5 столпов Threat Intelligence и сравнение Positive, IBM и McAffee

    Почти неделю назад суботрасль Threat Intelligence (TI), где я имел честь работать в одной из компании лидеров на презентации MaxPatrol SIEM обозвали "баззвордом". И я решил мстить описать откуда компании берут TI и сравнить виновника мощности Positive для понимания потенциала конкурентоспособности MaxPatrol SIEM c IBM QRadar в части базы знаний\TI.

    Итак, откуда TI компании берут индикаторы атак и т.н. TTP (Тактика, Технологии и Процедуры) атакующих? Вариантов всего 3 - находят сами, получают у клиентов и обмениваются с коллегами. А если свести к конкретным видам деятельности то получится 5 столпов:

1. Поиск уязвимостей в ПО (vulnerability research).
2. Киберразведка - данные из открытых источников, хонипоты, данные из клиентских систем защиты - AV, антиспам, IDS etc (security research).
3. Тесты на проникновение клиентских сетей (penetration tests).
4. Расследования инцидентов (forensic investigations).
5. Мониторинг атак в клиентских сетях (incident response).

    Приведенные "столпы" расположены по легкости организации и масштабирования. Любой студент может взять фаззер и начать искать уязвимости, но далеко не каждой уважаемой организации доверят расследовать инциденты либо даже о ужас аутсорсить мониторинг атак в внутренней сети. Итак, сравнение ниже:

    Как видим, глобалы пока сильнее. С другой стороны соответствующий блок активности может пока не афишироваться Позитивами, что при их сильном маркетинге странно. Не уж то нельзя повесить листовку на сайте? Да и вообще навести там порядок с падчерицами услугами, вон ссылка на страницу по услуге Мониторинг защищенности периметра корпоративной сети попросту выдает ошибку 404.