Forwarded from INSECA Практические курсы по информационной безопасности
Всем привет!
23 мая состоялся CTI meetup №5, который организовали Инсека и Технологии киберугроз.
🎥 Презентации и запись выступлений CTI meetup №5 можно посмотреть на странице митапа.
📸 Фотоотчет с митапа здесь.
Спасибо всем, кто был с нами на митапе.
Когда будет следующая встреча? - по мере формирования программы митапа.
Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
23 мая состоялся CTI meetup №5, который организовали Инсека и Технологии киберугроз.
🎥 Презентации и запись выступлений CTI meetup №5 можно посмотреть на странице митапа.
📸 Фотоотчет с митапа здесь.
Спасибо всем, кто был с нами на митапе.
Когда будет следующая встреча? - по мере формирования программы митапа.
Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
#release #stix #incidenthub
Release Notes 2026-06
CTT Incident Hub
Добавлен механизм отслеживания цепочек инцидентов. Логика работы:
- Мы отслеживаем новости, связанные с атакой на компанию.
- Каждая новая новость об этой атаке линкуется с агрегирующей новостью с префиксом
- При появлении новой новости об инциденте описание агрегирующей новости автоматически обновляется, перестраивается severity, перестраивается извлеченная информация о последствиях инцидента.
Release Notes 2026-06
CTT Incident Hub
Добавлен механизм отслеживания цепочек инцидентов. Логика работы:
- Мы отслеживаем новости, связанные с атакой на компанию.
- Каждая новая новость об этой атаке линкуется с агрегирующей новостью с префиксом
[Chain] и STIX лейблом chain.- При появлении новой новости об инциденте описание агрегирующей новости автоматически обновляется, перестраивается severity, перестраивается извлеченная информация о последствиях инцидента.
Немного интересной статистики из нашего отчета про 2025 год.
По более чем 2800 технически полным CTI-отчетам мы выбрали 10 наиболее атакованных отраслей в мире.
Далее для каждой отрасли мы посчитали байесовскую вероятность появления каждой TTP и выбрали 10 наиболее вероятных.
Т.е. условия расчета вероятности TTP был таков: Если нам попадается отчет с описанием атаки на отрасль А, то какова вероятность встретить в таком отчете TTP.
Эту вероятность мы и назвали в своем отчете "вероятностный вектор атаки".
По более чем 2800 технически полным CTI-отчетам мы выбрали 10 наиболее атакованных отраслей в мире.
Далее для каждой отрасли мы посчитали байесовскую вероятность появления каждой TTP и выбрали 10 наиболее вероятных.
Т.е. условия расчета вероятности TTP был таков: Если нам попадается отчет с описанием атаки на отрасль А, то какова вероятность встретить в таком отчете TTP.
Эту вероятность мы и назвали в своем отчете "вероятностный вектор атаки".
👍1
#release #opencti
Release Notes 2026-06
Обновление коннекторов CTT для OpenCTI
Раскатили большой пакет улучшений по коннекторам ThreatKB, Incident Hub, Report Hub и Threat Feed.
Репозитории:
ctt_threat_feed_connector
ctt_report_hub_connector
ctt_noise_control_connector
ctt_ioc_lookup_connector
ctt_whois_api_connector
ctt_threatkb_connector
ctt_incidenthub_connector
Реестр образов:
Главное:
Incident Hub
• Связанные инциденты — коннектор строит цепочки инцидентов (incident chain), а не одиночные объекты
• Поддержка
• Корректная обработка кодов ответа — ошибки, не связанные с недоступностью сервиса не приводят к бесконечным обращениям
Управление метками (ThreatKB, Incident Hub, Report Hub)
• Настраиваемый префикс меток для улучшения их структурирования для поиска и отображения.
Защита правок аналитика (ThreatKB)
•
• Объекты помечаются специальной меткой (
Прозрачность по API
• Все коннекторы (ThreatKB, Incident Hub, Report Hub, Threat Feed, IOC Lookup, Noise Control, Whois) логируют лимиты обращений к API: суточные сводки, прогрессивные пороги, предупреждение при достижении 80% и отдельное событие на 429.
Развёртывание
ctt_opencti_full_setup
• Мастер первичной настройки (
• Индивидуальная дата старта импорта для каждого коннектора (с откатом на общую)
• Профили docker-compose — включайте только нужные коннекторы
Рекомендуем обновиться!
Release Notes 2026-06
Обновление коннекторов CTT для OpenCTI
Раскатили большой пакет улучшений по коннекторам ThreatKB, Incident Hub, Report Hub и Threat Feed.
Репозитории:
ctt_threat_feed_connector
ctt_report_hub_connector
ctt_noise_control_connector
ctt_ioc_lookup_connector
ctt_whois_api_connector
ctt_threatkb_connector
ctt_incidenthub_connector
Реестр образов:
registry.gitflic.ruГлавное:
Incident Hub
• Связанные инциденты — коннектор строит цепочки инцидентов (incident chain), а не одиночные объекты
• Поддержка
first_seen / last_seen на объектах — корректные временные рамки активности• Корректная обработка кодов ответа — ошибки, не связанные с недоступностью сервиса не приводят к бесконечным обращениям
Управление метками (ThreatKB, Incident Hub, Report Hub)
• Настраиваемый префикс меток для улучшения их структурирования для поиска и отображения.
Защита правок аналитика (ThreatKB)
•
THREATKB_PREVENT_USER_DATA_OVERWRITE — коннектор не перетирает данные в OpenCTI которые не добавлял сам. Защита от нежелательного изменения собственных объектов и ручных правок аналитиков.• Объекты помечаются специальной меткой (
THREATKB_OWNERSHIP_MARKER_LABEL) в API — повторный импорт обновляет только «свои» сущностиПрозрачность по API
• Все коннекторы (ThreatKB, Incident Hub, Report Hub, Threat Feed, IOC Lookup, Noise Control, Whois) логируют лимиты обращений к API: суточные сводки, прогрессивные пороги, предупреждение при достижении 80% и отдельное событие на 429.
Развёртывание
ctt_opencti_full_setup
• Мастер первичной настройки (
setup.sh / setup.ps1) — интерактивная генерация конфигурации• Индивидуальная дата старта импорта для каждого коннектора (с откатом на общую)
• Профили docker-compose — включайте только нужные коннекторы
Рекомендуем обновиться!
gitflic.ru
ctt/ctt_threat_feed_connector: CTT Threat Feed connector для OpenCTI
#release #api #limits
Release Notes 2026-06
Сброс ограничений лимита на стороне клиента
Реализовали механизм сброса ограничений при блокировке API по лимиту запросов.
Сейчас клиенты могут сами сбрасывать лимит сделав вызов соответствующего сервиса вида
Например сброс лимита в Incident Hub
Ключ сброса предоставляется только через поддержку support@cyberthreattech.ru
Release Notes 2026-06
Сброс ограничений лимита на стороне клиента
Реализовали механизм сброса ограничений при блокировке API по лимиту запросов.
Сейчас клиенты могут сами сбрасывать лимит сделав вызов соответствующего сервиса вида
Например сброс лимита в Incident Hub
curl -v \
-H "x-api-key: <API KEY>" \
-H "X-Reset-Token: <RESET KEY>" \
"https://api.cyberthreattech.ru/v1/incidents"
Ключ сброса предоставляется только через поддержку support@cyberthreattech.ru