На конференции обсудим, как киберразведка (Threat Intelligence) помогает в условиях целевых атак. Как на практике должен выстраиваться эффективный процесс киберразведки на предприятии. Какие данные, инструменты и сервисы для этого необходимы.
Мы расскажем, как автоматизировать процесс киберразведки и что для этого потребуется. Как использовать специализированные платформы и сервисы киберразведки, какие они бывают и чем отличаются.
Ключевые вопросы дискуссии:
- Цель: показать важность Threat Intelligence в условиях целевых атак
- Что такое киберразведка и чем она полезна в условиях целевых атак?
- Для каких компаний особенно важна киберразведка?
- Какие типы TI наиболее востребованы и для чего?
- Какой набор источников рекомендуется использовать для хорошего Threat Intelligence?
- Что собой представляют Threat Intelligence Feeds? Есть ли для них какие-то стандарты?
- Многие зарубежные поставщики TI ушли из России. Как это отразилось на качестве и полноте данных?
- Как TI позволяют бороться с еще неизвестными атаками? И какая связь с MITRE ATT&CK?
- Как Threat Intelligence связан с Threat Hunting?
- Какие составляющие процесса киберразведки можно купить в виде сервиса, а что точно придется строить внутри компании?
- Практика использования платформ и сервисов Threat Intelligence
- Какие источники фидов хорошо покрывают Россию и страны СНГ?
- Сколько источников фидов считается нормой?
- Можно ли построить TI на бесплатных фидах и других источниках информации?
- Как проверить качество данных TI, например, фидов? Как отсекать полезные фиды от шума?
- Как бороться с фолсами? И какой уровень фолсов считать допустимым?
- Как быстро устаревают данные TI? Как бороться с неактуальными фидами?
- Насколько полезны фиды от ФинЦЕРТа и ГосСОПКИ? Поспевают ли они за хакерами?
- Как можно обогащать фиды контекстом?
- Зачем изучать кампании и почему нельзя ограничиваться только индикаторами и TTP?
- Как обрабатывать неструктурированную информацию, например, публикации соцсетях или блогах исследователей?
- Что лучше использовать при описании TTP: MITRE ATT&CK или ТТУ от ФСТЭК, может, что-то еще?
- Сколько людей требуется для организации процесса киберразведки на предприятии? И какова должна быть их квалификация?
- Как автоматизировать процесс киберразведки?
- Действительно ли так нужна TI-платформа или можно напрямую получать фиды в SIEM или средства защиты?
- Как измерить эффективность процесса киберразведки?
- Каков необходимый технический набор средств для киберразведки разных уровней?
- Чем отличается функциональность российских платформ Threat Intelligence?
- Каковы критерии выбора TI-платформ? На что обратить внимание?
- Тренды и прогнозы развития рынка
- Как будет развиваться TI в ближайшие 2-3 года?
- Как будут развиваться возможности киберразведки? Проводить ее станет проще или киберпреступники сведут на нет этот процесс?
- Сформируется ли в России отдельный рынок платформ Threat Intelligence?
Приглашенные эксперты:
Дмитрий Шестаков Руководитель департамента киберразведки, Group-IB |
|
Никита Назаров Руководитель команды Threat Intelligence, «Лаборатория Касперского» |
|
Иван Чувилин Руководитель отдела поддержки продаж, R-Vision |
|
Денис Кувшинов Руководитель отдела исследования угроз информационной безопасности экспертного центра безопасности, Positive Technologies |
|
Николай Арефьев Сооснователь RST Cloud |
Модераторы:
Лев Палей Начальник службы информационной безопасности АО «СО ЕЭС» |