Kill Chain и индикаторы компрометации

SecOps
В пятницу я упомянул, что концепция Kill Chain интересна не только сама по себе, но и возможностью ее обвязки разной полезной информацией, включая и привязку к каждому этапу убийственной цепочки соответствующих индикаторов компрометации. Вообще таких индикаторов, используемых для обнаружения вредоносной активности, известно немало, самых распространенных из которых 10:

Самые распространенные они потому, что с ними проще всего работать и проще всего получать. Достаточно подписаться на бесплатные фиды и регулярно получать их подгружая в свои SOCи и системы анализа. Можно воспользоваться и коммерческими, более навороченными ресурсами, которые будут отдавать нам также информацию о различных артефактах — сетевых и хостовых. Однако обычно, три верхних уровня пирамиды — это то, что создается самим потребителем; извне такие данные поступают редко. Я в прошлом году, на SOC Forum рассказывал как раз о таких ресурсах, выборе фидов, платформах Threat Intelligence. Но этого тоже мало. Как хорошо показано в презентации Дэвида Бьянко из Mandiant для поноценного расследования инцидентов и обнаружения целевых атак необходимо понимать TTP — абрревиатуру, о которой я писал вчера.

Если же наложить известные нам индикаторы компрометации на этапы Kill Chain (картинку тоже стащил у Бьянко), то мы увидим, какие IoC нам могут понадобиться. Это знание полезно с двух точек зрения. С одой, если у нас уже есть некие фиды с IoC, то мы можем понять, насколько полно мы покрываем ими все 7 фаз убийственной цепочки и чего нам не хватает. С другой, если мы только строим свой SOC и хотим выбрать нужный источники Threat Intelligence, то эта картинка подскажет, на что обращать внимание при выборе TIP-платформы.

ЗЫ. Уже опубликована программа SOC Forum 2.0 и я думаю нам удастся обсудить эту тему в рамках одной из шести сессий.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Anton Chuvakin

    Скорее всего ты это видел, но на всякий случай: http://blogs.gartner.com/anton-chuvakin/2016/10/28/soc-webinar-questions-answered/

    кстати запись вебинара по моему без регистрации раздается…

    Ответить
  2. Алексей Лукацкий

    Ага, спасибо. Я уже посмотрел 🙂

    Ответить