Разведка угроз

Предупреждающая аналитика факторов проникновений, нарушений доступа, утечек информации, блокирования систем и других инцидентов

Управляемая аналитика угроз – это основанные на фактах знания, включая контекст, механизмы, индикаторы, последствия и практические советы о существующей или возникающей угрозе или опасности для активов, которые могут использоваться для обоснования решений относительно реакции субъекта на эту угрозу или опасность.

Разведка угроз (аналитика угроз) – это важный компонент информационной безопасности. Он помогает заранее определять, какие угрозы наиболее опасны для конкретного бизнеса. Таким образом можно получить представление об угрозах, которые будут нацелены или уже нацелены на организацию, ее сотрудников, клиентов и партнёров. Эти угрозы могут потенциально привести к потере доходов, репутации, перебоям сервисов и другим негативным последствиям. Обладая аналитикой угроз, организации могут определять приоритеты наиболее вероятных причин проблем, и направлять имеющиеся ресурсы туда, где они будут наиболее эффективными.

Сервис управляемой аналитики угроз помогает опережать злоумышленников и защищать бизнес умно, “утяжеляя броню” не везде, а только там, куда придётся следующий удар.

Источники информации об угрозах

Совместное использование индикаторов компрометации
Получение сведений о вредоносной активности из журналов событий. Индикаторы открыто документируются и облегчают выявление проблем, связанных с аномалиями сетевого трафика, скомпрометированными данными пользователей, подозрительными модификациями файлов и т. д.
Открытые источники
Самые разные ресурсы, от традиционных СМИ до сообщений в социальных сетях, форумов по кибербезопасности, популярных блогов, сайтов вендоров и т. д., используются нами для разведки и анализа. Параллельно выполняется мониторинг бренда и захвата доменов.
Собственная аналитика угроз
Различные угрозы, направленные на наших клиентов, помогают нам построить обширную базу данных угроз. Собирая и коррелируя угрозы наших клиентов, мы увеличиваем и обогащаем внутренние алгоритмы, а аналитики безопасности узнают больше о ландшафте угроз. Это, в свою очередь, дает вам актуальную информацию для защиты вашего бизнеса.
Аналитика угроз “глубокой сети” и “темной сети”
Мы выходим за рамки информации из открытых источников и анализируем, что происходит на форумах в так называемых “глубокой паутины” (Deep Web) и “темной паутины” (Dark Web). Сбор информации из таких источников, как хакерские группы Telegram, QQ, IRC, а также различные торговые площадки, форумы и платформы для обмена файлами, дает возможность идентифицировать украденные активы, новые векторы угроз, анализировать комплекты эксплойтов, а также другие инструменты и методы злоумышленников.
Мозг, разведка угроз

Основные шаги аналитики угроз

  1. Требования. Этот этап имеет решающее значение для жизненного цикла анализа угроз, поскольку здесь определяется структура проекта. На этом этапе планирования команда согласовывает цели и методологию своей разведывательной программы на основе потребностей заказчика. Команда может обнаруживать:
    • кто нападающие, и какие их мотивы;
    • какова поверхность атаки;
    • какие конкретные действия следует предпринять, чтобы укрепить защиту от будущей атаки.
  2. Сбор данных. После определения требований команда приступает к сбору информации, необходимой для достижения этих целей. В зависимости от целей, команда будет анализировать журналы трафика, общедоступные источники данных, соответствующие форумы, социальные сети, блоги, а также публикации отраслевых или предметных экспертов.
  3. Обработка. После того, как необработанные данные из разных источников будут собраны, они объединяются и преобразовываются в формат, подходящий для анализа. В большинстве случаев это структурирование данных в электронной таблице: расшифровка файлов, перевод информации из иностранных источников и оценка данных на предмет актуальности и надежности.
  4. Анализ. После обработки набора данных команда проводит тщательный анализ, чтобы найти ответы на вопросы, поставленные на этапе требований. На этапе анализа команда также работает над разбиением полученного набора данных на элементы: необходимые действия и ценные рекомендации для заинтересованных сторон.
  5. Передача результатов анализа. На этапе передачи результатов анализа группа анализа угроз преобразовывает свой отчёт в удобный формат и представляет результаты заинтересованным сторонам. Представление результатов зависит от аудитории. В большинстве случаев рекомендации представляются кратко, без запутанного технического жаргона.
  6. Обратная связь. Заключительный этап жизненного цикла аналитики угроз включает в себя получение обратной связи по предоставленному отчету, чтобы определить, нужно ли вносить корректировки для будущих операций по анализу угроз. Заинтересованные стороны могут изменить свои приоритеты, частоту, с которой они хотят получать отчеты разведки угроз, или способ передачи или представления данных.

Мы мыслим как хакеры, моделируя их поведение. Это позволяет нам быстро и эффективно получить необходимые данные, проанализировать их, предупредить клиентов и предоставить им рекомендации о способах предотвращения возможной атаки. Мы – ваши уши и глаза в мире угроз безопасности.

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа сервиса разведки угроз. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Анализ безопасности исходных кодов программного обеспечения
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)