Threat Intelligence
Что такое Threat Intelligence?
Threat IntelligenceОснованные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
Threat intelligence — это структурированный сбор, обработка, анализ и распространение информации об угрозах: их мотивах, возможностях и инфраструктуре. Из сырых данных (образцов вредоносного ПО, IP, доменов, утёкших учётных данных, активности в даркнете, отчётов об уязвимостях) формируется применимая на практике аналитика за счёт добавления контекста, оценки достоверности и целевой аудитории. Организации получают threat intelligence через фиды (STIX/TAXII, MISP), платформы (TIP), отчёты вендоров и обмен в рамках ISAC, чтобы обогащать обнаружение в SIEM и EDR, расставлять приоритеты в патчинге и поддерживать решения руководства по рискам. По аудитории и временному горизонту аналитика делится на стратегическую, операционную и тактическую.
● Примеры
- 01
ISAC делится IoC, связанными с новой партнёркой ransomware, за несколько часов до её атак на участников.
- 02
TIP обогащает события SIEM атрибуцией атакующего, техниками MITRE ATT&CK и оценкой достоверности.
● Частые вопросы
Что такое Threat Intelligence?
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования. Относится к категории Защита и операции в кибербезопасности.
Что означает Threat Intelligence?
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
Как защититься от Threat Intelligence?
Защита от Threat Intelligence обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Threat Intelligence?
Распространённые альтернативные названия: TI.