Журнал "Information Security/ Информационная безопасность" #5, 2023

– Откуда у группы компаний "Гарда" данные для TI? – Опыт работы компаний группы "Гарда" позволил накопить большую экспертизу в части сбора и анализа информации об угрозах. Есть два блока, откуда берутся данные TI: внешние и внутренние источ- ники. В основе лежат обезличенные дан- ные, накапливаемые в ходе использова- ния продуктов группы компаний "Гарда" заказчиками, например индикаторы ком- прометации, которые были найдены или получены в ходе работы в реальной инфраструктуре. Важный источник дан- ных – система "Гарда Deception", которая активно развивается и генерирует боль- шое число качественных IoC. Данные внутренних источников обо- гащаются внешними – OSINT, то есть данные, получаемые в ходе исследо- вания открытых источников, DarkNet, Telegram, соцсетей и различных сер- висов, которые агрегируют данные о киберугрозах. К этой группе можно отнести фиды Open Source, VirusTotal, Banneran, Shodan и др. Отдельная группа источников – индикаторы, получаемые из сетевых ловушек, и сведения, которые собирает наша команда аналитики (центр компетенции ИБ – команда, кото- рая работает над фильтрацией данных, их обогащением и обработкой). "Гарда Threat Intelligence" предоставляет- ся через веб-интерфейс в качестве сервиса. В нем доступны фильтры, графическая аналитика по типам угроз, их география и другие полезные возможности. Данные TI поставляются в форматах JSON, TXT, CSV, SIG, и охватывают восемь типов угроз: источники ботнетов, спам, VPN, Tor, DDoS-атаки, проксиро- вание, фишинг и подмена хостов. – Какое место Threat Intelligence занимает в экосистеме продуктов группы компаний "Гарда"? – TI – это логическое и органичное развитие продуктовой линейки любого вендора информационной безопасности. С одной стороны, TI – это самостоятель- ное решение, и заказчик, не имея ни одного продукта из линейки "Гарда", может купить Гарда TI и использовать его в своей инфраструктуре, в своих средствах защиты информации, напри- мер в интеграции с SIEM-системами. Это один из самых популярных кейсов. TI не только помогает в этом случае правильно и вовремя среагировать на угрозу, но и подскажет, на что стоит обратить внимание в первую очередь. Второй сценарий – обогащение про- дуктов "Гарда", таких как NDR, Deception, Anti-DDoS, прочими данными об угрозах, злоумышленниках и другой телеметрией. Это, в свою очередь, помогает макси- мально эффективно детектировать угро- зы. В целом реализация экосистемы продуктов является важным этапом роста вендора. Мы не стали исключени- ем и, видя существующие тенденции, реализовали несколько интеграций между Гарда TI и другими продуктами компании. – Какую отраслевую специфику вы учитываете в данных? – Анализируя даркнет, профильные Telegram-чаты, сообщества хакеров и другие источники, мы понимаем, какую отрасль, какой сектор, какую компанию и как будут атаковать злоумышленники. Фактически мы получаем информацию о том, какие при атаке будут применяться техники, тактики, какие вредоносы будут использованы. Мы регулярно публикуем отчеты об угрозах и атаках. Все это помогает заказчику выстроить более эффективно систему защиты своих акти- вов и не допустить возникновения кри- тического инцидента. – Почему лучше использовать TI от специализированного вен- дора, а не самим брать открытые данные и пытаться их агрегиро- вать, структурировать и исполь- зовать? – Одно не исключает, а напротив, дополняет другое. Собственная команда информационной безопасности всегда будет обращаться в том числе и к откры- тым источникам. Однако процесс агрега- 28 • СПЕЦПРОЕКТ Нашпионить угрозу: как усилить средства защиты информации с помощью Threat Intelligence пособность грамотно использовать данные Threat Intelligence (TI) – это важная составляющая зрелого подхода к обеспечению информационной безопасности предприятия. У каждого поставщика TI своя специфика, это связано с разнообразием источников информации, методологий сбора и анализа, а также с уникальной экспертизой каждой организации. В 2022 г. 1 свой продукт Threat Intelligence представила компания “Гарда Технологии” (сегодня входит в группу компаний “Гарда”). С Илья Селезнев, руководитель продукта “Гарда Threat Intelligence” компании “Гарда Технологии” (входит в группу компаний “Гарда”) Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”) 1 https://www.tadviser.ru/index.php/Продукт:Гарда_Сталкер_Сервис_для_обогащения_данных_о_киберугрозах