К основному контенту

В чем проблема Threat Intelligence и как ее решать?


Существующие базы индикаторов компрометации (IoC), реально повышают безопасность корпоративных сетей. Вам не нужно покупать сложные устройства, достаточно просто
1. постоянно получать у какого-то сообщества "по какому адресу сидит хакер", например из рассылки FinCert;
2. не пускать к себе никого с этих адресов
3.не пускать никого из сотрудников на эти адреса.
Под адресами сейчас понимают IP, URL, DNS имена. Отмечу, что также IoC может быть имя файла, ключ реестра, ключевые слова из кода программы и другие.

А как удаляются из этих баз адреса, которые уже стали хорошими? Ведь вчера это мог быть зараженный сайт, где хакеры размещали свой вредоносный код, а сегодня админы могли уже его "вылечить" и он уже хороший. Кто это отслеживает? Чаще всего никто.

А когда вообще адрес стал плохим? Мои сотрудники могли ходить на этот сайт всю жизнь и только с какого-то момента он стал их атаковать. Этой информации в списке IP или URL найти нельзя.

Что же делать?

К каждой базе Threat Intelligence в вашей компании прикладывается специалист, который не просто включает правило "блокировать все плохие соединения из базы", а постоянно расследует инциденты.

Если вы инциденты не расследуете, то дальше читать не нужно.

В момент расследования инцидента, у вас возникают те же самые вопросы что я задал выше. И здесь уже поставщик базы Threat Intelligence должен предоставлять полную базу почему адрес плохой, когда он стал плохой, в каких хакерских утилитах или вирусах он использовался, на кого нападали с этих адресов. По сути, при разборе инцидента важно получить все что есть о том адресе, который вдруг стал "плохим".

Такие базы правильные производители предоставляют, в них содержится подробная статистика по каждой записи базы и всегда можно посмотреть нужную информацию.

Поскольку IoC это не только адреса, а еще и другие параметры, то в таких базах поиск обычно идет по всем возможным параметрам, которые могли бы характеризовать атакующий вас вредоносный код, включая данные страны из которой идет атака, связи с другими атаками и известные аналитические отчеты и исследования по данной атаке.

Это большая информация и она реально помогает разбирать инциденты, понимать стали ли вы жертвой массовой рассылки, или же это была направленная атака на вашу организацию или даже на конкретного человека.

Пример такой базы: https://autofocus.paloaltonetworks.com/

Комментарии

  1. Позволю себе добавить, что в части удаления адресов из базы Threat Intelligence все же не все так плохо, если мы говорим о платной подписке, тем более вшиваемой в межсетевые экраны (как это реализовано у PaloAlto, Cisco, Checkpoint) то процесс удаления из базы узлов ложится полностью на вендора.

    ОтветитьУдалить

Отправить комментарий

Популярные сообщения из этого блога

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…

1 из 10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:
функции безопасности, удобство управления, производительность.  Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? 

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода з…

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ Приглашаем Вас на ежегодное мероприятие по информационной безопасности – конференцию компании Palo Alto Networks в Москве 2 ноября 2017 года ЛОТТЕ ОТЕЛЬ
Новинский бульвар, д. 8, стр. 2.  Узнайте из первых уст об инновациях в информационной безопасности, технологиях защиты от zero-day атак и шифровальщиков, а также новинках платформы кибер-безопасности Palo Alto Networks. Участие бесплатное, необходима регистрация с корпоративным адресом электронной почты.