23 апреля 2022 года, в НИИ Региональных проблем информатизации ГАОУ ВО «Дагестанский государственный университет народного хозяйства» прошел научно-технический семинар на тему: «АНАЛИЗ ИСПОЛЬЗОВАНИЯ СЕРВИСОВ THREAT INTELLIGENCE», на котором с докладом выступил кандидат экономических наук, доцент кафедры «Информационные технологии и информационная безопасность» Меджидов Заур Уруджалиевич.

В последние годы возросла роль методов киберразведки и анализа угроз, а именно Threat Intelligence – это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак. Простыми словами — это вся информация, которая даёт возможность понять угрозу. Это могут быть как низкоуровневые данные (хеш, IP-адрес), так и данные о конкретном злоумышленнике, заинтересованном в атаке на целевую систему. Как правило, компании могут сами собирать данные о киберугрозах или заказывать информацию у сторонних поставщиков.

Где применяется?

  • Крупные компании
  • Государственные учреждения
  • Финансовые организации
  • Поставщики услуг по управлению безопасностью
  • Промышленные предприятия

Виды данных о киберугрозах

  • Тактические — техническая информация, (например, необычные DNS-запросы, IP-адреса и домены, принадлежащие ботнетам или командным серверам вредоносного ПО);
  • Операционные — описание техник и процедур, которыми пользуются злоумышленники, а также их возможностей и преследуемых ими целей.
  • Стратегические — данные о рисках, связанных с конкретными угрозами.

Как работают с данными о киберугрозах

Весь процесс работы с threat intelligence можно разделить на следующие этапы:

  1. Планирование — постановка задачи для программы или специалистов.
  2. Сбор и обработка данных— сбор информации об актуальных угрозах;
  3. Анализ — изучение полученных данных, в том числе подозрительных файлов и программ, формирование гипотез и рекомендаций.
  4. Распространение — передача threat intelligence заинтересованным лицам, например специалистам внутри компании, если она собирала данные для себя, или клиентам, если организация выполняла заказ третьих лиц.
  5. Обратная связь — получение и учет реакции сотрудников или клиентов организации на предоставленную информацию.

Применение данных о киберугрозах

Threat intelligence может применяться на разных этапах защиты организации. В частности, ИБ-специалисты компании могут использовать эти данные для активного поиска угроз в инфраструктуре организации. Индикаторы компрометации позволяют усовершенствовать пассивные защитные инструменты, например обновить правила брандмауэра. Кроме того, данные об угрозах могут применяться при расследовании киберинцидентов.

Потоки данных Threat intelligence используются в различных решениях для обеспечения информационной безопасности, таких как SIEM и EDR-платформы, а также в шлюзах с имплементацией потоков данных о киберугрозах (Threat Intelligence Gateway, TIG).

SOAP (от англ. Simple Object Access Protocol — простой протокол доступа к объектам)

SIEM система — управление информацией и событиями безопасности

EDR система — обнаружение сложных и целевых атак на рабочие станции, сервера, любые компьютерные устройства (конечные точки) и оперативно на них реагировать.

Какие есть решения на рынке ИБ?

1) Threat Intelligence Platforms (TIP) — c открытым исходным кодом (open source):

  •  GOSINT;
  •  MISP (Malware Information Sharing Platform)

2) Проприетарные TIP (коммерческие, с закрытым исходным кодом, зарубежные): 

  • Anomali ThreatStream TIP;
  • Palo Alto Networks WildFire;  
  • IBM X-Force Threat Intelligence Services;
  • ESET Threat Intelligence;
  • Avast Threat Intelligence;
  • Cisco Threat Intelligence Director

3) Проприетарные TIP (коммерческие, с закрытым исходным кодом, отечественные):

  • Kaspersky Threat Intelligence Services
  • Group-IB Threat Intelligence;
  • R-Vision TIP

В результате проведенного исследования мы пришли к следующему результату.

Kaspersky Threat Intelligence – лидер на рынке! Он включает:

Kasperky CyberTrace — платформа для управления данными о киберугрозах;

Kaspersky Threat Data Feeds — потоки данных об угрозах;

Kaspersky Threat Lookup — поисковый портал о киберугрозах и взаимосвязях;

Kaspersky Cloud Sandbox — облачная песочница;

Kaspersky Digital Footprint Intelligence — набор аналитических отчетов об угрозах.

В обсуждении доклада приняли активное участие сотрудники НИИ и приглашенные специалисты: Савзиханова С. Э., Раджабов К. Я., Кобзаренко Д.Н., Гасанова З.А., Омаров Ш.К., Мурузов М.М., Савина Е.В., Магомедова Д.С., Расул Магомедович, Гусейн Аюбов, Гаджи Хазамов, Агаханов Э.К. и др.