💡 ИБ за 60 секунд

Threatintelligence (TI) — это информация об актуальных угрозах и группировках, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак. 

В первую очередь это данные. Но ошибочно думать, что если вы собрали все известные вредоносные адреса, IOC и хеши, то вы пользуетесь TI. Вторая половина этой истории – это аналитика имеющейся у вас информации. Недостаточно просто знать адреса, с которых вас атакуют и хешиприменяемых вредоносов, важно понимать, что именно из этого вам угрожает. Например, если вы начальник безопасности в банковой сфере, шанс, что к вам применят ВПО используемое для атак на АСУ-ТП довольно низок. Так же работает с вредоносными адресами, если они стабильно возникают, например, в Мексике, Чили и Бразилии, то маловероятно, что их заинтересует Россия.

TI можно рассматривать с 2 сторон – это стратегическое значение:  кто вас атакует, как вас атакуют и как от этого защититься. И оперативное значение – различные индикаторы и хеши, которые обогащают имеющиеся данные при расследовании инцидентов или внедряются в системы защиты для автоматической блокировки вредоносной активности.

Фиды для TI могут быть бесплатны – сейчас довольно много информации содержится в открытом виде: обще доступные данные есть в твиттере, телеграмм каналах и различных рассылках, а также возможен краулинг различных сайтов в даркнете. Однако, как мы говорили ранее – большой вопрос возникает, что делать с полученной информацией – вам понадобится хороший аналитик в штате, или грамотный специалист на аутсорсе.