1️⃣0️⃣ Топ3 источников TI не существует - все очень условно и зависит от множества факторов. Но на Github можно найти подборки таких источников и посмотреть, насколько они релевантны для вас.
1️⃣1️⃣ Загружать фиды в SIEM или средства защиты (XDR, NGFW, IDS и т.п.) можно, но возникает вопрос производительности. Хотя в эфире участвовали два производителя SIEM и от них услышать такое было интересно. Лучше загружать все в TIP, к которой и будет обращаться тот же SIEM или иные средства защиты для обогащений событий ИБ. Интеграции у большинства TIP (даже российских), в-основном, с зарубежными средствами защиты. С отечественными мало кто пока интегрируется - спроса нет. Но у многих есть либо API, либо собственные службы внедрения, которые могут провести доработку решения и написать нужный коннектор (если у интегрируемого решения тоже есть API, что для российских средств защиты возможно далеко не всегда). Но по опросу зрителей, большинство (12%) загружают бесплатные фиды напрямую в средства защиты. 10% просто читают бюллетени и заносят оттуда индикаторы в средства защиты. 7% используют бесплатные TIP. Еще 12% используют коммерческие TIP, а 9% и вовсе написали свою собственную платформу TI.
1️⃣2️⃣ TI нужен далеко не всем. Нужно дозреть и до того, что средства защиты видят далеко не все. И до того, что пассивные средства ИБ (NGFW, IDS, VM и т.п.) - это вчерашний день и нужна средства активной защиты, которые подразумевают наличие аналитиков ИБ. А аналитики ИБ - это вообще штучный товар; их нигде не готовят, они много получают. Если компания и дозревает до TI, то сначала до технического, потом до тактического. Операционный и стратегический нужны далеко не всем и не всегда.

Остальные тезисы можно посмотреть в записи эфира, которая выложена на https://www.youtube.com/watch?v=dMcL-OpbqYE

Спасибо за участие Александру Мазикин (Лаборатория Касперского), Никите Вдовушкину (BI.ZONE), Антону Соловей (R-Vision), Алексею Новикову (Positive Technologies), Артему Мелехину (Мегафон), Илье Осадчему (Тайгер Оптикс) и Дмитрию Волкову (Group-IB), а также за приглашение Илье Шабанову и Катерине Бузаевой.

Все о безопасности на конференции Yandex Scale

Скоро состоится ежегодная большая конференция про облачные технологии и мы хотим познакомить вас ближе с её основными направлениями.

Направление Security: доклады на эту тему будут связаны с вопросами безопасности в облаке. Например, как распределяется ответственность между клиентом и провайдером, какие наиболее частые ошибки совершают пользователи и как избежать инцидентов информационной безопасности.

Подробная программа конференции →

#yacloud_events

Знакомьтесь, Mannus Gott! Это новая банда, работающая в формате datamarketplace, участники которой по факту админят веб-аукцион Marketo.

В отличие от вымогателей Marketo проникает в компании, крадет их данные, а затем угрожает их слить, требуя выкуп. Ориентированы на организаций из США и Европы в сфере товаров и услуг, а также организаций в сфере здравоохранения и технологий. Утечки организуются почти каждую неделю.

Прибегая к тактике двойного вымогательства, хакеры сливают образцы украденных данных конкурентам клиентам и партнерам компании, чтобы оказать максимальное давление на жертву, публикуют образцы украденных сведений в качестве публичных пруфов.

В случае отсутствия оплаты значимые сведения размещаются на сайте утечки Marketo. Данные распродаются на скрытом аукционе путем «слепых» торгов, когда игроки делают ставки на основе своих оценок стоимости информации.

Примечательно, что помимо типового для подобных сайтов содержимого, ресурс включает раздел "Атаки" с указанием реализующихся в моменте атак на конкретные компании. Переговоры о выкупе ведутся в отдельном чате, доступ предоставляется по ссылке.

Кроме того, опционально разработан раздел обратной связи с прессой. Ведь пиар являются важной составляющей в работе таких «вымогателей», в мае они инициативно связывались с представителями СМИ и инфосек именно для этих целей.

Первыми активность задетектиили Digital Shadows Photon в апреле 2021 года. Как отмечают специалисты, Marketo за столь короткий промежуток времени смогли заработать высокую репутацию торговцев данными в даркнете.

К слову о репутации, среди последних клиентов Marketo представлены такие как гиганты как Fujitsu, Puma, Siemens, GigaTribe и др.

Похоже, что datamarketplace постепенно начинают отжимать бюджеты у ransomware, такая тактика обеспечивает хакерам заработки без вмешательства в работу какой-либо инфраструктуры.

Другое дело, если предметом торга станут данные госорганов или особо важных компаний - но это уже другая история и она уже не нова.

CISA Adds Single-Factor Authentication to List of Bad Practices

https://www.hstoday.us/federal-pages/dhs/cisa-adds-single-factor-authentication-to-list-of-bad-practices/

NIST has published for public comment a preliminary draft of Volume B of SP 1800-34, Validating the Integrity of Computing Devices

https://www.nccoe.nist.gov/webform/comments-preliminary-draft-practice-guide-1800-34-volume-b

Реализация этой инициативы Байдена может иметь заметное влияние на ИБ домашних пользователей по всему миру

https://www.nist.gov/news-events/events/2021/09/workshop-cybersecurity-labeling-programs-consumers-internet-things-iot