Журнал "Information Security/ Информационная безопасность" #5, 2023

Последние два года выдались доволь- но необычными для российских специа- листов информационной безопасности: массовый уход с рынка поставщиков зарубежных решений, новые законода- тельные требования, а также рост коли- чества кибератак, главными особенно- стями которых стали интенсивность, вариативность и сложность. Противостояние киберпреступников и специалистов информационной без- опасности вышло на новый уровень, которому свойственно большее коли- чество утечек, взломов и появление более продвинутого инструментария хакеров в открытом доступе – все это упрощает реализацию целевых атак, делая их более доступными. И если злоумышленники с низкой ква- лификацией уже не представляют осо- бой угрозы для организаций, у которых есть SOC со всем набором базовых тех- нологий, то увеличившееся количество точечных атак от профессиональных хакеров сложно выявлять и предотвра- щать на ранних стадиях без использо- вания данных киберразведки и построен- ных процессов работы с Threat Intelli- gence (TI). С чего начинается TI? Отправной точкой в TI является сбор информации о новых угрозах и атаках. На этом этапе важно сформировать эффективный набор тех источников, которые будут обеспечивать регулярно обновляемый поток данных киберраз- ведки, наиболее релевантный профилю защищаемой организации. Сегодня доступно множество источников, содер- жащих те или иные признаки активности злоумышленников, включая открытые базы данных, сетевой трафик, форумы, отчеты и другие ресурсы. Помимо откры- тых источников, данные можно получать от специализированных вендоров, кото- рые формируют их на базе собственных экспертных центров. Для агрегации данных от различных источников используются платформен- ные решения Threat Intelligence Platform (TIP), которые не только позволяют соби- рать информацию от разных поставщи- ков, но и приводят ее к общему формату, исключают дублирование данных, обо- гащают их через внешние сервисы, пре- доставляют широкий спектр инструмен- тов для анализа взаимосвязей вредо- носных сущностей. Но самое важное – платформы позволяют интегрировать Threat Intelligence в другие системы ИБ для обнаружения атак на ранних стадиях и превентивной защиты от потенциаль- ных угроз. Одним из первых отечественных плат- форменных решений данного класса стал R-Vision TIP, который компания представила на рынок в 2019 г. Сегодня R-Vision TIP активно эксплуатируется как в государственных организациях, так и в коммерческих компаниях финан- совой отрасли, промышленности, в неф- тегазовом секторе, ритейле, телекоме и т.д. Платформа непрерывно развива- ется, наполняется новыми функциями; расширяется список поставщиков дан- ных и возможности интеграций с ИБ- системами. Особенности работы с данными TI Ключевые данные, на которых строит- ся киберразведка, – это индикаторы компрометации (IoC), или артефакты активности злоумышленников, которыми могут быть IP-адреса C&C-серверов, адреса электронной почты, используе- мые для фишинга, хеш-суммы вредо- носных файлов и т.д. Для формирования потока надежных и эффективных данных в платформе R-Vision TIP реализованы инструменты не только сбора IoC от различных постав- щиков, но и сравнения источников по уникальности и пересечению данных, количеству предоставляемых индикато- ров компрометации и других сущностей угроз. Анализ источников выполняется платформой автоматически, а на выходе генерируется отчет, с помощью которого аналитик может сделать выводы и ото- брать наиболее релевантные источники для профиля его организации и инфра- структуры, а также исключить похожие друг на друга. Сегодня пользователям R-Vision TIP доступен широкий спектр различных поставщиков данных TI для подключения и эксплуатации, от бесплатных open- source AT&T и MISP, отраслевых источ- ников (АСОИ ФинЦЕРТ, АС "Фид-Анти- фрод") до коммерческих вендорских фидов. Это позволяет объединить в одном месте экспертизу из множества различных источников, а также сфор- мировать собственную базу данных киберразведки. Кроме того, благодаря интеграции с сервисами обогащения, такими как VirusTotal, Shodan, Whois и множеством других, пользователь может автоматически обогащать собран- ные и добавляемые данные дополни- тельным контекстом. Таким образом, сухие значения индикаторов компроме- тации приобретают дополнительные атрибуты, которые создают информа- ционную ценность и повышают уровень осведомленности аналитика. Например, можно узнать, какие образцы вредонос- ного ПО подключались к IP-адресу, свя- занные с ним URL-адреса, файлы, ссы- лающиеся на домен, информацию о месторасположении и многое другое. Безусловно, пользователю приходится работать с большим потоком данных. Более того, какие-то данные могут уста- ревать или терять свою актуальность. Для того чтобы аналитикам было проще определять актуальные угрозы, разра- ботчики предлагают различные решения: где-то используется цветовая маркиров- ка TLP (Traffic Light Protocol) индикаторов компрометации, а где-то задается число- 30 • СПЕЦПРОЕКТ Сила знаний: как платформа TIP максимизирует использование Threat Intelligence в борьбе с угрозами отличие от прошлого года, когда аналитики отмечали большой объем веб-атак, в этом году злоумышленники переключились на сетевые атаки, эксплуатацию вредоносного ПО и фишинговые рассылки, выявлять которые удавалось зачастую только при помощи данных Threat Intelligence (TI). В Валерия Чулкова, руководитель продукта R-Vision TIP