Контакты
Подписка 2025
Статьи по информационной безопасности

Перспективы и тренды развития платформ TIP

Редакция журнала "Информационная безопасность", 18/01/24

Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Разработчиками этого класса решений посмотрели на перспективы его развития.

ris2-1

Эксперты:

  • Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
  • Роман Овчинников, руководитель отдела исполнения Security Vision
  • Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
  • Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
  • Олег Скулкин, руководитель BI.ZONE Threat Intelligence
  • Николай Степанов, пресейл-инженер F.A.C.C.T.
  • Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
  • Валерия Чулкова, руководитель продукта R-Vision TIP
  • Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.

Наблюдаете ли вы слияние функциональности российских систем SIEM, SOAR и TIP? Вокруг какого класса решений это происходит или скорее всего произойдет?

Илья Селезнев, Гарда:

На мой взгляд, активного слияния не происходит, упор больше делается на создание экосистем. То есть использование одного продукта становится более эффективным или удобным при включении второго, третьего – в зависимости от состава экосистемы. Если же такая тенденция появится, то, конечно, центром такого слияния будет SOAR.

Валерия Чулкова, R-Vision:

Учитывая, что TIP не только агрегирует данные TI в едином пространстве, но и обеспечивает инструментами аналитики, обнаружения и экспорта, сложно сказать, что этот функционал мигрирует в другие системы. При этом потребность в данных киберразведки со стороны других систем заметно растет, и формат платформы TI наилучшим образом подходит для централизованной доставки данных киберразведки в системы ИБ. Наиболее активное применение этих данных приходится на системы SIEM. Однако такие системы. как SOAR, песочницы, EDR, IDS, также нуждаются в атрибуции IoC.

Елена Шамшина, F.A.C.C.T.:

В ближайшем будущем все больше данных из TI будут интегрироваться в смежные ИБ-системы для корреляции и построения моделей киберугроз. Все больше компаний, оказывающих поддержку клиентам в качестве SOC, используют в своей работе TI-платформы.

Борис Сторонкин, Лаборатория Касперского:

Тренд централизации данных классов решений действительно имеет место быть в решениях класса XDR. При внедрении XDR важно обеспечить полноценное взаимодействие между его компонентами и выстроить процессы, эффективно использующие эти взаимодействия.

Роман Овчинников, Security Vision:

Все три класса применяются в процессе управления киберинцидентами, поэтому неудивителен тренд на конвергенцию функционала данных систем. В процессе реагирования важно выполнение активных действий по оперативной локализации и устранению угрозы, а источник данных об инциденте (SIEM-система или конечное СЗИ) не так важны, поэтому выстраивание подобного объединения видится целесообразным вокруг решений класса NG SOAR.

Олег Скулкин, BI.ZONE:

Многие вендоры уже предлагают широкий набор интеграций с самыми разными решениями. Обычно это данные технического уровня, а именно потоки индикаторов компрометации. Тем не менее, хорошие платформы содержат в том числе данные тактического, операционного и стратегического уровней, а это значит, что обогащение можно значительно улучшить: оно может включать описание группировки или ВПО, связанные инструменты, уязвимости и т.п.

Каковы перспективы и тренды развития платформ TIP?

Валерия Чулкова, R-Vision:

С учетом изменений конъюнктуры рынка ИБ в России можно прогнозировать развитие возможностей интеграции с отечественными вендорами систем ИБ. При этом постоянная борьба за ресурсы специалистов будет стимулировать развитие автоматизации сценариев работы с данными TI. Тренд на внедрение технологий ML уже можно наблюдать в разных элементах платформ. В целом же в TIP будут появляться новые источники данных киберразведки, улучшаться элементы анализа и обмена данными, совершенствоваться общий пользовательский опыт эксплуатации.

Борис Сторонкин, Лаборатория Касперского:

  1. Будет доступно расширение типов и увеличение объемов хранимой информации.
  2. Станет возможным нахождение связей и улучшение контекстной информации по каждому типу, в том числе с использованием искусственного интеллекта.
  3. Уже сейчас есть спрос на Tailored TI, и вендоры будут активнее фокусироваться именно на релевантных для конкретного заказчика данных.

Роман Овчинников, Security Vision:

Уже сейчас заметен тренд на применение технологий машинного обучения и искусственного интеллекта для выявления аномалий, проактивного обнаружения и реагирования на киберугрозы в TIP-решениях. Не исключен отход от классических IoC (хеши, домены, URL, IP) в сторону выявления индикаторов атак (IoA) с автоматическим реагированием при их обнаружении.

Алексей Семенычев, Гарда:

Перспективными направлениями развития можно считать технологии машинного обучения для работы с большими объемами данных, интеграцию с системами SIEM (управление информацией о безопасности и управление событиями безопасности), SOAR (оркестрация систем безопасности), интеграцию с DRPS (защита от цифровых рисков) и EASM (управление поверхностью внешней атаки).

Кирилл Митрофанов, Лаборатория Касперского:

  1. Популярность TIP будет расти, пользователи осознают необходимость делится информацией об инцидентах в рамках парадигмы "предупрежден – значит вооружен".
  2. Появится автоматический парсинг загружаемых отчетов по TTPs с целью обогатить профили акторов и ландшафт киберугроз.
  3. Станет возможным предоставление контекстной информации "на лету" в браузере в процессе чтения отчетов в Сети.
  4. Появится модуль эмуляции атак на основе обработанных данных из отчетов.

Олег Скулкин, BI.ZONE:

Платформы должны развиваться в первую очередь в сторону обеспечения качества данных. К сожалению, сейчас многие ограничиваются лишь сбором данных из открытых источников, которые зачастую содержат небольшое количество релевантной информации. Кроме того, многие вендоры будут внедрять свои данные Threat Intelligence в собственные продукты, например EDR.
Темы:Круглый столThreat IntelligenceThread Intelligence PlatformЖурнал "Информационная безопасность" №5, 2023TIP

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"