Парадокс пилота: развенчиваем мифы о фидах Threat Intelligence и проверяем их качество

Привычные средства защиты информации не способны отловить все без исключения угрозы. У каждого СЗИ есть слепые зоны: то, чего оно еще не видело или не умеет распознавать. Одно из решений данной проблемы — это использование фидов Threat Intelligence, которые в режиме 24/7 обогащают такие решения, как SIEM, NGFW, EDR, XDR и другие внешним контекстом — индикаторами компрометации, правилами детектирования и информацией о тактиках атакующих. Но и здесь уже на этапе тестирования фидов неизменно возникает парадокс. Срабатывания при загруженных фидах означают, что в инфраструктуре есть хакеры. Однако их отсутствие может говорить как о «чистоте» системы, так и о кажущейся бесполезности самих фидов. Как отличить одно от другого? И почему количество срабатываний — плохая метрика качества? Ответы — в этой статье. Здесь мы разберем, какую роль фиды выполняют в защите от киберугроз, откуда берутся данные для них, почему открытых источников для получения фидов всегда недостаточно и зачем пользоваться потоками данных сразу от нескольких вендоров. Параллельно мы развенчаем три самых распространенных мифа о фидах, а самое главное — разберем, как их тестировать, чтобы пилот «полетел» как надо.