NetBUG, на самом деле в статье рассматриваются методы и организации автоматического обмена threat intel, но за его анализ и применение в абсолютном большинстве случаев отвечают люди, которые используют уже разные инструменты для получения, обработки и розлива TI на конечные средства мониторинга / защиты.
Иными, словами, воздержусь противопоставлять тут машину человеку. В части рутинных, повторяемых операций — да, надо автоматизировать. Но оценка угроз и выработка защитных мер — за белковыми организмами. Пока. Мы работаем над этим.
А пока люди — важное звено противостояния атакам, нужны инструменты и механики, мотивирующие сообщества обмениваться информацией об угрозах.
Старый добрый ICAP.
Я на практике обычно видел интеграцию через ICAP разных IPS/IDS, DLP, NTA и прочих сетевых штуковин, которым нужна инспекция трафика. В рамках работы с TI, в интеграции TIP <> sandbox наиболее популярны сценарии, когда TIP отправляет песочницу какие-либо IoC и в ответ получает результаты анализа, либо когда песочница автоматически отправляет в TIP свои результаты анализа вредоносов.
Интересно, кстати. Я пока не встречал каких-то common-use протоколов под это дело. Наиболее часто интеграция делается через HTTP(S) API, которые у песочниц кто на что горазд.
Иными, словами, воздержусь противопоставлять тут машину человеку. В части рутинных, повторяемых операций — да, надо автоматизировать. Но оценка угроз и выработка защитных мер — за белковыми организмами. Пока. Мы работаем над этим.
А пока люди — важное звено противостояния атакам, нужны инструменты и механики, мотивирующие сообщества обмениваться информацией об угрозах.
Я на практике обычно видел интеграцию через ICAP разных IPS/IDS, DLP, NTA и прочих сетевых штуковин, которым нужна инспекция трафика. В рамках работы с TI, в интеграции TIP <> sandbox наиболее популярны сценарии, когда TIP отправляет песочницу какие-либо IoC и в ответ получает результаты анализа, либо когда песочница автоматически отправляет в TIP свои результаты анализа вредоносов.