Защита и операции
Threat Intelligence
Также известно как: TI
Определение
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
Threat intelligence — это структурированный сбор, обработка, анализ и распространение информации об угрозах: их мотивах, возможностях и инфраструктуре. Из сырых данных (образцов вредоносного ПО, IP, доменов, утёкших учётных данных, активности в даркнете, отчётов об уязвимостях) формируется применимая на практике аналитика за счёт добавления контекста, оценки достоверности и целевой аудитории. Организации получают threat intelligence через фиды (STIX/TAXII, MISP), платформы (TIP), отчёты вендоров и обмен в рамках ISAC, чтобы обогащать обнаружение в SIEM и EDR, расставлять приоритеты в патчинге и поддерживать решения руководства по рискам. По аудитории и временному горизонту аналитика делится на стратегическую, операционную и тактическую.
Примеры
- ISAC делится IoC, связанными с новой партнёркой ransomware, за несколько часов до её атак на участников.
- TIP обогащает события SIEM атрибуцией атакующего, техниками MITRE ATT&CK и оценкой достоверности.
Связанные термины
Киберразведка угроз (CTI)
Контекстуальное знание о киберугрозах, основанное на доказательствах, помогающее защитникам быстрее принимать обоснованные решения.
Tactical Threat Intelligence
Tactical Threat Intelligence — definition coming soon.
Strategic Threat Intelligence
Strategic Threat Intelligence — definition coming soon.
Operational Threat Intelligence
Operational Threat Intelligence — definition coming soon.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Tactics, Techniques and Procedures (TTPs)
Tactics, Techniques and Procedures (TTPs) — definition coming soon.