Время от времени при исследовании продуктовых идей и гипотез наша команда разрабатывает прототипы. У нас есть мнение, что некоторые из них могут быть полезными ИБ-сообществу. Сегодня мы хотим поделиться моделью для ранжирования индикаторов компрометации, которую реализовали на основе исследования «Scoring model for IoCs by combining open intelligence feeds to reduce false positives» Амстердамского университета. Эта модель решает одну из ключевых задач threat intelligence: ранжирование индикаторов компрометации по ряду параметров для того, чтобы выделить из них наиболее опасные и сузить фокус поиска угроз.

Согласно отчету 2021 SANS Cyber Threat Intelligence (CTI) Survey, 66,3% компаний используют открытые источники для сбора индикаторов компрометации и стараются работать одновременно с несколькими источниками. Казалось бы, сбор индикаторов из открытых источников — достаточно простая задача: надо просто скачать с какого-то сайта файлик txt или csv, и всё. В действительности на этом пути можно столкнуться с большим количеством проблем. В статье мы расскажем, что это могут быть за сложности, от чего зависят структура и формат фида, какие метрики помогают оценить полезность фидов, а также покажем на реальном примере, что можно узнать из фида.  Для большей объективности эту статью мы подготовили вместе с Колей Арефьевым из компании RST Cloud, занимающейся агрегацией, обогащением, очисткой и ранжированием индикаторов, публикуемых независимыми ИБ-исследователями.

Подходы к обмену данными об угрозах находятся в активной фазе формирования и стандартизации. Сегодня есть пара значимых стандартов — MISP и STIX — и целая плеяда менее значимых, которые реже используются или считаются legacy/deprecated: MAEC, IODEF, OpenIOC (Cybox), CAPEC, IODEF, VERIS и множество иных. При этом порядочное количество community-фидов до сих пор распространяется в виде txt или csv, а также в виде человекочитаемых аналитических сводок, бюллетеней и отчетов. 

В статье я разберу более-менее общепринятые практики обмена данными о киберугрозах: специализированные стандарты и форматы общего назначения, предназначенные не только для обмена TI. Какие-то сугубо проприетарные, редкие и «собственные велосипеды» форматов рассматривать не буду. Также пока за бортом оставлю тематические блоги, новостные порталы, сообщества в мессенджерах и иные источники TI в человекочитаемых форматах. Сегодня фокус на машиночитаемых форматах.

Привет! Меня зовут Антон, я владелец продукта R-Vision Threat Intelligence Platform (TIP). От создания первых прототипов решения до реализации пилотных проектов по его внедрению прошло уже более трех лет, и мне захотелось поделиться накопленным опытом и набитыми шишками с сообществом. Поэтому я решил выпустить серию статей по теме threat intelligence, показать, что это понятие действительно существует как практика и как процесс, а не только как модное веяние, принесенное Gartner и витающее в воздухе любой конференции по информационной безопасности.

Рассказывать буду о различных аспектах TI, проведу параллели и аналогии с нашим продуктом и продуктовыми решениями, затрону альтернативные решения, не обойду вниманием и open-source решения. В первом посте поделюсь своим видением того, что представляет собой TI. Поехали!