BIS Journal №4(47)2022

25 ноября, 2022

Поставщики Threat Intelligence ушли. Но Threats остались

В текущем году из России ушли или сократили своё присутствие большинство западных поставщиков средств защиты информации и сведений о киберугрозах.

Однако число угроз и количество атак на российские информационные ресурсы кратно возросло, как вырос и объём ресурсов, которые используют злоумышленники. В этой связи особенно остро стоит вопрос своевременного получения сведений о киберугрозах и интеграции этих сведений со СЗИ. Это помогает оперативно выявлять компьютерные атаки, обогащать данными события безопасности и расследовать инциденты информационной безопасности.

 

TI

В России интерес к TI формируется примерно с 2016–2017 года. И за это время многие отечественные компании научились правильно применять сведения о киберугрозах в своих процессах обеспечения ИБ. Для чего они, как правило, используют специализированные решения для накопления, хранения и систематизации TI — Threat Intelligence Platform (TIP) и решения, где эти данные могут применяться с наибольшей эффективностью, — SIEM, IRP и SOAR.

Одно из определений TI: «Threat Intelligence — это регулярно и системно собирать информацию об угрозах, улучшать и обогащать её, применять эти знания для защиты и делиться ими с теми, кому они могут быть полезны. TI — это не только базы сигнатур для IDS или наборы правил для SIEM. TI — это процессы, у которых есть владельцы, цели, требования и понятный и измеримый (насколько это возможно) результат». Исходя из этого определения, справедливо считать, что потребителями TI могут быть как люди, так и машины.

Для людей полезными могут быть сведения в виде бюллетеней безопасности «Перспективного мониторинга» (рис. 1), НКЦКИ, FinCERT или других ИБ-вендоров, в виде публикаций в профильных СМИ, порталах, соцсетях. Даже простой обмен мнениями с коллегами на SOC-форуме можно рассматривать как TI.

Рисунок. 1. Подписаться на информационную рассылку бюллетеней безопасности ПМ можно путём обращения в произвольной форме на адрес электронной почты

 

ПМ ПОДСТАВЛЯЕТ ПЛЕЧО

В «Перспективном мониторинге» накоплен и постоянно обновляется большой объём экспертных данных об угрозах для применения в различных средствах защиты информации.

Одним из первых коммерческих продуктов АО «ПМ» стала так называемая база решающих правил AM Rules, которая успешно применяется для обнаружения и предотвращения атак в сетевом трафике с использованием «движков» Snort, Suricata и решений на их основе. В текущих условиях, когда зарубежные СЗИ лишились технической поддержки и обновлений, ПМ может качественно заменить необходимую экспертизу. База AM Rules используется в линейке решений сетевой безопасности ViPNet производства ИнфоТеКС, продуктах других отечественных производителей, конечными пользователями сетевых сенсоров. В настоящий момент в базе 24 тысячи правил. База обновляется и пополняется ежедневно, постоянно актуализируется и тестируется на вредоносных объектах и трафике, накопленных за 10 лет работы компании.

В начале 2022 года разработчики «Перспективного мониторинга» поставили перед собой амбициозную цель — категоризировать Интернет. Решение этой задачи продолжается, и на текущий момент в базе URL-фильтрации ПМ 81 категория доменов, 11 миллионов собранных доменных имён русскоязычного и англоязычного Интернета, 1,5 миллиона откатегоризированных доменов. Эти экспертные данные могут применяться ИБ- и ИТ-службами для ограничения доступа к веб-ресурсам, контентной фильтрации, мониторинга интернет-активности пользователей организации. Если в организации контролируется доступ в Интернет, то использование категорий позволит сконфигурировать гранулированные политики доступа к сайтам и веб-приложениям. Целевыми системами для интеграции базы данных URL-фильтрации могут быть межсетевые экраны (NGFW), прокси, сетевое оборудование, поддерживающее данную функциональность. Также существует и вариант поставки этих данных через обращение к API. Важно отметить, что речь идёт не о базе так называемых плохих доменов, которые злоумышленники используют для заведомо вредоносной активности, а о базе легальных доменов, для которых необходимо определить тематику сайта.

Ещё одно направление «Перспективного мониторинга» — это TI-фиды. В настоящий момент мы предоставляем три типа данных: IP-адреса, домены и хеш-суммы вредоносных объектов. Подразделение исследования киберугроз еженедельно выпускает обновления базы с подробным описанием указанных индикаторов компрометации (IOC). TI-фиды формируются в стандартном формате STIX2 для удобной и быстрой интеграции с имеющимися средствами защиты информации. А благодаря собственной среде сбора и обработки сведений об IOC возможно предоставление фидов в любом необходимом виде, включая JSON и XML.

 

В АКТУАЛЬНОМ СОСТОЯНИИ

Все типы экспертных данных «Перспективного мониторинга» на постоянной основе обновляются и уточняются. Например, если первоначально у ПМ есть информация о конкретном эксплойте на уязвимость, то сигнатура на конкретный эксплойт будет добавлена в БРП. И если появляется дополнительная информация, позволяющая выявлять различные варианты её эксплуатации, то аналитики доработают имеющуюся сигнатуру или напишут новую. При этом старое правило удалят из набора, чтобы оптимизировать производительность. Также отрабатываются и ложные срабатывания, которые мы получаем от пользователей.

 

ДЛЯ КАКИХ ЗАДАЧ ЦЕЛЕСООБРАЗНО ПРИМЕНЯТЬ TI-ФРИДЫ

Первая, самая очевидная задача — обнаружение индикаторов компрометации в своей ИТ-инфраструктуре. Если в системе присутствуют файлы, соответствующие вредоносным образцам, или в журналах сетевого оборудования или прокси есть обращения к «плохим» адресам или доменам, то это повод поподробнее разобраться в ситуации.

TI-фиды и сигнатуры можно применять и для блокирования вредоносной активности, если сетевые и хостовые IPS/IDS работают в режиме prevent.

Важная задача, которую решают компании с высоким уровнем зрелости обеспечения информационной безопасности, — это обогащение имеющихся данных о событиях и инцидентах ИБ. Если организация эксплуатирует SIEM-систему, IRP или TI-платформу, то из TI-фидов ПМ можно получить дополнительные сведения об индикаторах компрометации. К таким сведениям относятся: оценка опасности, время обнаружения, связанные индикаторы, целевое ПО или системы, название и идентификатор вредоносной кампании.

Четвёртая задача — расследование и установление причин компьютерных инцидентов. Специалисты-форензики получают возможность получать дополнительные сведения об обнаруженных индикаторах компрометации.

 

КАК МЫ СОБИРАЕМ ЭКСПЕРТНЫЕ ДАННЫЕ

В настоящий момент система сбора данных о киберугрозах получает информацию из более чем 27 открытых источников (рис. 2).

Рисунок 2. Система сбора данных о киберугрозах получает информацию из более чем 27 открытых источников

 

Из этих источников мы забираем HTML и храним у себя. Потом происходит постобработка, каждый HTML превращается в набор логических единиц с помощью обработчиков (на каждый источник свой обработчик). Новыми единицами считаются те из момента N, которых не было в момент N-1. Далее происходят дообогащение и фильтрация. Общая схема представлена на рисунке 3.

Рисунок 3. Схема сбора и обработки данных

 

Важным источником сведений для TI-фидов является многотысячный парк сетевых и хостовых сенсоров ViPNet, которые эксплуатируются у десятков заказчиков коммерческого SOC «Перспективного мониторинга». Полученные события очищаются от любых чувствительных данных (вроде целевых адресов и доменов) и попадают в состав TI.

 

ВОЗМОЖНОСТИ ПИЛОТИРОВАНИЯ И ВАРИАНТЫ ЛИЦЕНЗИРОВАНИЯ

Для предоставления любой лицензии на доступ к TI-фидам возможен первоначальный пилотный проект. «Пилот» организуется по двум причинам. Первая — проверка технической совместимости и возможности интеграции с имеющимися или планируемыми к приобретению средствами защиты информации. Вторая причина — проверка полезности. Необходимо проверить, помогают ли новые данные в решении указанных выше задач.

Также у «Перспективного мониторинга» гибкая система лицензирования. Можно приобрести лицензию на произвольный период.

Компания АО «Перспективный мониторинг» также открыта к сотрудничеству с отечественными производителями СЗИ и провайдерами сервисов кибербезопасности.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных