КК
Спасибо, Кирилл. 👋
Возвращаясь к теме.
Решил глянуть как эта "утечка" видна в открытых источниках.
Итог: все хэши в фидах появились в тот же день (исходный твит от 11 августа).
На картинке кол-во уникальных хэшей, собранных за сутки.
Size: a a a
2021 August 23
NA
З.ы. https://live.anti-malware.ru/threat-intelligence#reg
За TI уже 25 августа
За TI уже 25 августа
NA
Надеюсь, @alukatsk сделаете так, чтобы спикеры поговорили про тактический и стратегический TI. А то многие такие обсуждения часто скатываются только в обсуждение IOCов
AL
Само собой
KM
Стратегический и операционный наверн)
Тактический это основа, как раз про IOC
Тактический это основа, как раз про IOC
KM
Клёво, если видишь всплеск, можно идти читать новости)
АР
Тут скорее уместен боян про "это канал об аниме?..."
RI
Ну да, всё равно все здесь…
2021 August 24
B
Нвверняка у HR тоже есть свой список IOC, которым они обмениваются: в нем перечислены люди, которых не надо брать на работу )
SF
А почему не хэши людей, которых не надо брать на работу? =)
B
Сигнатуры ;-)
IM
Однозначно есть такое. Если вам больше 40 то в компанию зеленого медведя и позитивную компанию можно даже не обращаться. Сольют.
K
Зарыдал
NA
Ваше HR-правило корреляции фалсит. Поправьте.
$
Заканчивайте оффтопить
2021 August 25
NA
Сегодня был прям интересный эфир по TI на Anti-malware.
По горячим следам.
Ближе к концу была высказана идея, что IOC не нужны и надо читать бюллетени (APT отчеты).
Прям странная идея от компании, которая, в том числе, продает фиды с IOC и свою TIP, где есть IOCи. Но не об этом речь.
Мне это навеяло такую ассоциацию.
На платной, охраняемой стоянке взломали фуру со спиртом и стащили весь спирт. На фуру была направлена камера охраны. Ворюги были без масок и перчаток.
На утро приходит следователь и заявляет:
- Запись с камер наблюдения есть, но они мне не интересны
- Очевидно, что есть отпечатки, но снимать мы их, естественно, не будем.
- Так! Мы сейчас проанализируем всех ворюг в районе, которые специализируются на хищении спирта из фур.
Итог: Анализ длился 6 месяцев, спирт был успешно выпит/продан.
К чему весь этот опус.
IOC – Часть TI. Это технический TI и надо четко понимать его роль и место в общем концепте ИБ.
Если есть иные мнения, давайте об этом поговорим 😊
По горячим следам.
Ближе к концу была высказана идея, что IOC не нужны и надо читать бюллетени (APT отчеты).
Прям странная идея от компании, которая, в том числе, продает фиды с IOC и свою TIP, где есть IOCи. Но не об этом речь.
Мне это навеяло такую ассоциацию.
На платной, охраняемой стоянке взломали фуру со спиртом и стащили весь спирт. На фуру была направлена камера охраны. Ворюги были без масок и перчаток.
На утро приходит следователь и заявляет:
- Запись с камер наблюдения есть, но они мне не интересны
- Очевидно, что есть отпечатки, но снимать мы их, естественно, не будем.
- Так! Мы сейчас проанализируем всех ворюг в районе, которые специализируются на хищении спирта из фур.
Итог: Анализ длился 6 месяцев, спирт был успешно выпит/продан.
К чему весь этот опус.
IOC – Часть TI. Это технический TI и надо четко понимать его роль и место в общем концепте ИБ.
Если есть иные мнения, давайте об этом поговорим 😊
T
Вопрос насчет аналогии... AM кому говорят про анализ всех ворюг? Если фура моя, я хочу найти конкретного грабителя по камерам, если фура не моя, а моя стоит на соседней стоянке, то мб мне камеры и не нужны
NA
а может, просто надо фоторобот разослать?