06.05.2015

Какую информацию рассылает американский FinCERT, он же FS-ISAC?

В США, во многих отраслях есть центры анализа и распространения информации, связанной с информационной безопасностью. Это так называемые Information Sharing and Analysis Center (ISAC). Есть такой центр и в финансовой отрасли - FS-ISAC. У него нет задачи реагировать на инциденты - только анализ и распространение информации, которую члены FS-ISAC могут использовать по своему усмотрению.

Ниже несколько примеров того, что распространяет FS-ISAC по своим членам (Cisco тоже участник, поэтому я сделал несколько скриншотов). Вот так выглядит пример бюллетеня с анализом данных о той или иной угрозе:

Бюллетень с анализом угрозы
А вот в таком видел (в табличке Excel) приходит список IP-адресов, с которых зафиксирована рассылка вредоносного кода или осуществляются атаки, или с ними осуществляется взаимодействия с скомпрометированных узлов:

Списки вредоносных IP-адресов
Вот так выглядит список доменов, распространяющих вредоносный код:

Список вредоносных доменов
А вот так выглядит список адресов, которые были упомянуты в предыдущих рассылках FS-ISCA, но которые "исправились" и которые больше не надо блокировать:

Список "исправившихся" адресов
Как мне кажется, создаваемый сейчас в рамках ГУБЗИ FinCERT, который должен заработать с 1-го июля, должен делать примерно аналогичную работу. По крайней мере примерно в таком ключе обсуждалась роль FinCERTа на магнитогорском форуме в этом году.

ЗЫ. На ожидаемый вопрос, что означает аббревиатура TLP, отвечаю. TLP (Traffic Light Protocol) - это простой протокол, предложенный US CERT, и позволяющий "раскрасить" информацию в 4 "цвета", от которых зависит кому можно передавать информацию об угрозах - всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Это один из стандартов, применяемых при создании своей системы Threat Intelligence.