Los CIRT maduros recopilan información sobre sus atacantes. ¿Qué fuentes y métodos se utilizan para esto?

8

Copié esta pregunta literalmente de un tweet de Dave Hull.
CIRT = Equipo de respuesta a incidentes informáticos

    
pregunta Tate Hansen 20.02.2011 - 21:01
fuente

2 respuestas

1

Entonces: Tiempo bien empleado

Solía ejecutar un IRT en 2000-2002 y en ese momento, la mayor amenaza (percibida) provenía de los guiones de guiones locales.

Usamos pizarras blancas y RDBM sin procesar (sin interfaz gráfica de usuario o aplicación en la parte superior) para rastrear a los individuos, sus apodos, los ataques exitosos conocidos, las afiliaciones de grupo, la rivalidad interna, etc.

Sabíamos mucho más sobre estas personas y lo que habían hecho, de lo que jamás podríamos demostrar ante el tribunal, pero no lo sabían, por lo que fue útil participar a veces en varios canales de IRC. Estimamos que pasamos menos tiempo rastreando y "recordándoles" nuestra existencia de lo que habríamos pasado limpiando después de ellos.

Ahora: consulte sus evaluaciones de riesgo

Aunque en estos días prefiero el sueño regular sobre el IR, sospecho que tiene mucho menos sentido financiero para los equipos de IR corporativos y maduros que rastreen a los atacantes hoy. Muchos atacantes son bandas criminales o equipos de inteligencia ubicados lejos. El tiempo requerido para investigar individuos y establecer enlaces con la LE apropiada se contaría en semanas o meses en lugar de horas o días.

Por lo tanto, no creo que los IRT corporativos reúnan información sobre sus atacantes y, si lo hicieran, probablemente desafiaría su evaluación de riesgos. Me cuesta mucho imaginar un escenario en el que una corporación esté lo menos interesada en gastar dinero en saber quién está tratando de atacarlos.

El análisis de costo / beneficio es obviamente muy diferente para las tiendas de IR comerciales / de alquiler, LE y agencias de inteligencia, pero ninguno de ellos encaja en el término 'CIRT maduro' en mi libro.

    
respondido por el Alex Holst 21.02.2011 - 09:51
fuente
1

No soy miembro de un IRT, pero sí hablé con algunas personas que estaban en BSides / RSA y ciertamente los grupos que están más preocupados por la APT (gente como Beijtlich, Power companies, etc.) parecen gastar una enorme cantidad de recursos en el lado de la investigación.

Algunos puntos de vista diferentes: los profesionales de la seguridad que buscan específicamente protegerse contra APT la tratan como una guerra, y la inteligencia se obtiene de cualquier fuente, incluido el espionaje, por los sonidos de las cosas (aunque se esforzaron en señalar que no se rebajaría a los niveles que algunas potencias extranjeras podrían tener

Para las compañías eléctricas y la infraestructura nacional crítica, la atención se centró más en tratar de obtener una indicación de si se esperaba un ataque en el futuro cercano, por lo que se debe prestar más atención al chat de tipo IRC.

    
respondido por el Rory Alsop 21.02.2011 - 11:41
fuente

Lea otras preguntas en las etiquetas