Журнал "Information Security/ Информационная безопасность" #5, 2023

Илья Селезнев, Гарда: На мой взгляд, активного слияния не происходит, упор больше делается на создание экосистем. То есть использо- вание одного продукта становится более эффективным или удобным при включе- нии второго, третьего – в зависимости от состава экосистемы. Если же такая тенденция появится, то, конечно, цент- ром такого слияния будет SOAR. Валерия Чулкова, R-Vision: Учитывая, что TIP не только агрегирует данные TI в едином пространстве, но и обеспечивает инструментами аналитики, обнаружения и экспорта, сложно сказать, что этот функционал мигрирует в другие системы. При этом потребность в данных киберразведки со стороны других систем заметно растет, и формат платформы TI наилучшим образом подходит для централизованной доставки данных киберразведки в системы ИБ. Наиболее активное применение этих данных при- ходится на системы SIEM. Однако такие системы. как SOAR, песочницы, EDR, IDS, также нуждаются в атрибуции IoC. Елена Шамшина, F.A.C.C.T.: В ближайшем будущем все больше данных из TI будут интегрироваться в смежные ИБ-системы для корреляции и построения моделей киберугроз. Все больше компаний, оказывающих под- держку клиентам в качестве SOC, используют в своей работе TI-плат- формы. Борис Сторонкин, Лаборатория Касперского: Тренд централизации данных классов решений действительно имеет место быть в решениях класса XDR. При внед- рении XDR важно обеспечить полноцен- ное взаимодействие между его компо- нентами и выстроить процессы, эффек- тивно использующие эти взаимодей- ствия. Роман Овчинников, Security Vision: Все три класса применяются в про- цессе управления киберинцидентами, поэтому неудивителен тренд на конвер- генцию функционала данных систем. В процессе реагирования важно выпол- нение активных действий по оперативной локализации и устранению угрозы, а источник данных об инциденте (SIEM- система или конечное СЗИ) не так важны, поэтому выстраивание подобного объединения видится целесообразным вокруг решений класса NG SOAR. Олег Скулкин, BI.ZONE: Многие вендоры уже предлагают широ- кий набор интеграций с самыми разными решениями. Обычно это данные техни- ческого уровня, а именно потоки инди- каторов компрометации. Тем не менее, хорошие платформы содержат в том числе данные тактического, операцион- ного и стратегического уровней, а это значит, что обогащение можно значи- тельно улучшить: оно может включать описание группировки или ВПО, связан- ные инструменты, уязвимости и т.п. Валерия Чулкова, R-Vision: С учетом изменений конъюнктуры рынка ИБ в России можно прогнозиро- вать развитие возможностей интеграции с отечественными вендорами систем ИБ. При этом постоянная борьба за ресурсы специалистов будет стимули- ровать развитие автоматизации сцена- риев работы с данными TI. Тренд на внедрение технологий ML уже можно наблюдать в разных элементах плат- форм. В целом же в TIP будут появляться новые источники данных киберразведки, улучшаться элементы анализа и обмена данными, совершенствоваться общий пользовательский опыт эксплуатации. Борис Сторонкин, Лаборатория Касперского: 1. Будет доступно расширение типов и увеличение объемов хранимой инфор- мации. 2. Станет возможным нахождение свя- зей и улучшение контекстной информации по каждому типу, в том числе с использо- ванием искусственного интеллекта. 3. Уже сейчас есть спрос на Tailored TI, и вендоры будут активнее фокусиро- ваться именно на релевантных для кон- кретного заказчика данных. Роман Овчинников, Security Vision: Уже сейчас заметен тренд на приме- нение технологий машинного обучения и искусственного интеллекта для выявле- ния аномалий, проактивного обнаруже- ния и реагирования на киберугрозы в TIP-решениях. Не исключен отход от классических IoC (хеши, домены, URL, IP) в сторону выявления индикаторов атак (IoA) с автоматическим реагирова- нием при их обнаружении. Алексей Семенычев, Гарда: Перспективными направлениями раз- вития можно считать технологии машин- ного обучения для работы с большими объемами данных, интеграцию с систе- мами SIEM (управление информацией о безопасности и управление событиями безопасности), SOAR (оркестрация систем безопасности), интеграцию с DRPS (защита от цифровых рисков) и EASM (управление поверхностью внешней атаки). Кирилл Митрофанов, Лаборатория Касперского: 1. Популярность TIP будет расти, поль- зователи осознают необходимость делится информацией об инцидентах в рамках парадигмы "предупрежден – значит вооружен". 2. Появится автоматический парсинг загружаемых отчетов по TTPs с целью обогатить профили акторов и ландшафт киберугроз. 3. Станет возможным предоставление контекстной информации "на лету" в брау- зере в процессе чтения отчетов в Сети. 4. Появится модуль эмуляции атак на основе обработанных данных из отчетов. Олег Скулкин, BI.ZONE: Платформы должны развиваться в первую очередь в сторону обеспечения качества данных. К сожалению, сейчас многие ограничиваются лишь сбором данных из открытых источников, которые зачастую содержат небольшое количе- ство релевантной информации. Кроме того, многие вендоры будут внедрять свои данные Threat Intelligence в собст- венные продукты, например EDR. l Каковы перспективы и тренды развития плат- форм TIP? Наблюдаете ли вы слия- ние функциональности российских систем SIEM, SOAR и TIP? Вокруг какого класса решений это происходит или ско- рее всего произойдет? 44 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru