Threat intelligence (CTI) — это Разведка угроз и немного больше.

Под  термином часто Cyber Threat Intelligence (CTI) подразумевают расследование киберугроз, а также алгоритм действий при их обнаружении. Анализ обычно проводится при появлении следующих триггеров:

  • ненормальный трафик на продакшн-системах
  • фактические данных логов (logs) или событий из event viewer
  • информация из SOC дружественных компаний
  • big data из API вендоров
  • из SIEM систем
  • и пр.

Для предотвращения угрозы организации принимаются быстрые решения, частые из которых:

  • Уточняется информация по угрозе
  • Ставятся в известность правоохранительные органы и другие компании, осуществляющие кибернадзор компании
  • Банки отправляют бюллетень в FinCERT
  • Учащается синхронизация чувствительных для бизнеса данных

По источнику угрозы они делятся на два типа:

  • Внутренние
  • Внешние

Из внешних высокорисоквых угроз чаще всего инициализируются:

  • угрозы нулевого дня,
  • передовые постоянные угрозы (Apts)
  • Эксплойты

Собранная воедино информация, с быстро принятыми протекционными решениями как раз и называется Cyber Threat Intelligence

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *