понедельник, 10 октября 2011 г.

Осведомленность о угрозах: как реализован процесс Threat Intelligence в Cisco

  Собственно, ссылка. В основе всего лежит собираемая информация от продуктов Cisco, а кроме как на основе собственных программ\устройств можно собирать информацию о угрозах так:


  • создавать сервис, которым бы все пользовались для оценки угрозы - например, Virustotal
  • создавать форму загрузки подозрительных файлов, например любой AV вендор
  • создавать\патронировать сообщество "охотников за вирусами", которые присылали бы новые зловреды на @почту, например, как DrWeb (выбрать Virus hunters вместо All members)
  • создавать процесс обработки нелегальных форумов и торговых площадок и пр., например как Verisign iDefense Global Intelligence Network
  • работать с людьми с разных континентов, например, как делает Stratfor
  • создавать honeypots, как делает Shadowserver
  • участвовать в обменах сигнатурами, черными списками и бинарниками, так вообще делают практически все, но примером открытого списка может быть MalwareDomainList
   Ну и дабы уравновесить ссылку на Cisco приведу рисунок описывающий аналогичный процесс от Symantec:

Хорошего дня!

Комментариев нет:

Отправить комментарий