетов для служебных протоколов стандартам •  Адреса анонимайзеров •  User Agent в HTTP •  Входные узлы Tor •  Вредоносные IP (C&C, спамеры, боты…) •  Репутация пользователей, узлов и файлов •  И т.д.
  • 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Но ее не используют, опираясь на внешние TI-данные
  • 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Необходима платформа для анализа информации •  Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect •  В простых случаях можно обойтись решениями open source
  • 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Популярный Maltego •  Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними •  Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego •  Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.
  • 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Стандарты Threat Intelligence •  Описание различных проблем с ИБ CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак CCE (http://cce.mitre.org/) - описание конфигураций CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME MARF (http://datatracker.ietf.org/wg/marf/documents/) OVAL (http://oval.mitre.org/) - язык описания уязвимостей CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности
  • 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Стандарты Threat Intelligence •  Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях OpenIOC (http://openioc.org) - преимущественно хостовые признаки CybOX (http://cybox.mitre.org) OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга IODEF-SCI – расширение IODEF для добавления дополнительных данных VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
  • 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Стандарты Threat Intelligence •  Обмен информацией TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA SecDEF – европейский стандарт ENISA CAIF (http://www.caif.info) - европейский стандарт DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт IODEF RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое RFC 5941 – обмен информацией о мошенничестве (фроде) MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода
  • 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Стандарты Threat Intelligence •  Разное TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
  • 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Взаимосвязь стандартов Threat Intelligence
  • 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Разработка политики Threat Intelligence •  Что должно быть / может быть предоставлено в рамках Threat Intelligence? •  Кто может обмениваться информацией или получать ее? •  Когда должен происходить обмен информацией? •  Как может распространяться информации (круг общения и маркировка)? •  Юридические основания для сбора/обмена информацией и использования ее в качестве доказательства
  • 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Не забыть про данные вопросы •  Система Help Desk для отработки запросов / информации от заказчиков / источников •  Корреляция связанных, а также противоречивых данных из разных источников •  Эскалация сложных случаев •  Обратная связь •  Измерение эффективности •  Долгосрочное хранение всех данных •  API для интеграции с внешними решениями •  Описанные процессы
  • 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Нерешенные проблемы: по крупному •  Атрибуция атак •  Расследование инцидентов частными структурами (монополия органов ОРД) •  Отсутствие взаимодействия между госорганами (подковерные игры) и с другими странами (мы видим во всех врагов) •  Засекречивание всего и вся •  Политика импортозамещения
  • 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Threat Intelligence – это еще не конец •  Как будет интегрироваться информация о Threat Intelligence в вашу систему защиты? •  Информация Threat Intelligence – это часто вход для системы реагирования Она у вас выстроена? •  Если говорить об отечественной системе Threat Intelligence, то необходимо устанавливать особые требования к средствам защиты, которые могут отдавать данные для анализа и принимать команды для реагирования
  • 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Выводы •  Система Threat Intelligence как никогда важна в текущих условиях для каждой организации, отрасли, государства •  Система Threat Intelligence может стать основой системы раннего предупреждения об атаках и спецоперациях в киберпространстве •  Сегодня есть все возможности, ресурсы и инструменты для создания такой системы •  Стандартизация и автоматизация (включая обновления) – ключ к эффективной системе Threat Intelligence •  Система Threat Intelligence не «висит в воздухе» – необходимо создание целой инфраструктуры для ее эффективного функционирования
  • 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Благодарю за внимание Еще больше информации вы найдете на http://lukatsky.blogspot.com/