Какую информацию рассылает американский FinCERT, он же FS-ISAC?

SecOps
В США, во многих отраслях есть центры анализа и распространения информации, связанной с информационной безопасностью. Это так называемые Information Sharing and Analysis Center (ISAC). Есть такой центр и в финансовой отрасли — FS-ISAC. У него нет задачи реагировать на инциденты — только анализ и распространение информации, которую члены FS-ISAC могут использовать по своему усмотрению.
Ниже несколько примеров того, что распространяет FS-ISAC по своим членам (Cisco тоже участник, поэтому я сделал несколько скриншотов). Вот так выглядит пример бюллетеня с анализом данных о той или иной угрозе:
Бюллетень с анализом угрозы

А вот в таком видел (в табличке Excel) приходит список IP-адресов, с которых зафиксирована рассылка вредоносного кода или осуществляются атаки, или с ними осуществляется взаимодействия с скомпрометированных узлов:

Списки вредоносных IP-адресов

Вот так выглядит список доменов, распространяющих вредоносный код:

Список вредоносных доменов

А вот так выглядит список адресов, которые были упомянуты в предыдущих рассылках FS-ISCA, но которые «исправились» и которые больше не надо блокировать:

Список «исправившихся» адресов

Как мне кажется, создаваемый сейчас в рамках ГУБЗИ FinCERT, который должен заработать с 1-го июля, должен делать примерно аналогичную работу. По крайней мере примерно в таком ключе обсуждалась роль FinCERTа на магнитогорском форуме в этом году.

ЗЫ. На ожидаемый вопрос, что означает аббревиатура TLP, отвечаю. TLP (Traffic Light Protocol) — это простой протокол, предложенный US CERT, и позволяющий «раскрасить» информацию в 4 «цвета», от которых зависит кому можно передавать информацию об угрозах — всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Это один из стандартов, применяемых при создании своей системы Threat Intelligence.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).