среда, 13 июля 2011 г.

Осведомленность о угрозах: Cisco Alerts

   Настало время поговорить о нерегулярных отчетах или уведомлениях, т.е. о кратких и оперативных отчетах о важных событиях.

    Иногда их еще называют breaking news alerts или situational awareness reports - но смысл один и тот же - классифицируется и анализируется важное событие, даются рекомендации что же делать и стоит ли вообще что-либо делать по этому поводу.
   Соответственно, по аналогии с классификацией из анализа Cyber Risk Report от Сisco, доработанная классификация может быть такая:

  • тип оповещения - отчет о уязвимости, о DDoS аттаке, о вредоносном коде
  • метрики используемые в оповещении - как минимум срочность и важность
  • интеграция и связи с другими документами по осведомленности о угрозах
  • способ доставки оповещения - сайт, e-mail, XML


 Формат здесь не так важен, так как на первый план выходит скорость оповещения, содержание же обычно более однородно и используются метрики чем и вызваны изменения в классификации.

   Итак, Cisco предлагает три вида оповещений:

  1. IntelliShield Alerts (оповещения о уязвимостях ПО)
  2. Threat Outbreak Alerts (оповещения о веб-угрозах)
  3. Virus Outbreak Alerts (оповещения о вредоносном коде)
   Наименее интересным является оповещение о вирусах (3), которое мало что найти тяжело, но и содержит немного информации, например:

Virus NameIronPortSophosMcAfeeTrend MicroSymantec
Mal/Generic-L07/09/2011 20:01+0d 14h 49mNot PublishedNot PublishedNot Published
   Остальные 2 Оповещения весьма схожи, так что и рассматриваться будут вместе:
  • о типах уже было сказано, но стоить отметить что Оповещение о веб-угрозах содержит как минимум в последне полтора месяца только сведения о фишинговых письмах
  • основные метрики три - срочность&важность оповещения и достоверность источника, но IntelliShield Alert так же классифицируется по СVSS
  • данные с обоих сервисов аггрегируются в другие документы, такие как уже упомянутый Cyber Risk Report
  • формат html, со строгой разметкой позволяющей сразу выделить метрики
   Оповещения служат несколько иным целям чем отчеты, и для большинства организаций СНГ пригодятся в первую очередь при совершенствовании процессов управления уязвимостями. В будущих обзорах оповещения и отчеты только о уязвимостях или только о вирусах (вообще только о отдельных видах угроз) не будут рассматриваться..за исключением случаев когда они дополняют более всесторонние отчеты как вот в данном случае.

Комментариев нет:

Отправить комментарий