[Информационная безопасность] Отделить зерна от плевел: наши наработки по ранжированию индикаторов компрометации

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
07-Июл-2021 13:33


Время от времени при исследовании продуктовых идей и гипотез наша команда разрабатывает прототипы. У нас есть мнение, что некоторые из них могут быть полезными ИБ-сообществу. Сегодня мы хотим поделиться моделью для ранжирования индикаторов компрометации, которую реализовали на основе исследования «Scoring model for IoCs by combining open intelligence feeds to reduce false positives» Амстердамского университета. Эта модель решает одну из ключевых задач threat intelligence: ранжирование индикаторов компрометации по ряду параметров для того, чтобы выделить из них наиболее опасные и сузить фокус поиска угроз. Модель оперирует достаточно понятными параметрами (коэффициентами), которые используются при расчете:
  • Extensiveness — мера количества взаимосвязей индикаторов компрометации с иными индикаторами и контекстом.
  • Timeliness — мера скорости предоставления данных источником по сравнению с другими источниками.
  • Completeness — полнота данных в источнике относительно общей совокупности данных всех источников.
Помимо этих параметров, есть дополнительный коэффициент, позволяющий учитывать вхождение индикаторов компрометации в списки известных невредоносных ресурсов, коэффициент затухания для регулирования скорости устаревания рейтинга и веса коэффициентов, с помощью которых можно адаптировать модель под свои нужды. Модель видится весьма гибкой и расширяемой — ее достаточно легко дополнить своими коэффициентами.Модель можно рассматривать как академический проект, а можно прикрутить к собственной системе управления TI для того, чтобы рассчитывать в ней репутацию индикаторов компрометации и на основании оценок принимать решения о дальнейших действиях с IoC.Репозиторий с исходным кодом доступен на GitHub. Мы будем рады вашим PR.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_threat_intelligence, #_information_security, #_cybersecurity, #_informatsionnaja_bezopasnost (информационная безопасность), #_kiberbezopasnost (кибербезопасность), #_blog_kompanii_rvision (
Блог компании R-Vision
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 06:57
Часовой пояс: UTC + 5