«Эволюцию не остановишь, а пока… «TI ради TI», что нерационально»

BIS Journal №1(48)2023

14 марта, 2023

«Эволюцию не остановишь, а пока… «TI ради TI», что нерационально»

Очевидно, что для компаний имеют значение различные аспекты безопасности бизнеса.

 

ТЕНДЕНЦИЯ К УКРУПНЕНИЮ

В последнее время и в России, и в мире наметилась тенденция на укрупнение ИТ-решений безопасности. Так, в конце прошлого года Gartner выявила тенденцию к формированию «нового» класса решений — TDIR (Threat Detection and Incident Response).

Однако с технической точки зрения TDIR — это скорее эволюция текущих наиболее востребованных ИБ-технологий: TI, SIEM, SOAR, UEBA и EDR. Здесь речь идёт не столько о появлении каких-то «новых» фич в отдельно взятых технологиях, сколько об ином, более совершенном подходе к обеспечению кибербезопасности — созданию экосистем, где все технологии, объединяясь под единым «зонтиком», глубоко интегрированы между собой. Иными словами, простота и прозрачность доступа к технологиям для конечного потребителя возведены на новый уровень.

За счёт такой интеграции и тесной взаимосвязи внутри экосистемы технологии обогащают друг друга дополнительными функциональными возможностями по аналитике, обнаружению, реагированию, расследованию и комплексному управлению ИБ. «Зонтиком» в рамках экосистем может выступать единая консоль управления или суперапп, которые скорее пока являются дополнительным бонусом. Но, так или иначе, к этому все придут.

 

TIВ ПРОЦЕССЕ СОЗРЕВАНИЯ

В настоящее время в русле обсуждаемой идеи активно продвигаются решения класса Threat Intelligence (TI). Применительно к ним зачастую внимание акцентируется на практических аспектах формирования наборов данных для TI. Так, иногда встречаются рекомендации использовать инструменты opensource для самостоятельного создания фидов. Но если в ИБ-штате организации нет достаточного количества сотрудников, способных воспользоваться знаниями об угрозах, то идею с opensource желательно отложить до лучших времён и сфокусироваться на коммерческих фидах, а также поиске удобной аналитической TI-платформы.

«Серебряной пули» здесь не существует. В первую очередь важно исходить из реальных аналитических возможностей пользователя этих данных, потому как «TI ради TI» — это не самый рациональный подход к процессу.

При этом сегодня TI обычно воспринимается как массивы IoC (индикаторов компрометации) и редко рассматривается как что-то большее. Но уже в прошлом году стала намечаться тенденция к применению знаний об угрозах не только на уровне массивов IoC (технический уровень), но и в виде более зрелых подходов к противодействию, основанных на анализе методов работы злоумышленника (тактический уровень).

В ближайшем будущем должна получить развитие практика использования «стратегического TI», в основу которого заложен анализ огромной базы знаний, что позволяет отслеживать тренды и общую картину изменения угроз с течением времени и, исходя из этой информации, анализировать свои возможности.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.06.2024
Технологический суверенитет: инновации, импортозамещение, кадры
19.06.2024
Мнение: Контроль чужих данных до их безопасной передачи подрывает саму суть шифрования
19.06.2024
Мошенники могут получать ПДн россиян из слитых медицинских баз
19.06.2024
Заходят как-то айтишник, банкир и преподаватель вуза в бар…
18.06.2024
ИИ в «Авроре»? Либо внутри устройства, либо в отечественном «облаке»
18.06.2024
ФНС автоматизирует присвоение налогового резидентства
18.06.2024
Сразу два приложения «Сбера» появилось в App Store. Выбирай мудро
18.06.2024
«При отсутствии просрочек по кредиту человек может ещё и потерять
17.06.2024
Скамерские новинки: «таможенный сбор» и «расследование мошенничества»
17.06.2024
Минэк — о порядке раскрытия данных госведомств для обучения нейросетей

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных