Журнал "Information Security/ Информационная безопасность" #5, 2023

ции таких данных не так прост, как кажет- ся. Открытые источники могут менять форматы представления данных, содер- жать нестандартные метрики и теги, закрывать доступ из определенных стран или коммерциализировать доступ через определенное время. Разные источники предлагают разный объем данных и раз- ные форматы, при этом не особенно сле- дят за релевантностью таких данных. Опять-таки, наполнением открытых источ- ников занимаются в основном западные сообщества, а насколько эта информация актуальна в России? Потребуется не про- сто установить какое-то ПО, а выстроить целый процесс обработки и оценки соби- раемых данных, создать свою команду для этого. В коммерческих источниках все это берет на себя вендор. Более того, рабо- тая сразу с несколькими заказчиками и имея возможность верифицировать собранные данные на собственных реше- ниях, вендор видит картину гораздо шире, чем отдельная команда инфор- мационной безопасности, и, как след- ствие, заказчик получает более точный и качественный результат. Проще гово- ря, даже создавая у себя процесс обра- ботки открытых источников данных, все равно не удастся получить информацию того уровня качества, который предла- гает вендор. Парадокс ситуации заклю- чается в том, что, пока нет команды, нормально работать с открытых источ- никами не получится, а с появлением команды стоимость подписки у вендора на фоне затрат на собственных специа- листов становится не такой заметной. Заказчику без собственной команды логичнее прийти на пилот к вендору, посмотреть, что предлагается, оценить, насколько это нужно и полезно. Заказчик с командой уже использует те или иные платные подписки, а на их фоне стоимость коммерческого TI не так и высока, однако позволяет получить доступ к качественным данным, недо- ступным в других источниках. И тут также полезно смотреть на предлагае- мые рынком варианты, не останавлива- ясь строго на одном поставщике. – Оптимальная стратегия для заказчика – это агрегировать у себя все доступные TI и смот- реть на их качество? Или выбрать два-три надежных источника и только с ними и рабо- тать? – В этом вопросе люди делятся на два лагеря. Первые считают, что TI много не бывает, ведь у каждого вендора реали- зована своя уникальная экспертиза, которая отсутствует у соседей по рынку. Где-то, безусловно, есть пересечения, но это вовсе не означает, что TI одного производителя может полноценно заме- нить TI от другого. Они скорее дополняют друг друга. Вопрос только в стоимости этих решений и в том, какую выгоду они приносят. То есть окупает ли затраты на TI то количество индикаторов, которое этот TI приносит. Только практика помо- жет выработать оптимальное решение. Вторые останавливаются на 1–2 "про- фильных" поставщиках. К примеру, наша сильная сторона в TI – это фиды для сетевой безопасности. Соответственно, наш профиль – это обогащение межсе- тевых экранов и файрволов, решений класса NDR/NTA и прочих элементов сетевого периметра. – Какие обязательные процес- сы должны быть уже реализова- ны у заказчика, чтобы TI оказал- ся ему необходим и полезен? – Как минимум должен быть реализо- ван процесс работы с обновлением средств защиты информации. Уже в этом случае можно получить эффект от использования индикаторов компроме- тации, которые загружаются напрямую на СЗИ. Это, кстати, подтверждается кейсами наших заказчиков. Гораздо большего эффекта от TI можно добиться, проведя инвентаризацию своей инфраструктуры: если объединить источ- ники данных от используемого ПО и обо- рудования с данными индикаторов, про- гнозами, информацией об используемых методах, можно сделать аномалии про- зрачными и управляемыми. Наше решение открывает простой и удоб- ный доступ к данным, что позволяет интег- рировать их практически с любым инстру- ментом защиты, даже если интеграция ограничена рамками одного устройства. – Как измерить качество TI? – Качество данных TI, как и других средств защиты информации, однознач- но оценить непросто. TI – это знание об угрозах, и сервис решает две задачи. Во-первых, повышает эффективность работы людей за счет снижения количе- ства ложноположительных срабатыва- ний, за счет оптимизации написания правил корреляции, сокращения време- ни на реагирование и расследование. Вторая задача – это снижение риска возникновения того самого критичного инцидента, которого все боятся, осо- бенно люди, которые далеки от ИБ. Поэтому в качестве критериев каче- ства Threat Intelligence стоит выделить: l снижение количества ложноположи- тельных срабатываний; l сокращение времени реагирования и расследования; l снижение времени на написание детек- тирующих и корреляционных правил; l снижение риска возникновения кри- тичных инцидентов. В любом случае мы рекомендуем не отказываться ни от каких источников, потому что если даже по состоянию на сейчас фид от поставщика А включен полностью в фид поставщика B, то это не значит, что так будет в будущем. Уже зав- тра может появится уникальный индикатор компрометации, который конкретно для этой компании сработает и предотвратит нежелательные последствия. И вообще, Threat Intelligence – это не про конкуренцию между вендорами, а про дополнение данных. Сейчас на рынке нет такого вендора, который бы охватывал все, у каждого есть своя уни- кальная экспертиза: у кого-то большой объем хешей, у кого-то качество сетевых индикаторов и т.д. Учитывая, что с наше- го рынка ушли все западные игроки, в том числе поставщики бесплатных и платных TI, то стоит вдвое-втрое выше ценить то, что остается на рынке. Стоит отметить, что мы активно рабо- таем над включением технологий машин- ного обучения в обработку наших дан- ных. Нет большой ценности в том, чтобы поставлять гигантский объем сырых индикаторов. Заказчики не всегда знают, что делать с большим объемом данных. Поэтому мы стараемся соблюдать баланс между качеством и объемом и стремиться к лучшему соотношению цены и качества на рынке. Автоматиза- ция с использованием элементов искус- ственного интеллекта, несомненно, помо- жет в достижении этой цели. – Насколько оперативны пре- доставляемые вами данные? – Данные обновляются несколько раз в день в зависимости от источников. Некоторые источники обновляются раз в 20 минут, другие – раз в сутки. Другое дело, что зачастую сверхопе- ративности от данных TI и не требуется, лучше дать им время пройти дополни- тельные процедуры обработки и обога- щения, чтобы повысить их качество. Повышенная оперативность, возмож- но, нужна в части DDoS, но опыт свиде- тельствует, что нашими данными можно предотвратить 80% атак, которые про- изойдут на следующий день. – Что интересного есть в роад- мапе на ближайшие месяцы? – "Гарда Threat Intelligence" активно развивается. В ближайших релизах мы будем фокусироваться на увеличении числа категорий и типов данных, анали- тике и обогащении фидов контекстом, который поможет в реагировании и рас- следовании. Будем работать над всеми возможными интеграциями, чтобы облег- чить использование продукта со сто- ронними средствами защиты информа- ции. В планах также внедрение техно- логий машинного обучения и функции приоритизации угроз. l • 29 SOC И TI www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ГК "ГАРДА" см. стр. 70 NM Реклама