ti в soc: сразу или все таки дозреть? - ib-bank...Новиков...
TRANSCRIPT
![Page 1: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/1.jpg)
ptsecurity.com
TI в SOC: сразу или все-таки дозреть?
Новиков Алексей,
директор экспертного центра безопасности
PT Expert Security Center
![Page 2: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/2.jpg)
PT Expert
Security Center
Threat
Intelligence
50+отслеживаемых групп
Incident
Response
50+расследований в год
Network
Security
5000+сетевых сигнатур
Экспертиза в продукты
![Page 3: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/3.jpg)
Реальность
82
90
65
97
75
43
9388
66
103106
88
95
114
103100
115
101
126
90 91
118122
89
143
113
91
141
112
104
136
111
132
0
20
40
60
80
100
120
140
160
01 02 03 04 05 06 07 08 09 10 11 12
2017 2018 2019
![Page 4: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/4.jpg)
Что такое Threat Intelligence?
«Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.»*
© 2019 Cisco and/or its affiliates. All
rights reserved.
* https://www.gartner.com/doc/2487216/definition-threat-intelligence
Threat Intelligence —знания о существующей или новой угрозе или опасностях для активов, основанные на фактах и включающие контекст, механизмы, индикаторы, последствия и рекомендации, которые могут быть использованы для обоснованных решений, касающихся реагирования на эту угрозу или опасность.
![Page 5: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/5.jpg)
© 2019 Cisco and/or its affiliates. All
rights reserved.
ПРИОРИТИЗАЦИЯ И
ПРИНЯТИЕ РЕШЕНИЙ
![Page 6: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/6.jpg)
Релевантность данных
А есть ли такие активы в
инфраструктуре?
![Page 7: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/7.jpg)
Актуальность
TTL и SCORE
Отраслевая \ региональная специфика
![Page 8: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/8.jpg)
Достоверность
Trust Level
![Page 9: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/9.jpg)
Оперативность
14 месяцев ̶ среднее время публикации
отчета об APT-кампании
![Page 10: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/10.jpg)
Купили TI…
Direction
Collection Processing Analysis Dissemination
Feedback
![Page 11: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/11.jpg)
Сухой остаток
Знать: информационные активы, бизнес- процессы и какие данные нужны
Иметь технологии: обработки, верификации и имплементации в инфраструктуру
Быть готовым: менять приоритеты и процессы
![Page 12: TI в SOC: сразу или все таки дозреть? - IB-Bank...Новиков Алексей, ^ b j _ d l h j w d k i _ j l g h ] h p _ g l j Z [ _ a h i Z k g h k l b PT](https://reader035.vdocuments.net/reader035/viewer/2022071108/5fe26749bd68cd72a2436250/html5/thumbnails/12.jpg)
ptsecurity.com
Спасибо
за внимание!