Comments 5
Threat Intelligence, или активный сбор информации об угрозах информационной безопасности
Threat Intelligence — это не сбор информации, раз уж на то пошло.
It's not the fruit of a massive data ingestion but the product of a particular analysis in a specific context
© Thomas Chopitea, Ronan Mouchoux — "When threat intel met DFIR", hack.lu 2015
Threat Intelligence — это то что Вы получите в итоге анализа результатов, например, список зарженных хостов (потенциальные или активные участники ботнет-сетей).
В то же время сам процесс сбора и анализа данных тоже абсолютно справедливо называется Threat Intelligence. Такова особенность языка:
В России вполне себе прижился термин "Киберразведка". Почему бы не использовать его?
Повышению эффективности и улучшению качества TI может способствовать применение OSINT (разведка на основе открытых источников)
OSINT и SOCMINT — основные источники TI всех типов на текущий момент, а не "возможные методы" которые "могут способствовать улучшению чего-то там".
Вы читаете ленту новостей и видите твит про новую эпидемию сетевого червя? Это SOCMINT.
Вы проходите по ссылке в твите на отчет TALOS об угрозе? Очет доступен вам бесплатно и он открыт для всех? Это OSINT.
Данные по угрозам (IoC, IoA) которые вы вычитали в отчете TALOS — это TI.
Вы убедили Алексея что нужно строить нормальный SOC и оперативно реализовали правила корреляции на основе свеженайденного TI? Это Intelligence-Driven Defense.
Не благодарите %)
Не благодарите %)
тем не менее, большое спасибо за развернутый комментарий! :)
Threat Intelligence — это не сбор информации, раз уж на то пошло
процесс сбора и анализа данных тоже абсолютно справедливо называется Threat Intelligence
Ок :) Как Вы верно заметили, TI это не только сбор и анализ соответствующих данных, но и получаемый по упомянутому анализу результат. Термин «Киберразведка» действительно также может быть применим к описываемому в статье, просто я решил использовать альтернативный (автор — это я, как Вы, возможно, догадались).
OSINT и SOCMINT — основные источники TI всех типов на текущий момент, а не «возможные методы» которые «могут способствовать улучшению чего-то там».
Не соглашусь с данным утверждением. Если говорить о TI, к которой применимо множество методов из Intelligence Assesment (т.е. сбора разведданных), первично определенных US military, то OSINT и SOCMINT (который является составной частью OSINT) далеко не основные «дисциплины», т.е. виды деятельность по получению Threat Intelligence. Достаточно существенную роль играет, например, TECHINT — когда путем реверс-инжиниринга инструментария злоумышленника вычленяются необходимые данные (адреса C&C, промежуточных серверов со стейджами, особенности функционирования протоколов взаимодействия ВПО с управляющей инфраструктурой и т.п.). Также важен SIGINT (и его подвиды), используемый для вычленения индикаторов на основании данных собираемых с контролируемой инфраструктуры. А взаимодействие с органами охраны правопорядка для получения информации от них по признательным показаниям пойманных кибер-злоумышленников — это HUMINT :)
Тем не менее, все это — скорее вопросы терминологии. А в статье больше говорится о «докрутке» и обогащении уже имеющейся Threat Intelligence информации, которая, к сожалению, бывает недостаточно полной (даже та, что получена из закрытых платных подписок)
Threat Intelligence — это не сбор информации, раз уж на то пошло
процесс сбора и анализа данных тоже абсолютно справедливо называется Threat Intelligence
Ок :)
Очень хочется чтобы меня правильно поняли и мы эту тему закрыли (%
Поэтому я повторюсь:
- Сбор данных это не TI, а OSINT
- Если Вы собрали данные и провели аналитику в контексте угроз — это уже TI и как процесс и как продукт (в результате)
OSINT и SOCMINT — основные источники TI всех типов на текущий момент, а не «возможные методы» которые «могут способствовать улучшению чего-то там».
Не соглашусь с данным утверждением.
Позвольте мне уточнить контекст.
Разумеется в AV-компаниях (или иных security решений) специалисты сами производят огромные объемы TI посредством собственной аналитики, реверса, внутренних исследований и тд. Но для конечных потребителей и сервис-провайдеров (к коим мы с Вами относимся) OSINT/SOCMINT являются основными источниками данных.
Вы, конечно, можете сказать что все не так, и у вас существенные объемы производимого TI и вы вообще в топе-10 TI-провайдеров РФ по версии какого-нибудь журнала.
Но что-то мне подсказывает что это не так.
Разве что по версии какого-нибудь журнала )
Тем не менее, все это — скорее вопросы терминологии.
Совершенно верно.
Кажется что это просто игра слов, но на самом деле игра смыслов.
Во-первых, это проблема. Во-вторых, она серьезнее чем кажется.
Эти определения относительно новы для российского рынка, и очень важно с самого начала вносить верные формулировки, иначе получится полная каша. Мы все видели как это было (и происходит до сих пор) с определением SOC.
До сих пор можно встретить утверждения типа "я тут поднимаю SOC на Splunk":
Или вопросы "Можешь своим SOC-ом пробить кое-какие данные":
Вы, конечно же, вольны называть вещи как хотите, но таким образом Вы, не придавая должного значения терминологии, поддерживаете и замыкаете круг непонимания и некомпетентности на рынке и в сообществе.
К кому если ни к Вам будет прислушиваться руководство, заказчики, коллеги?
Позвольте мне уточнить контекст.
Я, пожалуй, тоже уточню контекст, т.к. мне кажется, что мы рассуждаем о разных вещах.
Разумеется в AV-компаниях (или иных security решений) специалисты сами производят огромные объемы TI посредством собственной аналитики, реверса, внутренних исследований и тд. Но для конечных потребителей и сервис-провайдеров (к коим мы с Вами относимся) OSINT/SOCMINT являются основными источниками данных.
Это смотря на то, насколько полную цепочку понимать под данными действиями. В качестве примера приведу широко известный агрегатор индикаторов otx.alienvault.com, которым в той или иной степени все пользуются. Как заявляет alienvault, основными источниками их TI являются:
- результаты анализа артифактов собственной командой
- информация по индикаторам, которая автоматизированно собирается ханипотами, сенсорами атак и т.д. по всему миру
- результаты мониторинга открытых и закрытых форумов и иных площадок
- сведения, полученные путем взаимодействие с различными агенствами, ИБ вендорами, независимыми исследователями и т.п.
Т.е. по сути один из основных источников это анализ (чаще всего — автоматизированный) инструментария. Конечно, результат сбора и анализа, который содержится на OTX, открыто доступен широкому кругу ИБ-потребителей и с этой точки зрения его можно назвать Open Source Intelligence. Однако, OSINT будет в данным случае вторичным методом получения информации. Если следовать данной логике, то на вопрос «откуда берется хлеб» можно ответить «покупается в магазине за денежные знаки» или даже «из тумбочки» :-)
Однако, в указанную логику не укладываются используемые широким кругом потребителей платные вендорские подписки (например, от того же Касперского). OSINT'ом метод платного получения закрытой подписки никак не назовешь. Хотя, можно придумать такой термин как PAIDINT %)
Еще раз хочу повториться, что статья, в целом не об определениях TI, а о методах «докручивания» информации об индикаторах.
Однако, в указанную логику не укладываются используемые широким кругом потребителей платные вендорские подписки (например, от того же Касперского). OSINT'ом метод платного получения закрытой подписки никак не назовешь
Поправлюсь, с тем, что информация из платных источников это не открытая, я конечно, перегнул. Поскольку открытая информация, эта та информация, которая не является конфиденциальной, проприетарной, и т.п., то корректнее будет сказать, что в случае платных источников «it depends».
Использование offensive-методов для обогащения Threat Intelligence