Dostarczanie feedów Cyber Threat Intelligence

Każdy dostawca usług CTI (Cyber Threat Intelligence) specjalizuje się obecnie w pewnych aspektach tego szerokiego zakresu rodzajów pozyskiwanych danych. Dostawcy takich usług są cenieni w związku z konkretnymi rodzajami informacji, jakie dostarczają swoim Klientom, a te rodzaje informacji wynikają ze szczególnych kompetencji, narzędzi oraz szczególnych możliwości dostępu do określonych źródeł informacji.

ComCERT wyróżnia się na tle innych dostawców przede wszystkim dlatego, że koncentrujemy swoje kompetencje na zagrożeniach dla polskiego rynku, zagrożeniach zarówno pochodzących z Polski, jak i z zagranicy (np. Rosji i Ukrainy). ComCERT dysponuje też szczególnie dobrą penetracją środowisk przestępczych i platform ich komunikacji. Na platformach tych przestępcy planują nowe TTP (Taktyki, Techniki i Procedury) ataków, dzielą się swoimi doświadczeniami i osiągnięciami. Zespół ekspertów ComCERT non-stop monitoruje głębokie zasoby Internetu (deep-web, dark net), często wchodząc w interakcje z aktywnymi tam aktorami, w celu wykrycia i zidentyfikowania zagrożeń i incydentów dotyczących naszych Klientów na jak najwcześniejszym etapie tzw. Kill Chain. Nasze kompetencje i kontakty przybierają także dużą wartość w doradztwie dla naszych Klientów w sytuacjach kryzysowych, również wtedy, gdy konieczna jest współpraca z organami ścigania.

Poza powyższą „ręczną” formą penetracji darknetu, ComCERT dysponuje automatami i botami, które w automatyczny sposób penetrują te części Internetu i darknetu, która dla takich automatów i botów są dostępne. Wszelkie pojawienia się słów kluczowych charakterystycznych dla naszych Klientów w koniunkcji ze słowami ze słownika przestępczego są sygnałami do ręcznej weryfikacji zagrożenia

Ponadto ComCERT monitoruje wszystkie nowe rejestracje domen internetowych. Każda rejestracja domeny o nawie podobnej do którejkolwiek z domen naszych Klientów powoduje (w domyśle zakładając, że została zarejestrowana jako element procederu typu „typosquatting”), że taka nowo zarejestrowana domena zaczyna być przez nas monitorowana pod kątem możliwości budowy strony phishingowej.

ComCERT posiada znaczącą kompetencję w zakresie pozyskiwania informacji dotyczących szkodliwego oprogramowania również na systemy mobilne, szczególnie Android, a korzystając z wieloletniego doświadczenia jako pierwszy komercyjny CERT w Polsce wymienia się danymi z innymi CERT-ami i nabywa informacje komercyjnie od innych podmiotów na świecie, które specjalizują się w pozyskiwaniu tego typu danych (kupowane dane przeważnie są pełniejsze niż te uzyskiwane w drodze wymiany).

Doświadczenie ComCERT i powyższe kompetencje sprawiają, że nasi specjaliści przekazują często Klientom ciekawe i ważne z punktu widzenia cyberbezpieczeństwa dokumenty, również dotyczące cyberbezpieczeństwa tych Klientów. 

Wszystkie zdobyte przez ComCERT Informacje o zagrożeniach są niezwłocznie przekazywane z wykorzystaniem platformy MISP, co pozwala na automatyczne zaciąganie tych informacji do systemów bezpieczeństwa Klientów;