risk intelligence что это
Risk Intelligent – методология анализа рисков
Михаэль ван Халштайн – директор Deloitte Risk Advisory – консалтинговой практики Deloitte в Казахстане. Начал свою карьеру в Deloitte Risk Advisory в Амстердаме и имеет 12-летний опыт поддержки международных компаний по вопросам управления рисками, внутреннему контролю, управлению IT и кибербезопасности.
Сауле Медетова – старший менеджер с более чем 10-летним опытом работы в Deloitte в сфере финансовых услуг.
КАК ПОЯВИЛАСЬ МЕТОДОЛОГИЯ RISK INTELLIGENT
Традиционно во многих организациях отделы управления рисками, если таковые имеются, действуют как автономные подразделения. Они ответственны за выявление и управление так называемыми «невознаграждаемыми» рисками, например, такими как комплаенс-риски (риски применения юридических санкций или санкций регулятора) и риски искажения финансовой отчетности в целях защиты текущей стоимости организации. Взаимодействие таких департаментов с топ-менеджментом часто бывает ограниченным до тех пор, пока не произойдет крупный инцидент.
В результате того, что организации не смогли вовремя определить и отреагировать на риски (включая так называемые «отдаленные» риски, которые привели к финансовому кризису 2008 года), организации пришли к выводу, что необходимо становиться Risk Intelligent. Такая организация способна не только сохранять свою текущую стоимость, но и увеличивать свою стоимость в долгосрочной перспективе, эффективно распределяя ресурсы и поддерживая систему принятия стратегических решений, которые основаны на полном и своевременном понимании рисков всей организации.
В ЧЕМ СУТЬ ПОДХОДА?
Методология Risk Intelligence основана на девяти основополагающих принципах, разделенных на три уровня: управление рисками, инфраструктура рисков и владение рисками. Важной характеристикой этого подхода является внедрение системы выявления и мониторинга ключевых рисков. Организации могут использовать эту систему для создания модели прогнозируемого риска, тем самым способствуя принятию стратегических решений и эффективному и своевременному распределению финансовых ресурсов в нужных направлениях.
Эта методология была разработана глобальным консалтинговым офисом Deloitte
более семи лет назад. За эти годы на практике было доказано, что она может быть успешно использована для поддержки организаций по всему миру, включая страны СНГ и Казахстан в их стремлении стать более «Risk Intelligent».
КЕЙС: КРУПНЫЙ МЕЖДУНАРОДНЫЙ ОПЕРАТОР СОТОВОЙ СВЯЗИ
*название клиента Deloitte не раскрывается по правилам соглашения о конфиденциальности
В результате внутренней реструктуризации крупный международный оператор мобильной связи переместил свою штаб-квартиру в центр Европы. Новая штаб-квартира была основана как стратегический центр, с намерением централизации ряда функций, включая управление рисками и внутренний контроль. Deloitte поддержал компанию в процессе создания отдела управления рисками (ERM), в разработке последовательного подхода к управлению рисками и внедрении его в различных бизнес-подразделениях компании по всему миру.
В первую очередь консультанты провели оценку текущего состояния системы управления рисками в масштабах всей группы по методологии Risk Intelligent. Результаты анализа были использованы для разработки глобальной системы управления рисками, определения структуры управления, политики и процессов, ролей и обязанностей, допустимых пределов рисков, ключевых показателей рисков, мониторинга и отчетности.
В результате была создана глобальная структура управления рисками в масштабах всей группы, которая благодаря использованию автоматизированных инструментов (таких как SAP GRC, аналитика данных и информационные панели) оказалась способна отслеживать ключевые риски в бизнес-единицах по всему миру. Это обеспечило лучшее понимание потенциальных рисков и поддержку для высшего руководства в процессе принятия решений.
КАКИМ КОМПАНИЯМ МОЖНО ИСПОЛЬЗОВАТЬ МЕТОДОЛОГИЮ?
На данный момент методология используется преимущественно финансовыми и нефтегазовыми компаниями. Организации в сфере финансовых услуг традиционно более продвинуты в своих методах управления рисками, особенно в области моделирования финансовых рисков. В нефтяной и газовой промышленности некоторые крупные компании начали создавать структуры для анализа рисков, фокусируясь на рисках мошенничества.
Многие компании разработали политику управления предприятиями и стратегическими рисками и начали устанавливать «уровни аппетита» к рискам и лимиты рисков. Постоянный мониторинг и прогнозирование в большинстве организаций по-прежнему сосредоточены в основном на финансовых рисках. Однако все больше компаний, в том числе в Казахстане, начали работать над улучшением своего управления, над операционными и стратегическими рисками, распространяя и там мониторинг и прогнозы посредством таких инструментов как SAP и GRC.
В будущем мы ожидаем, что еще больше организаций получат доступ к качественным и интегрированным базам данных на основе таких интегрированных IT-систем, как SAP и другие. Это обеспечит про-активный и своевременный мониторинг и прогноз рисков, и будет способствовать достижению целей компаний стать “Risk Intelligent”.
Исследование международного рынка финансовых услуг, сделанное Deloitte в 2017 году, показывает, что внедрение программ управления рисками предприятий (ERM) имеет тенденцию роста: в 2006 году 35% опрошенных Deloitte компаний использовали программы управления рисками, а в 2016 году – уже 73%. Кроме того, еще 13% учреждений заявили, что они в настоящее время внедряют программу ERM, а 6 % – что планируют ее создать.
ЧТО НУЖНО УЧЕСТЬ ПРИ ВНЕДРЕНИИ
Для эффективной работы большинства методологий, и в том числе Risk intelligence, важно, чтобы она проникала во все уровни, включая высшее руководство, и была интегрирована с корпоративной культурой, процессами и системами.
Даже если адекватные процессы в области рисков уже налажены, управление рисками не может быть эффективным, если высшее руководство не воспринимает департамент управления рисками как стратегический фактор, влияющий на стоимость компании, а также поддерживающий компанию в области управления рисками. Отсутствие этого понимания обычно ведет к тому, что управление не получает достаточной поддержки со стороны руководства. На практике так случается из-за того, что эти управления готовят чрезмерно сложные отчеты по рискам, или не включают в них информацию, необходимую руководству.
Многие сложности внедрения системы управления рисками являются результатом чрезмерной сфокусированности на теоретических моделях или передовой международной практике. При том проекты и модели не согласуются с уровнем развития конкретной компании, потребностями управления и доступными ресурсами (людьми, системами или данными). Практическим примером таких ловушек является тенденция среди компаний, сосредотачиваться только на количественной оценке рисков: допустимых «аппетитах» к рискам и лимитах риска в финансовых показателях. В то же время другие – операционные – показатели могут лучше подходить для мониторинга или создания модели прогнозирования. И, само собой разумеется, для прогнозирования модели риска необходимы доступные и легко интегрирущиеся данные.
Внедрение любой методологии значительно влияет на компанию и должно быть адаптировано к конкретной среде, уровню развития бизнеса, его организационной структуре и т.д. Заявив о новых подходах в работе, руководитель должен всегда им следовать и иметь поддержку других управленцев.
Всем организациям без исключения, особенно с долгосрочными задачами, следует внедрять какие-то практики управления рисками, особенно, если они хотят повысить долгосрочную стоимость своих акций принимать правильные стратегические решения в перспективе.
КЕЙС: КРУПНАЯ КАНАДСКАЯ СТРАХОВАЯ КОМПАНИЯ
*название клиента Deloitte не раскрывается по правилам соглашения о конфиденциальности
Страховая компания хотела улучшить свою систему управления рисками по ряду причин:
— Недавно был назначен новый директор по управлению рисками, у которого не было большого опыта. Компании по-прежнему не хватало последовательного подхода (на уровне всей организации) к активному выявлению, оценке, управлению и созданию отчетов по важным финансовым и нефинансовым рискам. Это привело к тому, что Совет директоров не был уверен в адекватности принимаемых стратегических и операционных бизнес-решений.
— Компания проводила трансформацию своего бизнеса, чтобы повысить эффективность и конкурентоспособность. В этом контексте компания признала, что надежная и выстроенная структура управления рисками ей необходима, чтобы возвращать вложенные инвесторами средства и лучше распределять капитал. Deloitte оказал поддержку в разработке практики управления рисками и капиталом по методологии Risk Intelligence. Главное, чего хотели добиться консультанты, чтобы в итоге страховая компания могла определять, оценивать и сообщать о ситуации с важными финансовыми и нефинансовыми рисками на всех ее уровнях.
В работе использовался последовательный подход в масштабе всей страховой компании, включавший в себя организационную структуру, инструменты, шаблоны, процессы и понимание рисков. Это сформировало у менеджмента компании четкое представление о возможных и существующих рисках, позволило создать систему их отслеживания и разработать механизмы реагирования на них.
Smart Curation of Critical Risk News & Market Information
Knowledge-Sharing Events Featuring Experts from Our Network
Practical perspectives on emerging risk issues from top experts in their fields sharing insights, best practices, and actionable strategies.
Ongoing Risk Monitoring to Stay Ahead of Key Issues
Diagnose and monitor systemic risks with the new Risk Tracker, including proprietary analysis of the risks associated with COVID-19, CyberCrime, Data Privacy, Financial Crime, ESG-Social, U.S./China Relations, and theFuture of Hong Kong.В Efficiently assess a particular risk, monitor its trend line and key events over time, and map its potential impact on your business.
Risk Screening and Visualization Tools to efficiently screen and analyze emerging risks
“The field of security has become central to how we manage business risk. RANE provides needed guidance, answers, and help, supporting us in evaluating risks in everything we do. Add them to your team –the payback will be immediate.”
CLIENT CHIEF ADMINISTRATION OFFICER
Request a Free Trial of Risk Intelligence!
We’ll walk through the platform to show you how our analytical capabilities can make you better prepared to do your job.
Threat Intelligence (Киберразведка)
Руслан Рахметов, Security Vision
В ранее опубликованной статье, посвященной индикаторам компрометации, мы обсудили виды и типы индикаторов компрометации (Indicators of Compromise, IoC), которые используются в такой сфере кибербезопасности, как киберразведка (CyberThreat Intelligence, сокращают часто CTI или просто TI, от Threat Intelligence). В данной статье мы обсудим, что такое TI, как и зачем применять методы киберразведки, какую пользу получит бизнес от использования технологии threat intelligence. Приступим!
Итак, сам термин киберразведка появился путем перевода англоязычного словосочетания cyberthreat intelligence, который стал популярен примерно 10-12 лет назад. Именно тогда западные ИБ-вендоры стали активно публиковать свои отчеты о некоторых хакерских киберпреступных APT-группировках (Advanced Persistent Threat, буквально «продвинутая постоянная угроза») и кибероперациях, которые они проводили. В то время общее количество зарегистрированных APT-групп не превышало 2-3 десятков (по некоторым данным, на сегодняшний день их уже несколько сотен), и эксперты-аналитики присваивали им порядковые номера, например APT-1 или APT-12 (список группировок, не претендующий на полноту, приведен на сайте проекта MITRE ATT&CK ). По мере исследования различных сложных кибератак у экспертов сформировалось убеждение в том, что для осуществления успешной атаки APT-группировки должны обладать не только ресурсами, но и определенным опытом и наработками. Так, они должны владеть информацией об ИТ-инфраструктуре атакуемой компании и используемом ПО и средствах защиты, а также разработать или приобрести «рабочие» эксплойты под уязвимости, которые планируют эксплуатировать при атаке. Кроме того, предварительно должны быть настроены хакерские Command&Control-серверы (C&C или C2), которые принимают информацию с зараженных компьютеров и контролируют их с помощью отправляемых атакующими команд, а также должны быть разработаны шаблоны фишинговых писем, с которых как правило и начинаются такие атаки, причем для увеличения вероятности «пробива», т.е. успешного открытия фишингового письма невнимательным пользователем, злоумышленники должны изучить особенности ведения документопроизводства в конкретной компании и обладать списком валидных email-адресов сотрудников компании, по которым будет осуществлена рассылка.
Разумеется, средства киберразведки не являются «серебряной пулей» от всех угроз, и нельзя переоценивать возможности лишь одного их аспектов выстраивания системы управления ИБ. Например, следует учитывать возможные ошибки ложной атрибуции, когда APT-группировки намеренно меняют элементы своей атаки и методы взлома, чтобы ввести в заблуждение системы ИБ и аналитиков, которые могут неверно атрибутировать произошедшую кибератаку с другой группировкой. Также следует учитывать возможность перепродажи доступа к взломанной инфраструктуре, когда APT-группировка, которая никогда «не работала» в вашей сфере экономики, всё же успешно осуществляет атаку и решает перепродать украденные учетные данные вашей инфраструктуры уже более заинтересованной в вашей деятельности кибергруппировке. Также атакующие могут нарочно пустить киберразведку по ложному следу: осуществить попытку взлома с использованием легко обнаруживаемого инструментария, попутно проводя скрытную вторую атаку, которая может остаться незамеченной на фоне «быстрой победы» над первой, отвлекающей.
Тест на интеллект для Threat Intelligence
То, что порой выдается за Threat Intelligence, не всегда на самом деле можно с чистой совестью назвать этим термином. Рассказываем, как понять, сможет ли предлагаемое решение защитить ваш бизнес.
В наши дни далеко не все предложения на рынке реально соответствуют ожиданиям клиента и приносят пользу. Может оказаться, что заказанный вами предмет интерьера в действительности годится разве что для кукольного домика.
С данными о киберугрозах может быть то же самое. На рынке представлено множество решений, которые позиционируются как Threat Intelligence, но в реальности являются чем-то иным. И клиент может даже не понять, что получил совсем не то, что просил. Как же проверить, насколько адекватна получаемая вашей компанией информация?
Threat Intelligence — это уже проанализированные данные
Суть Threat Intelligence в идентификации и анализе киберугроз, нацеленных на ваш бизнес. Ключевое понятие здесь — анализ: прежде чем информация будет доставлена клиенту, потребуется перелопатить горы данных, выявить реальные угрозы, изучив контекст, и создать решение для конкретных проблем.
Threat Intelligence часто путают с сырыми данными об угрозах, представляющими собой всего лишь список возможных угроз без учета контекста и подбора подходящих контрмер.
Данные Threat Intelligence должны приносить практическую пользу ИБ-специалистам
Когда-то данные об угрозах ограничивались списками опасных IP-адресов и URL. Первые защитные решения просто сверялись с ними и предупреждали пользователей об опасности. Со временем объемы необходимых для защиты данных выросли. Стало гораздо труднее определять, что действительно является угрозой, а что нет.
Некоторые продукты, позиционируемые как Threat Intelligence, предоставляют потоки данных об угрозах и индикаторы компрометации без сопровождающего контекста. Фактически это огромные массивы необработанных данных.
В этом и заключается проблема. Если в ваших системах безопасности будут использоваться такие данные, возникнет слишком много ложноположительных срабатываний. Чрезмерное количество уведомлений снизит бдительность и эффективность ИБ-специалистов и негативно повлияет на безопасность организации в целом. Так что горы необработанных и неструктурированных сырых данных по существу не являются даже полезной информацией, не говоря уже о Threat Intelligence.
И как бы актуальна ни была информация, она ничем не поможет защите компании без учета контекста, на базе которого следует предпринять конкретные шаги. С помощью настоящих данных Threat Intelligence ИБ-специалисты могут остановить опасную атаку на ранней стадии и защитить сеть организации или же, напротив, понять, что в данном случае они имеют дело с обычным вредоносным ПО, не представляющим серьезной угрозы.
Данные Threat Intelligence дают возможность предсказывать будущее
Данные Threat Intelligence могут повысить скорость обнаружения и эффективность реагирования на угрозы, тем самым существенно снижая возможный ущерб. Но польза Threat Intelligence напрямую зависит от качества используемых источников данных. Аналитик информационной безопасности может получить значительно более объективную картину, если используется большое количество доверенных источников для сопоставления и обогащения получаемой информации. Решения, предоставляющие только информацию об угрозах без сопроводительного контекста, который помогает правильно приоритизировать инциденты и определять необходимые дальнейшие действия, недостаточны для обеспечения нормальной защиты. Если же качество данных невысоко из-за нехватки таких источников (например, без учета информации из даркнета или отсутствия доступа к международной информации), ее тем более нельзя считать Threat Intelligence. С ее помощью не получится действовать проактивно, предсказывать, с какими опасностями может столкнуться ваш бизнес и как им противостоять.
Данные Threat Intelligence должны адаптироваться к реалиям вашей организации
Данные Threat Intelligence должны быть адаптированы к потребностям конкретной компании. Для эффективной работы в организации необходимо в первую очередь настроить процессы сбора данных вокруг критических ресурсов. И только потом эти внутренние сведения должны сопоставляться с внешними данными Threat Intelligence для выявления реальных угроз. При отсутствии такого комплексного подхода не получится обеспечить приоритизацию информации, необходимую для защиты ваших ключевых ресурсов.
Данные Threat Intelligence должны быть основой для действий
Получаемые данные об угрозах должны становиться средством для эффективных ответных действий. Для максимальной эффективности компании должны уметь работать как с машиночитаемыми, так и с адаптированными для понимания человеком данными. Методы доставки данных и их форматы должны легко интегрироваться в существующие ИБ-процессы.
Данные Threat Intelligence должны представлять собой уникальные сведения о новых угрозах, при помощи которых ИБ-специалисты могли бы приоритизировать сигналы с защитных решений, оперативно выделять необходимые ресурсы и быстро принимать решения. Ваше решение удовлетворяет этим критериям? Если нет, самое время задуматься о чем-то более полезном.
«Лаборатория Касперского» предлагает сервисы Kaspersky Threat Intelligence, которые адаптируются к потребностям вашей компании и снабжают ваших ИБ-специалистов необходимыми данными для быстрого и точного реагирования на киберугрозы.
Погружение в Threat Intelligence: кому и зачем нужны данные киберразведки
Привет! Меня зовут Антон, я владелец продукта R-Vision Threat Intelligence Platform (TIP). От создания первых прототипов решения до реализации пилотных проектов по его внедрению прошло уже более трех лет, и мне захотелось поделиться накопленным опытом и набитыми шишками с сообществом. Поэтому я решил выпустить серию статей по теме threat intelligence, показать, что это понятие действительно существует как практика и как процесс, а не только как модное веяние, принесенное Gartner и витающее в воздухе любой конференции по информационной безопасности.
Рассказывать буду о различных аспектах TI, проведу параллели и аналогии с нашим продуктом и продуктовыми решениями, затрону альтернативные решения, не обойду вниманием и open-source решения. В первом посте поделюсь своим видением того, что представляет собой TI. Поехали!
Кому и когда нужны данные threat intelligence?
Достаточно сложно кратко объяснить, что такое threat intelligence, так как многое зависит от контекста, в котором употребляется термин: это может быть как процесс, так и действие. Есть ряд устоявшихся академических терминов, например, от Gartner и SANS Institute.
Определения TI
Cyber threat intelligence is knowledge about adversaries and their motivations, intentions, and methods that is collected, analyzed, and disseminated in ways that help security and business staff at all levels protect the critical assets of the enterprise (Threat intelligence — знания о мотивах, намерениях и методах злоумышленников, собираемые, анализируемые и распространяемые с целью помочь ИБ-специалистам и менеджменту на всех уровнях защищать критические активы организации).
Definitive Guide to Cyber Threat Intelligence
Threat intelligence is evidence based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard» (Threat intelligence — это основанные на фактических данных знания о существующих или возможных угрозах, которые включают контекст, механизмы, индикаторы, последствия, практические рекомендации и могут быть использованы для принятия решений по реагированию).
Gartner, McMillan (2013) from Tactics, Techniques and Procedures (TTPs) to Augment Cyber Threat Intelligence (CTI): A Comprehensive Study
The set of data collected, assessed and applied regarding security threats, threat actors, exploits, malware, vulnerabilities and compromise indicators (Набор данных, собранных, оцененных и примененных в отношении угроз безопасности, субъектов угроз, эксплойтов, вредоносных программ, уязвимостей и индикаторов компрометации).
Мы же в R-Vision предпочитаем более практический и приземленный подход, поэтому ниже я постараюсь развернуть мысль.
Потребность в «разведывательных данных» — это следствие развития отрасли информационной безопасности, изменения ее уровня зрелости в положительную сторону. Приведу пример: представьте, что некий стартап N выстреливает, гипотеза ценности его продукта подтверждается, продукт (услуга) начинает продаваться, и организация растет. Сначала в организации нет никакой информационной безопасности, всем рулит один админ, нередко — приходящий. Но с ростом компании в ней появляется отдел ИТ. Увеличивается численность сотрудников. На рабочих станциях и серверах появляется антивирус, а в сети — межсетевые экраны. Идет время, организация успешно развивается, масштаб уже превышает 1000 человек. Формируется потребность в выделении функции обеспечения информационной безопасности, так как для ИТ это зачастую непрофильная работа. Появляется отдел информационной безопасности. Бизнес растет, продуктовый портфель расширяется, организация поглощает несколько более мелких игроков рынка. Отдел ИБ растет, оптимизирует и стандартизирует функции, выделяет специальные структуры для их выполнения: эксплуатация и поддержка средств защиты, реагирование на инциденты, управление уязвимостями, аудит и обеспечение соответствия требованиям регуляторов… Продолжать можно долго. Важно, что где-то на этом этапе, может быть, даже раньше (но чаще — позже), организация начинает учитывать риски ИБ наравне с другими. Отделу ИБ с внутренней стороны нужно быть осведомленным об актуальных угрозах и уметь приоритизировать их, а с внешней стороны — предоставлять всем заинтересованным стейкхолдерам от бизнеса информацию о рисках и возможных угрозах на понятном языке. TI может помочь с этим.
Пример выше может показаться громоздким и нежизненным, но я лишь хотел показать, с какого момента TI может быть интересен организациям и организациям какого масштаба. Наша практика показывает, что TI начинают интересоваться с момента построения процесса реагирования на инциденты либо при построении собственного SOC (Security Operations Center). Также TI — это хлеб для провайдеров услуг ИБ (MSSP/MDR). В принципе, TI могут пользоваться даже самые небольшие организации, но им обычно просто не до этого, так как развитие бизнеса — главное на этапе начального роста. Еще одна причина: уровень решений для сбора данных TI и организации процесса работы с ними обычно требует выделения человеческих и материальных ресурсов. Иными словами, сегодня TI интересен в основном либо крупным организациям, либо организациям, которые специализируются на предоставлении услуг по аутсорсингу процессов ИБ.
Как данные threat intelligence помогают решать задачи ИБ, и зачем нужна платформа TI
Threat intelligence — это специфические знания, которые позволяют понимать текущие угрозы, их влияние на организацию или отрасль, сферу деятельности, помогают управлять рисками и принимать стратегические решения. Если обобщить, то они дают возможность:
Повысить осведомленность об угрозах и более адекватно подбирать защитные меры, подходящие под релевантный для организации ландшафт угроз (с учетом специфики ее деятельности/сектора экономики, индустрии).
Повысить качество обнаружения и реагирования на угрозы как проактивно, так и реактивно.
Платформа threat intelligence — это система для управления такими знаниями. Для наглядности давайте сравним ее с агрегатором данных наподобие RSS-ридера. У RSS-ридера довольно простая задача — собрать статьи, сохранить их и предоставить пользователю для чтения. Платформа TI же должна не только собирать данные, но и давать возможность исследовать полученные сущности, взаимосвязи между ними для понимания картины атаки, развития вредоносного заражения, определения схожих черт различных вредоносных кампаний и группировок, атрибуции атак и аналогичных аналитических задач, в том числе автоматических.
Зачем это может быть нужно? Источников данных — множество, данных — еще больше. На вход в платформу TI могут быть подключены десятки, а в отдельных случаях и сотни различных источников данных. Каждый источник время от времени обновляется, предоставляет новые и зачастую изменяет ранее предоставленные данные. Платформа TI должна оперативно создавать новые сущности, актуализировать статусы старых, если они изменились, избавляться от дублей, приводить в единый, консистентный вид (нормализация), удалять старые сущности. Явные взаимосвязи между сущностями нужно выделить и связать их между собой, определяя характер связей. И это далеко не все выполняемые операции.
Кроме того, могут быть операции, выполняемые отложенно. Например, к ним относится корреляция сущностей, то есть предположение о схожести двух или более сущностей на основании выявленной зависимости между ними. Еще пример: выявление «дальних связей» — когда сущности связаны друг с другом не напрямую, а через N иных сущностей. Сюда же можно отнести и расчет рейтингов вредоносности индикаторов компрометации на основе учета массы факторов. И да, это тоже далеко не исчерпывающий список отложенных операций.
Заметьте, я крайне мало упоминал сущность «индикатор компрометации». Это один из наиболее известных терминов TI, важный, но не главный. Индикатор компрометации — это то, что позволяет сделать TI полезной, то есть не просто знать, а применять знания и получать результаты от их применения.
В следующем посте я расскажу о форматах обмена данными threat intelligence, их сути, объектах и сущностях, важности и иерархии. Stay tuned!