На Коде ИБ в Нижнем Новгороде помимо пленарной части я также проводил мастер-класс на тему обнаружения необнаруживаемого, то есть threat hunting. Разумеется, за один час это сделать было непросто, и поэтому своей основной задачей я ставил дать обзор того, что можно и нужно делать помимо банального использования различных продуктов по ИБ. Какие данные нам помогают видеть скрытые и целенаправленные угрозы? Откуда брать информацию об угрозах? Что такое индикатор компрометации и какие ресурсы в Интернет их распространяют? Откуда отечественные IDS берут сигнатуры атак? Как использовать Vulners, Cisco ISIS или БДУ ФСТЭК для поиска уязвимостей при отсутствии сканера безопасности? Как визуализировать аномалии? Какие риски существуют при использовании различных платформ фидов Threat Intelligence? Кто из российских компаний поставляет фиды Threat Intelligence и когда ГосСОПКА будет доступна для всех желающих? Вот небольшой перечень вопросов, которые вошли в урезанную версию мастер-класса, проведенного в Нижнем Новгороде.
Можно было бы попробовать такое прочитать на SOC Forum (заметки перед ним как раз были посвящены многим из описанных в презентации вопросам), но 20-тиминутные доклады не позволили бы раскрыть тему даже поверхности. Поэтому и читал позже, в рамках «Кода ИБ».
В январе есть планы провести более расширенный вариант этого мастер-класса — часов на 6-7 вместо одного часа. Все-таки уложить такую тему в час непросто и многие темы прищлось либо опустить, либо пробежаться по верхам, а то и просто упомянуть без какой-либо детализации и пояснений. Сейчас мы в Cisco прорабатываем организационные вопросы по данному вопросу.