NA
Нет, я не уверен. У меня задача не в стандарт это уложить, а в свою голову и потом уже перенести это понимание к себе в продукт
Size: a a a
2021 October 13
$
А что ещё из стандартов есть. Что известно и наиболее полно?)
$
Стикс хоть сколько-нибудь живой
NA
Да живой, но там там нет понятий Кластер и Операция
NA
и STIX не дает определений этим терминам
$
Там много чего нет. И много что появилось.
NA
Есть Кампания, которая все сразу
NA
Я поэтому специально и спросил про наличие определений в каких-либо ИБшных нормативках, чтоб не ограничиваться конкретной версий конкретного технического стандарта.
IB
Тут скорее терминологию надо стандартизировать .. а запихнуть все в Джеймсон не проблема
$
В Джеймсон что угодно можно запихнуть. Но лучше другой виски :)
IB
Компания, операция, кластер ... что происходит ... что делать с этим :)
IB
По моему тут чем подробнее, чем больше количество сущностей, тем хуже. И так с атрибуцией беда ... А уж если ее усложнить, так вообще никто в этом не разберется ... ну кроме черта :)
NA
Я весь этот замес зачем начал. У меня есть простая задача:
1. Есть индикатор и описание (1-2 предложения)
2. Внутри описание есть название, скажем ХХХ, без ключевого слова campaign|operation|threat actor|malware
3. Больше ничего нет.
Надо понять, есть ли способ прямо, или косвенно ассоциировать XXX с campaign|operation|threat actor|malware
1. Есть индикатор и описание (1-2 предложения)
2. Внутри описание есть название, скажем ХХХ, без ключевого слова campaign|operation|threat actor|malware
3. Больше ничего нет.
Надо понять, есть ли способ прямо, или косвенно ассоциировать XXX с campaign|operation|threat actor|malware
NA
Если по malware и threat actor косвенными способами и через NLP я еще худо-бедно идентифицирую сущности, то вот с campaign|operation - беда-беда
$
Нарисуй иерархию хотя бы по стикс
Добей туда нехватающие сущности.
Прими за точку отсчета(я об этом говорил)
И живи в этой реальности.
Да, иногда та длинная связка, которую мне лень перепечатывать, у тебя будет повторять (слово-в-слово) из одной сущности в другую, но… такова атрибуция в иб
Добей туда нехватающие сущности.
Прими за точку отсчета(я об этом говорил)
И живи в этой реальности.
Да, иногда та длинная связка, которую мне лень перепечатывать, у тебя будет повторять (слово-в-слово) из одной сущности в другую, но… такова атрибуция в иб
AL
Я для себя кампанию и операцию приравниваю и в большинстве источников, что я видел, происходит тоже самое. Кампания или операция - это набор TTP, связанных с конкретными попытками вторжения в конкретные компании/отрасли за определенный интервал времени, который каждый исследователь определяет для себя самостоятельно, но обычно это точно не часы, а дни или даже скорее недели. Путем кластеризации (да, ИИ в полный рост) ты вычленяешь из кучи ТТР что-то общее, что дает тебе право назвать это все кампанией и, если больше никто про это еще не написал в паблике, назвать своим именем (что-нибудь типа "Красная заря" или "Дракон, кусающий себя за яйца" или простенькое "Форт Росс"). Стандартов по этой теме не существует - все действуют в разнобой. Про кластер не слышал ни разу
NA
Относительно кластера я про такие формулировки
We are calling this cluster of activity MysterySnail. Code similarity and re-use of C2 infrastructure we discovered allowed us to connect these attacks with the actor known as IronHusky and Chinese-speaking APT activity dating back to 2012.
NA
Иногда кластером называют просто TTP Кампании, тут понято, просто использовали красивое слово, вместо "группа TTP"
NA
Иногда встречаются формулировки "Мы выделили кластер активностей и назвали его ХХХ"
NA
Касперский особенно часто этим грешит