BIS Journal №4(47)2022

25 ноября, 2022

Поставщики Threat Intelligence ушли. Но Threats остались

В текущем году из России ушли или сократили своё присутствие большинство западных поставщиков средств защиты информации и сведений о киберугрозах.

Однако число угроз и количество атак на российские информационные ресурсы кратно возросло, как вырос и объём ресурсов, которые используют злоумышленники. В этой связи особенно остро стоит вопрос своевременного получения сведений о киберугрозах и интеграции этих сведений со СЗИ. Это помогает оперативно выявлять компьютерные атаки, обогащать данными события безопасности и расследовать инциденты информационной безопасности.

 

TI

В России интерес к TI формируется примерно с 2016–2017 года. И за это время многие отечественные компании научились правильно применять сведения о киберугрозах в своих процессах обеспечения ИБ. Для чего они, как правило, используют специализированные решения для накопления, хранения и систематизации TI — Threat Intelligence Platform (TIP) и решения, где эти данные могут применяться с наибольшей эффективностью, — SIEM, IRP и SOAR.

Одно из определений TI: «Threat Intelligence — это регулярно и системно собирать информацию об угрозах, улучшать и обогащать её, применять эти знания для защиты и делиться ими с теми, кому они могут быть полезны. TI — это не только базы сигнатур для IDS или наборы правил для SIEM. TI — это процессы, у которых есть владельцы, цели, требования и понятный и измеримый (насколько это возможно) результат». Исходя из этого определения, справедливо считать, что потребителями TI могут быть как люди, так и машины.

Для людей полезными могут быть сведения в виде бюллетеней безопасности «Перспективного мониторинга» (рис. 1), НКЦКИ, FinCERT или других ИБ-вендоров, в виде публикаций в профильных СМИ, порталах, соцсетях. Даже простой обмен мнениями с коллегами на SOC-форуме можно рассматривать как TI.

Рисунок. 1. Подписаться на информационную рассылку бюллетеней безопасности ПМ можно путём обращения в произвольной форме на адрес электронной почты

 

ПМ ПОДСТАВЛЯЕТ ПЛЕЧО

В «Перспективном мониторинге» накоплен и постоянно обновляется большой объём экспертных данных об угрозах для применения в различных средствах защиты информации.

Одним из первых коммерческих продуктов АО «ПМ» стала так называемая база решающих правил AM Rules, которая успешно применяется для обнаружения и предотвращения атак в сетевом трафике с использованием «движков» Snort, Suricata и решений на их основе. В текущих условиях, когда зарубежные СЗИ лишились технической поддержки и обновлений, ПМ может качественно заменить необходимую экспертизу. База AM Rules используется в линейке решений сетевой безопасности ViPNet производства ИнфоТеКС, продуктах других отечественных производителей, конечными пользователями сетевых сенсоров. В настоящий момент в базе 24 тысячи правил. База обновляется и пополняется ежедневно, постоянно актуализируется и тестируется на вредоносных объектах и трафике, накопленных за 10 лет работы компании.

В начале 2022 года разработчики «Перспективного мониторинга» поставили перед собой амбициозную цель — категоризировать Интернет. Решение этой задачи продолжается, и на текущий момент в базе URL-фильтрации ПМ 81 категория доменов, 11 миллионов собранных доменных имён русскоязычного и англоязычного Интернета, 1,5 миллиона откатегоризированных доменов. Эти экспертные данные могут применяться ИБ- и ИТ-службами для ограничения доступа к веб-ресурсам, контентной фильтрации, мониторинга интернет-активности пользователей организации. Если в организации контролируется доступ в Интернет, то использование категорий позволит сконфигурировать гранулированные политики доступа к сайтам и веб-приложениям. Целевыми системами для интеграции базы данных URL-фильтрации могут быть межсетевые экраны (NGFW), прокси, сетевое оборудование, поддерживающее данную функциональность. Также существует и вариант поставки этих данных через обращение к API. Важно отметить, что речь идёт не о базе так называемых плохих доменов, которые злоумышленники используют для заведомо вредоносной активности, а о базе легальных доменов, для которых необходимо определить тематику сайта.

Ещё одно направление «Перспективного мониторинга» — это TI-фиды. В настоящий момент мы предоставляем три типа данных: IP-адреса, домены и хеш-суммы вредоносных объектов. Подразделение исследования киберугроз еженедельно выпускает обновления базы с подробным описанием указанных индикаторов компрометации (IOC). TI-фиды формируются в стандартном формате STIX2 для удобной и быстрой интеграции с имеющимися средствами защиты информации. А благодаря собственной среде сбора и обработки сведений об IOC возможно предоставление фидов в любом необходимом виде, включая JSON и XML.

 

В АКТУАЛЬНОМ СОСТОЯНИИ

Все типы экспертных данных «Перспективного мониторинга» на постоянной основе обновляются и уточняются. Например, если первоначально у ПМ есть информация о конкретном эксплойте на уязвимость, то сигнатура на конкретный эксплойт будет добавлена в БРП. И если появляется дополнительная информация, позволяющая выявлять различные варианты её эксплуатации, то аналитики доработают имеющуюся сигнатуру или напишут новую. При этом старое правило удалят из набора, чтобы оптимизировать производительность. Также отрабатываются и ложные срабатывания, которые мы получаем от пользователей.

 

ДЛЯ КАКИХ ЗАДАЧ ЦЕЛЕСООБРАЗНО ПРИМЕНЯТЬ TI-ФРИДЫ

Первая, самая очевидная задача — обнаружение индикаторов компрометации в своей ИТ-инфраструктуре. Если в системе присутствуют файлы, соответствующие вредоносным образцам, или в журналах сетевого оборудования или прокси есть обращения к «плохим» адресам или доменам, то это повод поподробнее разобраться в ситуации.

TI-фиды и сигнатуры можно применять и для блокирования вредоносной активности, если сетевые и хостовые IPS/IDS работают в режиме prevent.

Важная задача, которую решают компании с высоким уровнем зрелости обеспечения информационной безопасности, — это обогащение имеющихся данных о событиях и инцидентах ИБ. Если организация эксплуатирует SIEM-систему, IRP или TI-платформу, то из TI-фидов ПМ можно получить дополнительные сведения об индикаторах компрометации. К таким сведениям относятся: оценка опасности, время обнаружения, связанные индикаторы, целевое ПО или системы, название и идентификатор вредоносной кампании.

Четвёртая задача — расследование и установление причин компьютерных инцидентов. Специалисты-форензики получают возможность получать дополнительные сведения об обнаруженных индикаторах компрометации.

 

КАК МЫ СОБИРАЕМ ЭКСПЕРТНЫЕ ДАННЫЕ

В настоящий момент система сбора данных о киберугрозах получает информацию из более чем 27 открытых источников (рис. 2).

Рисунок 2. Система сбора данных о киберугрозах получает информацию из более чем 27 открытых источников

 

Из этих источников мы забираем HTML и храним у себя. Потом происходит постобработка, каждый HTML превращается в набор логических единиц с помощью обработчиков (на каждый источник свой обработчик). Новыми единицами считаются те из момента N, которых не было в момент N-1. Далее происходят дообогащение и фильтрация. Общая схема представлена на рисунке 3.

Рисунок 3. Схема сбора и обработки данных

 

Важным источником сведений для TI-фидов является многотысячный парк сетевых и хостовых сенсоров ViPNet, которые эксплуатируются у десятков заказчиков коммерческого SOC «Перспективного мониторинга». Полученные события очищаются от любых чувствительных данных (вроде целевых адресов и доменов) и попадают в состав TI.

 

ВОЗМОЖНОСТИ ПИЛОТИРОВАНИЯ И ВАРИАНТЫ ЛИЦЕНЗИРОВАНИЯ

Для предоставления любой лицензии на доступ к TI-фидам возможен первоначальный пилотный проект. «Пилот» организуется по двум причинам. Первая — проверка технической совместимости и возможности интеграции с имеющимися или планируемыми к приобретению средствами защиты информации. Вторая причина — проверка полезности. Необходимо проверить, помогают ли новые данные в решении указанных выше задач.

Также у «Перспективного мониторинга» гибкая система лицензирования. Можно приобрести лицензию на произвольный период.

Компания АО «Перспективный мониторинг» также открыта к сотрудничеству с отечественными производителями СЗИ и провайдерами сервисов кибербезопасности.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
29.03.2024
В законопроекте об оборотных штрафах есть лазейки для злоупотреблений
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных