Почти неделю назад суботрасль Threat Intelligence (TI), где я имел честь работать в одной из компании лидеров на презентации MaxPatrol SIEM обозвали "баззвордом". И я решил мстить описать откуда компании берут TI и сравнить виновника мощности Positive для понимания потенциала конкурентоспособности MaxPatrol SIEM c IBM QRadar в части базы знаний\TI.
Итак, откуда TI компании берут индикаторы атак и т.н. TTP (Тактика, Технологии и Процедуры) атакующих? Вариантов всего 3 - находят сами, получают у клиентов и обмениваются с коллегами. А если свести к конкретным видам деятельности то получится 5 столпов:
Приведенные "столпы" расположены по легкости организации и масштабирования. Любой студент может взять фаззер и начать искать уязвимости, но далеко не каждой уважаемой организации доверят расследовать инциденты либо дажео ужас аутсорсить мониторинг атак в внутренней сети. Итак, сравнение ниже:
Как видим, глобалы пока сильнее. С другой стороны соответствующий блок активности может пока не афишироваться Позитивами, что при их сильном маркетинге странно. Не уж то нельзя повесить листовку на сайте? Да и вообще навести там порядок спадчерицами услугами, вон ссылка на страницу по услуге Мониторинг защищенности периметра корпоративной сети попросту выдает ошибку 404.
Итак, откуда TI компании берут индикаторы атак и т.н. TTP (Тактика, Технологии и Процедуры) атакующих? Вариантов всего 3 - находят сами, получают у клиентов и обмениваются с коллегами. А если свести к конкретным видам деятельности то получится 5 столпов:
- Поиск уязвимостей в ПО (vulnerability research).
- Киберразведка - данные из открытых источников, хонипоты, данные из клиентских систем защиты - AV, антиспам, IDS etc (security research).
- Тесты на проникновение клиентских сетей (penetration tests).
- Расследования инцидентов (forensic investigations).
- Мониторинг атак в клиентских сетях (incident response).
Приведенные "столпы" расположены по легкости организации и масштабирования. Любой студент может взять фаззер и начать искать уязвимости, но далеко не каждой уважаемой организации доверят расследовать инциденты либо даже
Как видим, глобалы пока сильнее. С другой стороны соответствующий блок активности может пока не афишироваться Позитивами, что при их сильном маркетинге странно. Не уж то нельзя повесить листовку на сайте? Да и вообще навести там порядок с
Комментариев нет:
Отправить комментарий