Журнал "Information Security/ Информационная безопасность" #5, 2023

SOС ведет поиск новых регистраций сертификатов, анализ активности поведе- ния на всевозможных чатах и форумах. CyberART TI поз- воляет SOC ускорить этот процесс, автоматически пре- доставляя целый комплекс уже накопленной актуаль- ной информации в обрабо- танном виде. Применение Cyber TI воз- можно в случае выявления любого инцидента, не толь- ко связанного именно с индикатором компромета- ции, но и созданного по пра- вилу корреляции за счет поиска связанной информа- ции по отдельными атрибу- там, полученным в ходе рас- следования. TI помогает решать и другие задачи риск-менедж- мента, например принимать управленческие решения при планировании выхода на новые рынки. Примене- ние методов Threat Intelligen- ce позволит соотнести пред- стоящие затраты с прогно- зируемой прибылью. Формирование и развитие CyberART TI Компания Innostage занима- ется обеспечением информа- ционной безопасности крупных организаций, в частности использует киберразведку. В 2018 г. для этих целей приме- нялся MISP – Open Source-плат- форма для анализа угроз, а также различные бесплатные сервисы на ее основе. Затем для автоматического сбора информации на сторон- них ресурсах и формирования собственной базы данных о выявленных инцидентах вме- сте с MISP стал использоваться Cortex by Palo Alto Networks (Cortex XDR). Со временем эксперты ком- пании ощутили явную нехватку функциональности применяе- мых решений. Например, в MISP отсутствовала автомати- зация обогащения индикаторов компрометации. В компании ее реализовали при помощи над- стройки, которая при скачива- нии информации перепроверя- ла запрос. Правда, такая реа- лизация MISP требовала, чтобы при каждом запросе к источнику он перепроверялся заново, даже если к нему в этот день уже был десяток обращений. Иными словами, в Innostage стали выпускать собственные надстройки для MISP – само- писные парсеры, нормализато- ры и даже некоторые сборщики данных, которые позволяли искать информацию по тегам. Со временем у Innostage появи- лись собственные парсеры для поиска индикаторов компроме- тации из текста, которые дали возможность расширить круг используемых источников и начать мониторинг социаль- ных сетей. К 2022 г. в компании сфор- мировалась методология прак- тической реализации киберраз- ведки. Innostage стала приме- нять собственный подход к этому процессу, с оригиналь- ными правилами корреляции, агрегации, нормализации и сбора данных. Cyber TI и SOC В киберразведке, в рамках SOC, есть свои особенности – анализ тенденций атак, изуче- ние их техник и тактик, на осно- ве которых формируется кон- тент для мониторинга систем. Характерен также поиск инди- каторов компрометации. Эти особенности в киберразведку привносит создание и исполь- зование сервиса для целей SOC. Для работы SOC актуаль- но получение данных о связан- ной инфраструктуре, управляю- щих серверах, методах провер- ки подключения к Интернету, обработки ожидания соединения и т.д. Эти данные формируют видение потенциальных целе- вых атак на основе найденной в ходе киберразведки инфор- мации. Иными словами, SOС ведет поиск новых регистраций сертификатов, анализ активно- сти поведения на всевозможных чатах и форумах. CyberART TI позволяет SOC ускорить этот процесс, автоматически предо- ставляя целый комплекс уже накопленной актуальной инфор- мации в обработанном виде. Применение Cyber TI возмож- но в случае выявления любого инцидента, не только связанно- го именно с индикатором ком- прометации, но и созданного по правилу корреляции за счет поиска связанной информации по отдельными атрибутам, полу- ченным в ходе расследования. Поиск связей производится в рамках анализа отдельных угроз от потенциально вредо- носных программ, серверов управлений, сканеров. Выявляется их взаимодействие между собой, группы дублирую- щих зеркал в проксировании, используемые хакерами, и т.п. Устанавливается связь самой программы с управляющими серверами. Ведется ретроспек- тивный анализ для использо- вания при проверке историче- ских данных. В результате ИБ- аналитики SOС получают пол- ное представление о том, что могло случиться в инфраструк- туре, и при помощи индикатора компрометации могут сформи- ровать актуальные данные за определенный период. Как оценить эффективность киберразведки? С одной стороны, выгоду от применения TI подсчитать прак- тически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать макси- мально доступный уровень риска, а также рассчитать ско- рости реакции SOC на критич- ные инциденты ИБ и, исходя из этих данных, оценить эффек- тивность инструмента. TI помогает решать и другие задачи риск-менеджмента, например принимать управлен- ческие решения при планиро- вании выхода на новые рынки. Применение методов Threat Intelligence позволит соотнести предстоящие затраты с прогно- зируемой прибылью. Почему своя TI-платформа нужна не всем TI-платформы как класс нель- зя назвать универсальным решением. Некоторым компа- ниям не нужно производить сложные корреляции и осу- ществлять полный цикл работ с фидами. У каждой компании есть свои подходы к обеспече- нию ИБ, и многие организации не будут разрабатывать собст- венную платформу, а скорее выберут уже готовую. Но это не отменяет того, что развитие ИБ- аналитики в компании требует формирования стратегии, в рамках которой необходимо внедрение подходов к кибер- разведке. Опыт Innostage может стать актуальным для множе- ства заказчиков. Для расширения охвата мони- торинга и оперативного реаги- рования на угрозы в большин- стве проектов, после подготовки инфраструктуры заказчика и SOC, внедрения контента и настройки источников, Innos- tage организует работы по TI. Это один из верхнеуровневых сервисов, востребованных как в аутсорсинговых и гибридных форматах представления услуг по обеспечению кибербезопас- ности, так и при наличии у заказчика собственного SOC. Наведите смартфон на QR- код, чтобы подробнее узнать о сервисах Центра противодей- ствия киберугрозам Innostage CyberART и проконсультиро- ваться по решениям, которые позволят защитить вашу инфор- мационную инфраструктуру. l • 33 SOC и TI www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ INNOSTAGE см. стр. 70 NM Реклама