Продолжается сессия XII Уральского форума «Информационная безопасность финансовой сферы», посвященная построению и функционированию центров мониторинга событий информационной безопасности (Security Operations Center).
Всеслав Соленик, заместитель директора Центра экспертизы R-Vision, рассказал об автоматизация работы с данными threat intelligence. «Можно дать определение threat intelligence одним словом: знания. Это знания, которые можно проанализировать и применить человеку и машине», – отметил он. Знания при этом должны быть актуальные, своевременные, непротиворечивые и достоверные.
По словам спикера, любой intelligence (то есть бизнес-анализ) начинается с потока «сырых» данных в машиночитаемой форме, которые сами по себе ничего не дают. На следующем этапе обработки система должна нормализовать эти данные, добавить определенные обогащения, взаимосвязи. Когда данные представлены в нормализованном виде, в формате некой понятной карточки, они становятся информацией. Аналитик оценивает контекст применения этой информации и получает знания: в ИБ это, к примеру, знания о конкретных нарушителях, которые могут атаковать организацию определенными инструментами. Наконец, знания, которые сопровождаются действиями для решения проблемы, – это мудрость.
Как правило, в крупных организациях три уровня threat intelligence: операционный, тактический (аналитика, поведенческое предвидение и прогнозирование атак) и стратегический. Threat intelligence должен обеспечиваться на всех уровнях, иначе эта концепция потеряет свою полезность – предупреждает Всеслав Соленик. Кроме того, threat intelligence не имеет смысла без связи с другими бизнес-процессами организации, которые снабжают систему данными, а она, в свою очередь, обогащает и дополняет их.
Отметим, что в данной сессии приняли участие также представители компаний «Инфосистемы Джет», «Информзащита», Positive Technologies, «Лаборатория Касперского», Тинькофф Банка.