RI
Всё так :)))
Size: a a a
2020 April 30
A
может таки заставить работать старое?)
v
рынок не поймёт!
A
подожди, а что на рынке есть TIP?
A
с одинаковым базовым функционалом?
v
тут TIP не обсуждалось
v
только фиды
v
мог бы уже и прочитать!
A
Ruslan Ivanov
Мы родили новый термин - NG TIP
эмм???
v
эмм???
ты ещё скажи что уже такое есть :). Так мы знаем. но всё равно, не рушь наш мир. лучше скажи по сути
v
расскажи что делать с фидами?
v
и твое отношение к деятельности Коли.
A
Я честно все прочитал, суммирую:
- IOC на данный момент в выявлении в режиме близком к реальному времени практически бесполезны - так как их не применяют (не умеют/низкая производительность СЗИ/ низкое качество IOC)
- Повышаем качество IOC - не можем (нет доверенных центров обмена,не понятен профит, релевантность IOC зависит от страны/ отрасли/ источника IOC/ доверие к алгоритмам выявления и проверки IOC )
- Низкую производительность СЗИ и SIEM можно компенсировать только облачными решениями (привет Руслан , MS, Amazon, Google)
- Применение IOC в виде только доменов и IP порождает огромное количество FP и перегружает аналитиков (так как в выгрузках для СЗИ дополнительный контекст отсутствует, и сработку надо обогащать уже по второму разу в IRP - про что многие забывают)
- Время жизни IOC - печаль/боль - сколько ставить если не было обновления данных по IOC и как его вообще проверить (телеметрия? данные из чужих фидов, в которых обычно не содержится время последнего обновления IOC? поставить по умолчанию две недели, а если C2 просыпается раз в полгода ? )
- IOC на данный момент в выявлении в режиме близком к реальному времени практически бесполезны - так как их не применяют (не умеют/низкая производительность СЗИ/ низкое качество IOC)
- Повышаем качество IOC - не можем (нет доверенных центров обмена,не понятен профит, релевантность IOC зависит от страны/ отрасли/ источника IOC/ доверие к алгоритмам выявления и проверки IOC )
- Низкую производительность СЗИ и SIEM можно компенсировать только облачными решениями (привет Руслан , MS, Amazon, Google)
- Применение IOC в виде только доменов и IP порождает огромное количество FP и перегружает аналитиков (так как в выгрузках для СЗИ дополнительный контекст отсутствует, и сработку надо обогащать уже по второму разу в IRP - про что многие забывают)
- Время жизни IOC - печаль/боль - сколько ставить если не было обновления данных по IOC и как его вообще проверить (телеметрия? данные из чужих фидов, в которых обычно не содержится время последнего обновления IOC? поставить по умолчанию две недели, а если C2 просыпается раз в полгода ? )
A
я очень положительно отношусь к работе Коли, он делает хорошую и полезную вещь, которую нужно верифицировать в своей инфраструктуре и отдавать ему обратно - вопрос, в том что это нужно делать автоматическим способом (но как если у всех разные продукты для обработки инцидентов и нагружать аналитиков лишней работой нет никакого желания)
A
ты ещё скажи что уже такое есть :). Так мы знаем. но всё равно, не рушь наш мир. лучше скажи по сути
я считаю что рынок TIP не сформирован, слишком разные у всех продукты, это как сравнивать несравниваемое
A
и более того у всех слишком большой разброс понятий в применении TIP платформ (агрегация индикаторов, обогащение индикаторов, парсеры сбора индикаторов, сбор всего что плохо лежит в том числе множества неструктурированных данных, визуализация в виде графов, обогащение данных на потоке, уведомление о новых угрозах и т.д. )
A
это слишком много для одного класса продуктов
A
@vbengin норм?
v
умеешь, могешь!
v
спасибо