вторник, 19 июля 2011 г.

Осведомленность о угрозах: Security Intelligence Report #microsoft #cyberthreats

   Перед тем как перейти к другому вендору (настало время для Microsoft, к Cisco, правда еще вернемся) немножко подытожим:
  • классификация отчетов здесь
  • классификация оповещений здесь (тут же и немного о делении отчеты\оповещения)
  • что такое вообще осведомленность о угрозах (я тут недавно сделал опрос в RISSPA, так половина среди аж (sic!) 8 ответов была "а что это такое - threat intelligence?")
 
    Классификации, естественно, будут дорабатываться по мере анализа очередных отчетов, и сейчас это будет достаточно известный отчет Microsoft Security Intelligence Report.
Отчет содержит данные о следующих типах угроз (включены руководства по контрмерам практически против каждого типа):
  • уязвимости (используют CVSS) 
  • эксплойты (используют СVE)
  • утечки (источник www.datalossdb) - прим. раскрыто не очень подробно
  • вредоносные и фишинговые сайты (источники Phising Filter (IE 7), Smart Screen Filter (IE 8&9) и собственная система поиска drive-by exploits Bing'a)
  • спам и фишинг (e-mail) - источник Microsoft ForeFront Online Protection for Exchange (FOPE)
  • вредоносное ПО - в т.ч. фальшивые антивирусы и ботнеты (источник - "600 млн компьютеров по всему миру" и некоторые интерактивные службы - прим. VirusTotal чтоли? Аль ThreatExpert?:) Или просто для солидности упомянули?..впрочем, я так и не нашел приложение B - "Data Sources")
  • SQL injections (а вот с другими атаками на сайты не повезло в 2010 году..отчеты за 2009 думаю не являются актуальными для сравнения)
Примечательным является то, что DDoS атаки остались в забвении, взломанные сайты тоже представлены только секцией SQL injections.

   Отчет является полугодичным (т.н. semi-annual) и выходил уже 5 лет без перерывов каждые полгода (судя по данным архива). Но в 10 версии (июль-декабрь 2010) в сравнении с 9 (январь-июнь 2010) нет контрмер против угроз и пропала секция о ботнетах, правда, она и вообще поменьше, 73 страницы против 136. Стоит отметить что в мельком просмотренных 8 и 7 отчетах страниц за 220..наверно корпорация поняла, что читать 200 страниц как-то влом.
   Отчеты предоставляются в форматах pdf и xps, так же предоставляется краткая выжимка (т.н. Key Findings) и несколько видеороликов иллюстрирующих некоторые подмеченные аналитиками тренды. Отдельно упомяну что отчеты предоставляются на нескольких языках, в т.ч. и на русском.
   Отсылок к другим документам особо нет (сравниваю с ранее рассмотренными документами Сisco), но и обьем все таки немного другой.
   
   В принципе, о отчете все, однако приведу усовершенствованную классификацию отчетов:
  • содержание отчетов - есть ли информация о ддос, веб и других сетевых атаках, вредоносном ПО, утечках данных, фишинговых, вредоносных и скомпрометированных веб сайтах, спаме и фишинге, уязвимостях и эксплойтах; насколько детальная, есть ли меры противодействия\сдерживания, какие источники данных
  • актуальность отчетов - как часто и стабильно выходят отчеты (недельные, месячные, квартальные или годичные)
  • формат отчетов - в каком формате (html\pdf etc), обьеме (сколько страниц) и на каком языке\языках предоставляются отчеты, есть ли краткие выдержки ключевой информации, озвучивающие подкасты или иллюстрирующие видео, диаграммы, графики или вообще инфографика

   Ну и напоследок инфографика о том как MS видит использование ее (корпорации) отчетов.

   Несмотря на все мои старания картинка таки залезла на край правой колонки, но я думаю мы как нибудь это переживем:) Хорошего дня!

Комментариев нет:

Отправить комментарий