Выбор инструментов и сервисов киберразведки (Threat Intelligence)

Запись прямого эфира онлайн-конференции AM Live, проходившей 25 августа 2021 года, на которой эксперты поговорили о выборе инструментов и сервисов киберразведки (Threat Intelligence).

Модератор: Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Участники:

  • Никита Вдовушкин, руководитель направления исследования новых киберугроз, BI.ZONE
  • Дмитрий Волков, технический директор и сооснователь Group-IB
  • Илья Осадчий, директор по развитию компании Тайгер Оптикс
  • Александр Мазикин, руководитель группы по развитию продаж сервисов «Лаборатории Касперского»
  • Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон
  • Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform
  • Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Ключевые вопросы:

  1. Что такое и зачем нужна киберразведка (Threat Intelligence)
    • Что такое киберразведка? • Каким компаниям и для чего может понадобиться киберразведка?
    • Как-то обходились без этого, почему сейчас вдруг нужно задуматься о киберразведке?
    • Что собой представляет процесс киберразведки, что для него нужно?
    • Что такое Threat Intelligence Feeds? Какие они бывают?
    • Что такое TTP и как киберразведке помогает MITRE ATT&CK?
    • Как Threat Intelligence связан с Threat Hunting?
    • Какие инструменты и сервисы необходимо купить? И можно ли все сделать самому?
    • Какие составляющие процесса киберразведки можно купить в виде сервиса, а что точно придется строить внутри компании?
  2. Инструменты и сервисы Threat Intelligence
    • Откуда поставщики берут данные о киберугрозах (feeds, ТТP и тд)?
    • Можно ли собрать их самостоятельно?
    • Какой набор источников рекомендуется использовать для хорошего Threat Intelligence?
    • Если я загружаю бесплатные фиды в SIEM-систему или в SOAR, у меня уже есть Threat Intelligence?
    • Каков необходимый технический набор средств для осуществления процесса киберразведки?
    • Для чего нужны специализированные платформы Threat Intelligence?
    • Чем отличается функциональность платформ Threat Intelligence?
    • Можно ли использовать платформы Threat Intelligence для атрибуции атак?
  3. Практика использования платформ и сервисов Threat Intelligence
    • Сколько людей требуется для организации процесса киберразведки на предприятии? И какова должна быть их квалификация?
    • Как автоматизировать процесс киберразведки?
    • Какие возможности интеграции потребуются?
    • Каких результатов НЕ стоит ожидать от киберразведки?
    • Как измерить и оценить эффективность процесса киберразведки?
  4. Тренды и прогнозы развития рынка
    • Как будет развиваться данное направление в ближайшие 2-3 года?
    • Как будут развиваться возможности киберразведки?
    • Проводить ее станет проще или киберпреступники сведут на нет этот процесс?
    • Сформируется ли отдельный рынок платформ Threat Intelligence или это станет частью SIEM, SOAR и других комплексных систем управления ИБ?

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Алексей

    Добрый день!

    Пришёл в эту статью во время поиска информации о Threat Hunting Framework от Group-IB — они активизировались по этому «продукту» и предлагают его на пилот. Заинтересовало, так как рассказывают что после пилота у всех открываются глаза на собственное состояние в части защиты от угроз всевозможного вида.

    Не сталкивался ли уважаемый автор с этой почти что панацеей, как она позиционируется в проспектах — есть ли в нём какая-либо полезность с учётом того, что предполагается отправка данных в облако вендора на анализ?

    Ответить