Журнал "Information Security/ Информационная безопасность" #5, 2023

Работа CyberART TI (CARTI) нацелена на обес- печение защиты бизнес- активов от кибератак, пред- отвращение утечек данных и нарушений, связанных с обеспечением кибербезо- пасности. Что такое Cyber TI? Применяемые в киберразведке подходы активно совершен- ствуются, многие ком- пании разрабатывают собственные методики проактивного противодействия киберугрозам. И такой опыт часто достататочно универса- лен, чтобы использоваться в других организациях, и в том числе в SOC. В компании Innostage разра- ботан собственный подход к киберразведке – инструмент CyberART TI (CARTI), который производит сбор, анализ и интерпретацию информации о возможных угрозах для ком- пьютерных систем, сетей и при- ложений. Работа CARTI наце- лена на обеспечение защиты бизнес-активов от кибератак, предотвращение утечек данных и нарушений, связанных с обес- печением кибербезопасности. Использование СЗИ совмест- но с TI позволяет реагировать на возникающие угрозы пре- вентивно, предотвращая их, а также отражая атаки, выявленные при помощи пра- вил детектирования по IoC. Для еще большей эффективности необходимо принимать защит- ные меры, которые соответ- ствуют существующему ланд- шафту угроз и меняются вместе с ним. Правильной реакцией на воз- никновение новой угрозы является мгновенное "закры- тие" эксплуатируемых уязви- мостей – такую возможность дает непрерывный анализ потока информации об акту- альном инструментарии кибер- преступников и характере их действий. Мониторинг и CTI Есть и еще одна сфера при- менения Cyber TI – киберраз- ведка в контексте мониторинга, которая дает аналитикам све- дения, сокращая время реакции на инцидент, так как в их рас- поряжении уже есть данные о потенциальных угрозах, про- шедшие предварительную обра- ботку и позволяющие заранее разработать сценарии реагиро- вания. Речь идет об индикаторах компрометации, которые хаке- ры всегда оставляют "на месте преступления", – информации об отдельных объектах, сви- детельствующих о киберугро- зах. Правда, в отличие от отпе- чатков пальцев человека, такие объекты могут видоиз- меняться или даже подменять- ся другими. Например, зло- умышленники могут заменять или добавлять символы в файлы, использовать или менять различные IP-адреса и доменные имена. Последовательность проведения киберразведки Процесс киберразведки можно разделить на несколько последовательных этапов. На первом этапе производит- ся накопление данных, которые приводят к единому формату для последующего хранения и обработки. Затем, на втором этапе, информация обрабатывается, выстраиваются связи и зависи- мости между отдельными дан- ными, проводится проверка их достоверности и репрезента- тивности. Третий этап посвящен ско- рингу данных, оценке их ценно- сти и тегированию. Все это необходимо, чтобы облегчить последующую работу с полу- ченной информацией. Обработанные таким обра- зом данные необходимо рас- пространить, чтобы на их осно- ве выстроить защиту инфра- структур и систем. В зависи- мости от типа средств защиты для распространения выбира- ется формат данных, который они поддерживают. Учитывают- ся также методы защиты, кото- рые используются при прове- дении мониторинга, блокиров- ки и в других защитных дей- ствиях. Важно! Сильную защиту обес- печивает только сочетание раз- личных мер – блокировка зло- вредов или опасных действий едва ли позволит ИБ-специа- листам составить полноценную картину при анализе угроз. Например, при блокировке перехода и попытке подклю- читься к управляющему серверу какого-нибудь вируса только мониторинг поможет узнать, была ли скомпрометирована система и нужно ли принимать контрмеры. 32 • СПЕЦПРОЕКТ Киберразведка по методу Innostage – CyberART TI ередко компании из самых разных отраслей для защиты от ИБ-угроз прибегают к системам киберразведки (Threat Intel- ligence, TI), которая позволяет им перейти в проактивную стадию – действовать на опережение: выявлять новые угрозы, определяя наиболее актуальные из них, и выбирать самые эффективные средства защиты. Н Камиль Садыков, ведущий аналитик информационной безопасности Innostage