ptsecurity.com
TI в SOC: сразу или все-таки дозреть?
Новиков Алексей,
директор экспертного центра безопасности
PT Expert Security Center
PT Expert
Security Center
Threat
Intelligence
50+отслеживаемых групп
Incident
Response
50+расследований в год
Network
Security
5000+сетевых сигнатур
Экспертиза в продукты
Реальность
82
90
65
97
75
43
9388
66
103106
88
95
114
103100
115
101
126
90 91
118122
89
143
113
91
141
112
104
136
111
132
0
20
40
60
80
100
120
140
160
01 02 03 04 05 06 07 08 09 10 11 12
2017 2018 2019
Что такое Threat Intelligence?
«Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.»*
© 2019 Cisco and/or its affiliates. All
rights reserved.
* https://www.gartner.com/doc/2487216/definition-threat-intelligence
Threat Intelligence —знания о существующей или новой угрозе или опасностях для активов, основанные на фактах и включающие контекст, механизмы, индикаторы, последствия и рекомендации, которые могут быть использованы для обоснованных решений, касающихся реагирования на эту угрозу или опасность.
© 2019 Cisco and/or its affiliates. All
rights reserved.
ПРИОРИТИЗАЦИЯ И
ПРИНЯТИЕ РЕШЕНИЙ
Релевантность данных
А есть ли такие активы в
инфраструктуре?
Актуальность
TTL и SCORE
Отраслевая \ региональная специфика
Достоверность
Trust Level
Оперативность
14 месяцев ̶ среднее время публикации
отчета об APT-кампании
Купили TI…
Direction
Collection Processing Analysis Dissemination
Feedback
Сухой остаток
Знать: информационные активы, бизнес- процессы и какие данные нужны
Иметь технологии: обработки, верификации и имплементации в инфраструктуру
Быть готовым: менять приоритеты и процессы
ptsecurity.com
Спасибо
за внимание!