Выбор инструментов и сервисов киберразведки (Threat Intelligence)

Запись прямого эфира онлайн-конференции AM Live, проходившей 25 августа 2021 года, на которой эксперты поговорили о выборе инструментов и сервисов киберразведки (Threat Intelligence).

Модератор: Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Участники:

• Никита Вдовушкин, руководитель направления исследования новых киберугроз, BI.ZONE
• Дмитрий Волков, технический директор и сооснователь Group-IB
• Илья Осадчий, директор по развитию компании Тайгер Оптикс
• Александр Мазикин, руководитель группы по развитию продаж сервисов «Лаборатории Касперского»
• Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон
• Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform
• Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Ключевые вопросы:

1. Что такое и зачем нужна киберразведка (Threat Intelligence)
   • Что такое киберразведка? • Каким компаниям и для чего может понадобиться киберразведка?
   • Как-то обходились без этого, почему сейчас вдруг нужно задуматься о киберразведке?
   • Что собой представляет процесс киберразведки, что для него нужно?
   • Что такое Threat Intelligence Feeds? Какие они бывают?
   • Что такое TTP и как киберразведке помогает MITRE ATT&CK?
   • Как Threat Intelligence связан с Threat Hunting?
   • Какие инструменты и сервисы необходимо купить? И можно ли все сделать самому?
   • Какие составляющие процесса киберразведки можно купить в виде сервиса, а что точно придется строить внутри компании?
2. Инструменты и сервисы Threat Intelligence
   • Откуда поставщики берут данные о киберугрозах (feeds, ТТP и тд)?
   • Можно ли собрать их самостоятельно?
   • Какой набор источников рекомендуется использовать для хорошего Threat Intelligence?
   • Если я загружаю бесплатные фиды в SIEM-систему или в SOAR, у меня уже есть Threat Intelligence?
   • Каков необходимый технический набор средств для осуществления процесса киберразведки?
   • Для чего нужны специализированные платформы Threat Intelligence?
   • Чем отличается функциональность платформ Threat Intelligence?
   • Можно ли использовать платформы Threat Intelligence для атрибуции атак?
3. Практика использования платформ и сервисов Threat Intelligence
   • Сколько людей требуется для организации процесса киберразведки на предприятии? И какова должна быть их квалификация?
   • Как автоматизировать процесс киберразведки?
   • Какие возможности интеграции потребуются?
   • Каких результатов НЕ стоит ожидать от киберразведки?
   • Как измерить и оценить эффективность процесса киберразведки?
4. Тренды и прогнозы развития рынка
   • Как будет развиваться данное направление в ближайшие 2-3 года?
   • Как будут развиваться возможности киберразведки?
   • Проводить ее станет проще или киберпреступники сведут на нет этот процесс?
   • Сформируется ли отдельный рынок платформ Threat Intelligence или это станет частью SIEM, SOAR и других комплексных систем управления ИБ?