Контакты
Подписка 2025

Threat Intelligence Platform: проблемы, прогнозы, перспективы

Редакция журнала "Информационная безопасность", 14/12/23

Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Вместе с разработчиками этого класса решений рассмотрим ключевые черты и возможности Threat Intelligence Platform, которые делают ее важным инструментом в стратегии современной кибербезопасности.

ris1-Dec-14-2023-11-46-18-0835-AM

Эксперты:

  • Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
  • Роман Овчинников, руководитель отдела исполнения Security Vision
  • Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
  • Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
  • Олег Скулкин, руководитель BI.ZONE Threat Intelligence
  • Николай Степанов, пресейл-инженер F.A.C.C.T.
  • Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
  • Валерия Чулкова, руководитель продукта R-Vision TIP
  • Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.

Когда компании стоит задуматься о приобретении платформы TIP?

Илья Селезнев, Гарда:

Если говорить про TIP, то это продукт для зрелого с точки зрения ИБ заказчика. Должны быть внедрены средства мониторинга, обнаружения, предотвращения инцидентов и другие СЗИ. И конечно, для TIP необходимы разные источники фидов, в этом случае эффективность кратно возрастет.

Для менее зрелых заказчиков можно рассмотреть вариант покупки TI Feeds и обогащать фидами непосредственно те средства, которые имеются в арсенале. Это в том числе предлагаем и мы.

Валерия Чулкова, R-Vision:

Как правило, TI становится актуальным с момента построения процесса реагирования на инциденты либо при построении собственного SOC в тех компаниях, где критично понимать текущие угрозы и их влияние на организацию. Со временем объем данных TI становится очень большим, появляется необходимость в хранении и обогащении собственных IoC. Если процессы сбора, обогащения, мониторинга и анализа данных TI не систематизированы и не автоматизированы, они становятся очень ресурсоемкими и снижают эффективность. В таких случаях стоит рассмотреть внедрение платформы TIP, которая позволит оптимизировать эти процессы, а также ресурсы для их обеспечения и тем самым внесет весомый вклад в обнаружение сложных атак и общий уровень защиты организации.

Борис Сторонкин, Лаборатория Касперского:

Если компания только начинает собирать TI из доступных открытых источников и своих собственных расследований инцидентов, можно это делать в электронной таблице или бесплатной TI-платформе с открытым исходным кодом. Когда компания начинает использовать коммерческие фиды, это обычно означает, что либо ИБ-риски стали выше, либо появилась возможность их более эффективно закрывать. На данном этапе уже целесообразно использование более зрелой коммерческой платформы Threat Intelligence, поскольку она, как правило, более приспособлена к большим объемам индикаторов и имеет хорошие интеграционные возможности с другими СЗИ, в частности с SIEM-системами.

Олег Скулкин, BI.ZONE:

Компании стоит задуматься о приобретении TIP, когда у нее появляются сотрудники, которые занимаются кибербезопасностью, и есть хотя бы минимальный набор средств защиты. Данные, содержащиеся в TIP, позволяют руководителю и специалистам понять ландшафт угроз, ускорить работу с выявленными инцидентами и обогащать СЗИ данными технического уровня.

Елена Шамшина, F.A.C.C.T.:

Учитывая беспрецедентный рост кибератак, утечек, повышение активности хактивистов и проправительственных групп, а также уход из России иностранных вендоров, задуматься необходимо было еще вчера. Данные Threat Intelligence помогают заранее узнавать о готовящихся кибератаках, оперативно получать индикаторы компрометации и фиды, чтобы превентивно защититься от актуальных киберугроз. Клиентом TIP может быть уже достаточно зрелая компания, которая проектирует или уже использует свою систему защиты, умеет правильно обрабатывать и процессить данные с Threat Intelligence, понимает, как эти знания помогут предотвратить инциденты ИБ.

Роман Овчинников, Security Vision:

В первую очередь в компании должна быть реализована система защиты, позволяющая успешно выявлять и предотвращать атаки на основании информации из TIP. К таким решениям можно отнести SIEM, SOAR, XDR/EDR, прокси и песочницы. Не менее важным является наличие и зрелость процесса управления киберинцидентами, а также документированная процедура обработки обнаружений IoC.

Кирилл Митрофанов, Лаборатория Касперского:

Когда компания четко осознает нехватку тактической, оперативной и стратегической информации об атаках/акторах, которые релевантны ее ландшафту киберугроз. Когда руководство понимает, зачем нужен TI в целом и хочет интегрировать его в уже существующие процессы – как минимум Incident Response и как максимум – Threat Hunting. Когда есть штат аналитиков, которые будут наполнять базу TIP свежими разведданными, поступивших из разных источников.

Топ-3 ошибок при внедрении, которые резко снизят эффективность платформы TIP.

Кирилл Митрофанов, Лаборатория Касперского:

  1. Преследование цели "чтобы было".
  2. Отсутствие необходимых ресурсов для работ по наполнению TIP.
  3. Попытки сфокусировать внимание только на фидах, превращая TIP в хранилище индикаторов.

Роман Овчинников, Security Vision:

  1. Использование некачественных поставщиков IoC или попытка использовать сразу все доступные.
  2. Отсутствие проработки списка исключений – легитимные IoC, список False Positive и т.д.
  3. Отсутствие или некорректная настройка TTL для IoC, в результате чего будет накапливаться база неактуальных IoC.

Николай Степанов, F.A.C.C.T.:

  1. Заказчик не понимает, в чем ценность данных, полученных от Threat Intelligence, и как их эффективно использовать для предотвращения потенциальных киберугроз.
  2. Не выстроены процессы или отсутствуют эксперты, которые умеют работать с полученными индикаторами/информацией. То есть многие компании недооценивает количество ресурсов, нужное для обработки данных (в первую очередь людских), из-за чего не получают желаемого результата. Если вы задумались о киберразведке, спросите себя: "Хватит ли у меня времени и людей, заниматься ею?", так как это в первую очередь инструмент для достижения цели, а не самоцель.

Олег Скулкин, BI.ZONE:

  1. Использование потоков данных, нерелевантных для отрасли или географии организации.
  2. Пренебрежение использованием платформы для получения знаний о локальном ландшафте угроз.
  3. Отсутствие интеграции данных технического уровня, предоставляемых платформой, с имеющимися средствами защиты.

Валерия Чулкова, R-Vision:

  1. Выбор неэффективных и нерелевантных поставщиков данных для защищаемого ландшафта является критичной ошибкой и может создать неправильное впечатление о работе платформы, так как использование таких данных напрямую влияет на результаты обнаружения и превентивной защиты. Необходимо тщательно проанализировать источники и оставить только доверенные, например оценить фиды по динамике поступления новых данных, сравнить источники по уникальности и т.д.
  2. Использование устаревших IoC. Актуальность IoC меняется с высокой скоростью, поэтому важно, чтобы платформа регулярно обновляла получаемую от поставщиков информацию. Ограничение доступа TIP к фидам и сервисам обогащения ведет к потере актуальности используемых данных.
  3. Ошибочно оставлять данные киберразведки только внутри TIP и не использовать все возможности интеграции с другими ИБ-системами. С помощью TIP, например, можно осуществлять поиск IoC в логах событий SIEM, регистрировать инциденты в SOAR по обнаружениям, экспортировать IoC на СЗИ, обогащать данными другие системы.

Борис Сторонкин, Лаборатория Касперского:

  1. Несоответствие возможностей выбранной TI-платформы объему имеющегося TI.
  2. Отсутствие интеграций с имеющимися СЗИ.
  3. Отсутствие специалистов по работе с TI.
  4. Отсутствие эффективных процессов использования TI в расследовании инцидентов.

Алексей Семенычев, Гарда:

  1. Отсутствие знаний о собственной инфраструктуре и месте TIP.
  2. Использование данных платформы только в режиме черных/белых списков.
  3. Игнорирование возможностей автоматизации обработки событий информационной безопасности с учетом данных, предоставляемых TIP.
Темы:Круглый столThread Intelligence PlatformЖурнал "Информационная безопасность" №5, 2023Thread IntelligenceTIP

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • Прошло ли время TeamViewer и AnyDesk в России?
    Иностранные решения для удаленного администрирования и техподдержки рабочих мест вроде TeamViewer или AnyDesk почти безраздельно царили в своем сегменте российского рынка. Однако с начала 2022 г. ситуация заметно поменялась.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Потеряет ли актуальность Vulnerability Management с повсеместным внедрением процессов безопасной разработки?
    C распространением процессов безопасной разработки (РБПО) встает вопрос: не потеряет ли актуальность традиционные способы управления уязвимостями? Редакция журнала "Информационная безопасность" поинтересовалась мнением экспертов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...