[Информационная безопасность] Отделить зерна от плевел: наши наработки по ранжированию индикаторов компрометации
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Время от времени при исследовании продуктовых идей и гипотез наша команда разрабатывает прототипы. У нас есть мнение, что некоторые из них могут быть полезными ИБ-сообществу. Сегодня мы хотим поделиться моделью для ранжирования индикаторов компрометации, которую реализовали на основе исследования «Scoring model for IoCs by combining open intelligence feeds to reduce false positives» Амстердамского университета. Эта модель решает одну из ключевых задач threat intelligence: ранжирование индикаторов компрометации по ряду параметров для того, чтобы выделить из них наиболее опасные и сузить фокус поиска угроз. Модель оперирует достаточно понятными параметрами (коэффициентами), которые используются при расчете:
- Extensiveness — мера количества взаимосвязей индикаторов компрометации с иными индикаторами и контекстом.
- Timeliness — мера скорости предоставления данных источником по сравнению с другими источниками.
- Completeness — полнота данных в источнике относительно общей совокупности данных всех источников.
Помимо этих параметров, есть дополнительный коэффициент, позволяющий учитывать вхождение индикаторов компрометации в списки известных невредоносных ресурсов, коэффициент затухания для регулирования скорости устаревания рейтинга и веса коэффициентов, с помощью которых можно адаптировать модель под свои нужды. Модель видится весьма гибкой и расширяемой — ее достаточно легко дополнить своими коэффициентами.Модель можно рассматривать как академический проект, а можно прикрутить к собственной системе управления TI для того, чтобы рассчитывать в ней репутацию индикаторов компрометации и на основании оценок принимать решения о дальнейших действиях с IoC.Репозиторий с исходным кодом доступен на GitHub. Мы будем рады вашим PR.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка игр, Игры и игровые приставки] От жёсткого диска на антресолях до Ransomware: как утекает исходный код игр
- [Информационная безопасность, Законодательство в IT] «ЦИАН» запустил прослушку пользователей
- [Информационная безопасность, Законодательство в IT, IT-компании] Twitter потерял иммунитет в Индии
- [Информационная безопасность, Спортивное программирование, IT-инфраструктура, Конференции] Защищаем кибергород с PT Application Firewall: полезные правила для обнаружения хакеров
- [Информационная безопасность, Финансы в IT] Банки заявили о росте кибератак на свои системы
- [Информационная безопасность] Как Россия поднялась на 5 место в «международном индексе кибербезопасности»
- [Информационная безопасность, Конференции, Социальные сети и сообщества] Конференция RSA извинилась за твит с призывом усилить безопасность протокола TCP/IP блокчейном
- [Информационная безопасность, Криптография, IT-компании] Операторы криптовымогателя REvil потребовали $ 70 млн выкупа
- [Информационная безопасность, Исследования и прогнозы в IT] InfoWatch: доля умышленных утечек персданных в РФ превышает мировую
- [Информационная безопасность, Социальные сети и сообщества] Социальную сеть сторонников Трампа Gettr взломали в день запуска
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_threat_intelligence, #_information_security, #_cybersecurity, #_informatsionnaja_bezopasnost (информационная безопасность), #_kiberbezopasnost (кибербезопасность), #_blog_kompanii_rvision (
Блог компании R-Vision
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 00:53
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Время от времени при исследовании продуктовых идей и гипотез наша команда разрабатывает прототипы. У нас есть мнение, что некоторые из них могут быть полезными ИБ-сообществу. Сегодня мы хотим поделиться моделью для ранжирования индикаторов компрометации, которую реализовали на основе исследования «Scoring model for IoCs by combining open intelligence feeds to reduce false positives» Амстердамского университета. Эта модель решает одну из ключевых задач threat intelligence: ранжирование индикаторов компрометации по ряду параметров для того, чтобы выделить из них наиболее опасные и сузить фокус поиска угроз. Модель оперирует достаточно понятными параметрами (коэффициентами), которые используются при расчете:
=========== Источник: habr.com =========== Похожие новости:
Блог компании R-Vision ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 00:53
Часовой пояс: UTC + 5