Основы Threat Intelligence. Обнаружение тактик хакеров и пример работы Autofocus. Денис Батранков

Запись вебинара, который состоялся некоторое время назад, однако, информация, изложенная в нем, остается самой что ни есть актуальной.

Исследовательские группы всего мира заняты изучением вредоносного кода, тактик и подходов хакеров к проникновению в сети. Существует методика обмена знаниями об атаках и существуют методики поиска атак внутри компании на основе этих знаний, которые называют индикаторами атаки. Мы поговорим про это. Вы узнаете что такое TTP и adversary playbook, для чего создан Mitre ATT&CK и как этим пользоваться для защиты своих сетей, чем занимаются безопасники входящие в red, blue и purple team.
Пример adversary playbook, который создали исследователи Palo Alto Networks, для Cobalt
https://pan-unit42.github.io/playbook...

Содержание:
00:00 - В начало
00:32 - Cyber Kill Chain
02:58 - Атака Anunak
04:58 - Компоненты предотвращения проникновения
08:09 - Основы Threat Intelligence
10:27 - Какие задачи Вы решаете средствами TI
11:40 - Почему это важно
12:43 - Определения (IOC и т.д.)
14:34 - Фиды (осточники данных TI)
17:31 - Форматы (STIX, TAXII)
18:46 - В чем проблемы IOC
20:37 - Атрибуция
22:01 - Big Data
23:03 - Противник (Adversary)
23:28 - Тактики, Техники и Процедуры
25:47 - Adversary Playbook
27:10 - MIRTE ATT&CK
33:53 - Cyber Threat Alliance
34:41 - Лаборатория Unit42
36:36 - Защита от ТТП
37:32 - Архитектура STIX
37:59 - AutoFocus - Threat Intelligence Platform
51:04 - Как работает SOC
52:00 - Вызовы команде безопасников
52:24 - Как можно улучшить методику работы с инцидентами
54:05 - Корреляция данных об угрозах
55:51 - Чем отличаются Threat Intel платформы
57:40 - Пример: находим зараженные хосты
1:07:19 - Утилита MindMeld
1:15:55 - Wildfire и Cortex
1:21:47 - Ответы на вопросы