Журнал "Information Security/ Информационная безопасность" #5, 2023

Елена Шамшина, F.A.C.C.T.: Учитывая беспрецедентный рост кибератак, утечек, повышение актив- ности хактивистов и проправитель- ственных групп, а также уход из России иностранных вендоров, задуматься необходимо было еще вчера. Данные Threat Intelligence помогают заранее узнавать о готовящихся кибератаках, оперативно получать индикаторы ком- прометации и фиды, чтобы превен- тивно защититься от актуальных кибе- ругроз. Клиентом TIP может быть уже достаточно зрелая компания, которая проектирует или уже использует свою систему защиты, умеет правильно обрабатывать и процессить данные с Threat Intelligence, понимает, как эти знания помогут предотвратить инци- денты ИБ. Роман Овчинников, Security Vision: В первую очередь в компании должна быть реализована система защиты, поз- воляющая успешно выявлять и пред- отвращать атаки на основании инфор- мации из TIP. К таким решениям можно отнести SIEM, SOAR, XDR/EDR, прокси и песочницы. Не менее важным является наличие и зрелость процесса управления киберинцидентами, а также документи- рованная процедура обработки обнару- жений IoC. Кирилл Митрофанов, Лаборатория Касперского: Когда компания четко осознает нехват- ку тактической, оперативной и страте- гической информации об атаках/акторах, которые релевантны ее ландшафту киберугроз. Когда руководство понима- ет, зачем нужен TI в целом и хочет интегрировать его в уже существующие процессы – как минимум Incident Response и как максимум – Threat Hunt- ing. Когда есть штат аналитиков, которые будут наполнять базу TIP свежими раз- ведданными, поступивших из разных источников. Кирилл Митрофанов, Лаборатория Касперского: 1. Преследование цели "чтобы было". 2. Отсутствие необходимых ресурсов для работ по наполнению TIP. 3. Попытки сфокусировать внимание только на фидах, превращая TIP в хра- нилище индикаторов. Роман Овчинников, Security Vision: 1. Использование некачественных поставщиков IoC или попытка исполь- зовать сразу все доступные. 2. Отсутствие проработки списка исключений – легитимные IoC, список False Positive и т.д. 3. Отсутствие или некорректная настройка TTL для IoC, в результате чего будет накапливаться база неакту- альных IoC. Николай Степанов, F.A.C.C.T.: 1. Заказчик не понимает, в чем цен- ность данных, полученных от Threat Intel- ligence, и как их эффективно использо- вать для предотвращения потенциаль- ных киберугроз. 2. Не выстроены процессы или отсут- ствуют эксперты, которые умеют работать с полученными индикаторами/информа- цией. То есть многие компании недооце- нивает количество ресурсов, нужное для обработки данных (в первую очередь людских), из-за чего не получают желае- мого результата. Если вы задумались о киберразведке, спросите себя: "Хватит ли у меня времени и людей, заниматься ею?", так как это в первую очередь инструмент для достижения цели, а не самоцель. Олег Скулкин, BI.ZONE: 1. Использование потоков данных, нерелевантных для отрасли или геогра- фии организации. 2. Пренебрежение использованием платформы для получения знаний о локальном ландшафте угроз. 3. Отсутствие интеграции данных тех- нического уровня, предоставляемых платформой, с имеющимися средствами защиты. Валерия Чулкова, R-Vision: 1. Выбор неэффективных и нереле- вантных поставщиков данных для защищаемого ландшафта является критичной ошибкой и может создать неправильное впечатление о работе платформы, так как использование таких данных напрямую влияет на результаты обнаружения и превентив- ной защиты. Необходимо тщательно проанализировать источники и оста- вить только доверенные, например оценить фиды по динамике поступле- ния новых данных, сравнить источники по уникальности и т.д. 2. Использование устаревших IoC. Актуальность IoC меняется с высокой скоростью, поэтому важно, чтобы плат- форма регулярно обновляла получаемую от поставщиков информацию. Ограниче- ние доступа TIP к фидам и сервисам обогащения ведет к потере актуальности используемых данных. 3. Ошибочно оставлять данные кибер- разведки только внутри TIP и не исполь- зовать все возможности интеграции с другими ИБ-системами. С помощью TIP, например, можно осуществлять поиск IoC в логах событий SIEM, регистриро- вать инциденты в SOAR по обнаруже- ниям, экспортировать IoC на СЗИ, обо- гащать данными другие системы. Борис Сторонкин, Лаборатория Касперского: 1. Несоответствие возможностей выбранной TI-платформы объему имею- щегося TI. 2. Отсутствие интеграций с имеющи- мися СЗИ. 3. Отсутствие специалистов по работе с TI. 4. Отсутствие эффективных процессов использования TI в расследовании инци- дентов. Алексей Семенычев, Гарда: 1. Отсутствие знаний о собственной инфраструктуре и месте TIP. 2. Использование данных платформы только в режиме черных/белых спис- ков. 3. Игнорирование возможностей авто- матизации обработки событий инфор- мационной безопасности с учетом дан- ных, предоставляемых TIP. Топ-3 ошибок при внед- рении, которые резко снизят эффективность платформы TIP. • 43 SOC и TI www.itsec.ru