Контакты
Подписка 2026

Киберразведка по методу Innostage – CyberART TI

Камиль Садыков, 12/12/23

Нередко компании из самых разных отраслей для защиты от ИБ-угроз прибегают к системам киберразведки (Threat Intelligence, TI), которая позволяет им перейти в проактивную стадию – действовать на опережение: выявлять новые угрозы, определяя наиболее актуальные из них, и выбирать самые эффективные средства защиты.

Автор: Камиль Садыков, ведущий аналитик информационной безопасности Innostage

Что такое Cyber TI?

Применяемые в киберразведке подходы активно совершенствуются, многие компании разрабатывают собственные методики проактивного противодействия киберугрозам. И такой опыт часто достататочно универсален, чтобы использоваться в других организациях, и в том числе в SOC.

В компании Innostage разработан собственный подход к киберразведке – инструмент CyberART TI (CARTI), который производит сбор, анализ и интерпретацию информации о возможных угрозах для компьютерных систем, сетей и приложений. Работа CARTI нацелена на обеспечение защиты бизнес-активов от кибератак, предотвращение утечек данных и нарушений, связанных с обеспечением кибербезопасности.

Использование СЗИ совместно с TI позволяет реагировать на возникающие угрозы превентивно, предотвращая их, а также отражая атаки, выявленные при помощи правил детектирования по IoC. Для еще большей эффективности необходимо принимать защитные меры, которые соответствуют существующему ландшафту угроз и меняются вместе с ним.

Правильной реакцией на возникновение новой угрозы является мгновенное "закрытие" эксплуатируемых уязвимостей – такую возможность дает непрерывный анализ потока информации об актуальном инструментарии киберпреступников и характере их действий.

Мониторинг и CTI

Есть и еще одна сфера применения Cyber TI – киберразведка в контексте мониторинга, которая дает аналитикам сведения, сокращая время реакции на инцидент, так как в их распоряжении уже есть данные о потенциальных угрозах, прошедшие предварительную обработку и позволяющие заранее разработать сценарии реагирования.

Речь идет об индикаторах компрометации, которые хакеры всегда оставляют "на месте преступления", – информации об отдельных объектах, свидетельствующих о киберугрозах. Правда, в отличие от отпечатков пальцев человека, такие объекты могут видоизменяться или даже подменяться другими. Например, злоумышленники могут заменять или добавлять символы в файлы, использовать или менять различные IP-адреса и доменные имена.

Последовательность проведения киберразведки

Процесс киберразведки можно разделить на несколько последовательных этапов.

На первом этапе производится накопление данных, которые приводят к единому формату для последующего хранения и обработки.

Затем, на втором этапе, информация обрабатывается, выстраиваются связи и зависимости между отдельными данными, проводится проверка их достоверности и репрезентативности.

Третий этап посвящен скорингу данных, оценке их ценности и тегированию. Все это необходимо, чтобы облегчить последующую работу с полученной информацией.

Обработанные таким образом данные необходимо распространить, чтобы на их основе выстроить защиту инфраструктур и систем. В зависимости от типа средств защиты для распространения выбирается формат данных, который они поддерживают. Учитываются также методы защиты, которые используются при проведении мониторинга, блокировки и в других защитных действиях.

ris1_new

Важно! Сильную защиту обеспечивает только сочетание различных мер – блокировка зловредов или опасных действий едва ли позволит ИБ-специалистам составить полноценную картину при анализе угроз. Например, при блокировке перехода и попытке подключиться к управляющему серверу какого-нибудь вируса только мониторинг поможет узнать, была ли скомпрометирована система и нужно ли принимать контрмеры.

Формирование и развитие CyberART TI

Компания Innostage занимается обеспечением информационной безопасности крупных организаций, в частности использует киберразведку. В 2018 г. для этих целей применялся MISP – Open Source-платформа для анализа угроз, а также различные бесплатные сервисы на ее основе.

Затем для автоматического сбора информации на сторонних ресурсах и формирования собственной базы данных о выявленных инцидентах вместе с MISP стал использоваться Cortex by Palo Alto Networks (Cortex XDR).

Со временем эксперты компании ощутили явную нехватку функциональности применяемых решений. Например, в MISP отсутствовала автоматизация обогащения индикаторов компрометации. В компании ее реализовали при помощи надстройки, которая при скачивании информации перепроверяла запрос. Правда, такая реализация MISP требовала, чтобы при каждом запросе к источнику он перепроверялся заново, даже если к нему в этот день уже был десяток обращений.

Иными словами, в Innostage стали выпускать собственные надстройки для MISP – самописные парсеры, нормализаторы и даже некоторые сборщики данных, которые позволяли искать информацию по тегам. Со временем у Innostage появились собственные парсеры для поиска индикаторов компрометации из текста, которые дали возможность расширить круг используемых источников и начать мониторинг социальных сетей.

К 2022 г. в компании сформировалась методология практической реализации киберразведки. Innostage стала применять собственный подход к этому процессу, с оригинальными правилами корреляции, агрегации, нормализации и сбора данных.

Cyber TI и SOC

В киберразведке, в рамках SOC, есть свои особенности – анализ тенденций атак, изучение их техник и тактик, на основе которых формируется контент для мониторинга систем. Характерен также поиск индикаторов компрометации. Эти особенности в киберразведку привносит создание и использование сервиса для целей SOC. Для работы SOC актуально получение данных о связанной инфраструктуре, управляющих серверах, методах проверки подключения к Интернету, обработки ожидания соединения и т.д. Эти данные формируют видение потенциальных целевых атак на основе найденной в ходе киберразведки информации. Иными словами, SOС ведет поиск новых регистраций сертификатов, анализ активности поведения на всевозможных чатах и форумах. CyberART TI позволяет SOC ускорить этот процесс, автоматически предоставляя целый комплекс уже накопленной актуальной информации в обработанном виде.

Применение Cyber TI возможно в случае выявления любого инцидента, не только связанного именно с индикатором компрометации, но и созданного по правилу корреляции за счет поиска связанной информации по отдельными атрибутам, полученным в ходе расследования.

Поиск связей производится в рамках анализа отдельных угроз от потенциально вредоносных программ, серверов управлений, сканеров. Выявляется их взаимодействие между собой, группы дублирующих зеркал в проксировании, используемые хакерами, и т.п. Устанавливается связь самой программы с управляющими серверами. Ведется ретроспективный анализ для использования при проверке исторических данных. В результате ИБ-аналитики SOС получают полное представление о том, что могло случиться в инфраструктуре, и при помощи индикатора компрометации могут сформировать актуальные данные за определенный период.

Как оценить эффективность киберразведки?

С одной стороны, выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска, а также рассчитать скорости реакции SOC на критичные инциденты ИБ и, исходя из этих данных, оценить эффективность инструмента.

TI помогает решать и другие задачи риск-менеджмента, например принимать управленческие решения при планировании выхода на новые рынки. Применение методов Threat Intelligence позволит соотнести предстоящие затраты с прогнозируемой прибылью.

Почему своя TI-платформа нужна не всем

TI-платформы как класс нельзя назвать универсальным решением. Некоторым компаниям не нужно производить сложные корреляции и осуществлять полный цикл работ с фидами. У каждой компании есть свои подходы к обеспечению ИБ, и многие организации не будут разрабатывать собственную платформу, а скорее выберут уже готовую. Но это не отменяет того, что развитие ИБ-аналитики в компании требует формирования стратегии, в рамках которой необходимо внедрение подходов к киберразведке. Опыт Innostage может стать актуальным для множества заказчиков.

Для расширения охвата мониторинга и оперативного реагирования на угрозы в большинстве проектов, после подготовки инфраструктуры заказчика и SOC, внедрения контента и настройки источников, Innostage организует работы по TI. Это один из верхнеуровневых сервисов, востребованных как в аутсорсинговых и гибридных форматах представления услуг по обеспечению кибербезопасности, так и при наличии у заказчика собственного SOC.

Наведите смартфон на QR-код, чтобы подробнее узнать о сервисах Центра противодействия киберугрозам Innostage CyberART и проконсультироваться по решениям, которые позволят защитить вашу информационную инфраструктуру.

ris2-Dec-12-2023-08-28-20-4227-AM

 

Темы:SOCThreat IntelligenceInnostageВебмониторэксЖурнал "Информационная безопасность" №5, 2023
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Искусственный интеллект скоро начнет скрывать инциденты
    Ольга Гордеева, магистрант направления «Инноватика» ФГАОУ ВО Казанский (Приволжский) федеральный университет
    Событий в SOC становится все больше, а аналитиков больше не становится. Поэтому системы на базе ИИ уже сегодня помогают сортировать инциденты, расставлять приоритеты и отсеивать часть шума. Следующий логичный шаг – разрешить искусственному интеллекту самостоятельно закрывать часть инцидентов без участия человека. Но это значит, что система начнет решать не только на что обратить внимание аналитика, но и выбирать, что он вообще никогда не увидит.
  • Ваш SOC или наш? Как не переплатить за кибербезопасность
    Константин Хитрово, менеджер GSOC компании “Газинформсервис”
    Делать SOC самостоятельно или передавать его внешнему провайдеру – дилемма многих организаций. Найти для себя наиболее оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.
  • Собственная разведка отдела ИБ
    Алексей Шлейгер, специалист по тестированию на проникновение в RTM Group
    Тhreat Intelligence помогает получать актуальные данные о киберугрозах и использовать их в работе. Это не теория, а практический инструмент: TI позволяет заранее выявлять подготовку атак, понимать методы злоумышленников и быстрее реагировать на инциденты. Правильно внедренная киберразведка делает защиту компании не реактивной, а упреждающей.
  • Интеграция NGFW в SOC: особенности и нюансы
    Дмитрий Лебедев, ведущий специалист отдела продвижения продуктов “Кода Безопасности”, эксперт по сетевой безопасности
    Компании все меньше закупают модные, но одиночные ИБ-решения, и тщательнее продумывают сочетания продуктов, которые придают системе безопасности прочность, – комплексная система кибербезопасности становится все популярнее. Один из элементов комплексной организации защиты – интеграция NGFW в SOC.
  • Три ловушки, которые вам готовит ваш SOC
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Завершаем серию публикаций о ключевых аспектах деятельности SOC. Описанные в предыдущих материалах направления формируют замкнутый цикл, превращая SOC из операционного центра в ключевой элемент киберустойчивости организации и ее стратегический актив. В финальной статье расскажем, какие типичные ловушки подстерегают компании, развивающие собственный SOC, почему они возникают и что сделать, чтобы в них не попасть.э

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...