В США, во многих отраслях есть центры анализа и распространения информации, связанной с информационной безопасностью. Это так называемые Information Sharing and Analysis Center (ISAC). Есть такой центр и в финансовой отрасли -
FS-ISAC. У него нет задачи реагировать на инциденты - только анализ и распространение информации, которую члены FS-ISAC могут использовать по своему усмотрению.
Ниже несколько примеров того, что распространяет FS-ISAC по своим членам (Cisco тоже участник, поэтому я сделал несколько скриншотов). Вот так выглядит пример бюллетеня с анализом данных о той или иной угрозе:
|
Бюллетень с анализом угрозы |
А вот в таком видел (в табличке Excel) приходит список IP-адресов, с которых зафиксирована рассылка вредоносного кода или осуществляются атаки, или с ними осуществляется взаимодействия с скомпрометированных узлов:
|
Списки вредоносных IP-адресов |
Вот так выглядит список доменов, распространяющих вредоносный код:
|
Список вредоносных доменов |
А вот так выглядит список адресов, которые были упомянуты в предыдущих рассылках FS-ISCA, но которые "исправились" и которые больше не надо блокировать:
|
Список "исправившихся" адресов |
Как мне кажется, создаваемый сейчас в рамках ГУБЗИ FinCERT, который должен заработать с 1-го июля, должен делать примерно аналогичную работу. По крайней мере примерно в таком ключе
обсуждалась роль FinCERTа на магнитогорском форуме в этом году.
ЗЫ. На ожидаемый вопрос, что означает аббревиатура TLP, отвечаю. TLP (Traffic Light Protocol) - это простой протокол, предложенный US CERT, и позволяющий "раскрасить" информацию в 4 "цвета", от которых зависит кому можно передавать информацию об угрозах - всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Это один из стандартов,
применяемых при создании своей системы Threat Intelligence.
0 коммент.:
Отправить комментарий