Контакты
Подписка 2025
Статьи по информационной безопасности

Threat Intelligence Platform: проблемы, прогнозы, перспективы

Редакция журнала "Информационная безопасность", 14/12/23

Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Вместе с разработчиками этого класса решений рассмотрим ключевые черты и возможности Threat Intelligence Platform, которые делают ее важным инструментом в стратегии современной кибербезопасности.

ris1-Dec-14-2023-11-46-18-0835-AM

Эксперты:

  • Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
  • Роман Овчинников, руководитель отдела исполнения Security Vision
  • Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
  • Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
  • Олег Скулкин, руководитель BI.ZONE Threat Intelligence
  • Николай Степанов, пресейл-инженер F.A.C.C.T.
  • Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
  • Валерия Чулкова, руководитель продукта R-Vision TIP
  • Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.

Когда компании стоит задуматься о приобретении платформы TIP?

Илья Селезнев, Гарда:

Если говорить про TIP, то это продукт для зрелого с точки зрения ИБ заказчика. Должны быть внедрены средства мониторинга, обнаружения, предотвращения инцидентов и другие СЗИ. И конечно, для TIP необходимы разные источники фидов, в этом случае эффективность кратно возрастет.

Для менее зрелых заказчиков можно рассмотреть вариант покупки TI Feeds и обогащать фидами непосредственно те средства, которые имеются в арсенале. Это в том числе предлагаем и мы.

Валерия Чулкова, R-Vision:

Как правило, TI становится актуальным с момента построения процесса реагирования на инциденты либо при построении собственного SOC в тех компаниях, где критично понимать текущие угрозы и их влияние на организацию. Со временем объем данных TI становится очень большим, появляется необходимость в хранении и обогащении собственных IoC. Если процессы сбора, обогащения, мониторинга и анализа данных TI не систематизированы и не автоматизированы, они становятся очень ресурсоемкими и снижают эффективность. В таких случаях стоит рассмотреть внедрение платформы TIP, которая позволит оптимизировать эти процессы, а также ресурсы для их обеспечения и тем самым внесет весомый вклад в обнаружение сложных атак и общий уровень защиты организации.

Борис Сторонкин, Лаборатория Касперского:

Если компания только начинает собирать TI из доступных открытых источников и своих собственных расследований инцидентов, можно это делать в электронной таблице или бесплатной TI-платформе с открытым исходным кодом. Когда компания начинает использовать коммерческие фиды, это обычно означает, что либо ИБ-риски стали выше, либо появилась возможность их более эффективно закрывать. На данном этапе уже целесообразно использование более зрелой коммерческой платформы Threat Intelligence, поскольку она, как правило, более приспособлена к большим объемам индикаторов и имеет хорошие интеграционные возможности с другими СЗИ, в частности с SIEM-системами.

Олег Скулкин, BI.ZONE:

Компании стоит задуматься о приобретении TIP, когда у нее появляются сотрудники, которые занимаются кибербезопасностью, и есть хотя бы минимальный набор средств защиты. Данные, содержащиеся в TIP, позволяют руководителю и специалистам понять ландшафт угроз, ускорить работу с выявленными инцидентами и обогащать СЗИ данными технического уровня.

Елена Шамшина, F.A.C.C.T.:

Учитывая беспрецедентный рост кибератак, утечек, повышение активности хактивистов и проправительственных групп, а также уход из России иностранных вендоров, задуматься необходимо было еще вчера. Данные Threat Intelligence помогают заранее узнавать о готовящихся кибератаках, оперативно получать индикаторы компрометации и фиды, чтобы превентивно защититься от актуальных киберугроз. Клиентом TIP может быть уже достаточно зрелая компания, которая проектирует или уже использует свою систему защиты, умеет правильно обрабатывать и процессить данные с Threat Intelligence, понимает, как эти знания помогут предотвратить инциденты ИБ.

Роман Овчинников, Security Vision:

В первую очередь в компании должна быть реализована система защиты, позволяющая успешно выявлять и предотвращать атаки на основании информации из TIP. К таким решениям можно отнести SIEM, SOAR, XDR/EDR, прокси и песочницы. Не менее важным является наличие и зрелость процесса управления киберинцидентами, а также документированная процедура обработки обнаружений IoC.

Кирилл Митрофанов, Лаборатория Касперского:

Когда компания четко осознает нехватку тактической, оперативной и стратегической информации об атаках/акторах, которые релевантны ее ландшафту киберугроз. Когда руководство понимает, зачем нужен TI в целом и хочет интегрировать его в уже существующие процессы – как минимум Incident Response и как максимум – Threat Hunting. Когда есть штат аналитиков, которые будут наполнять базу TIP свежими разведданными, поступивших из разных источников.

Топ-3 ошибок при внедрении, которые резко снизят эффективность платформы TIP.

Кирилл Митрофанов, Лаборатория Касперского:

  1. Преследование цели "чтобы было".
  2. Отсутствие необходимых ресурсов для работ по наполнению TIP.
  3. Попытки сфокусировать внимание только на фидах, превращая TIP в хранилище индикаторов.

Роман Овчинников, Security Vision:

  1. Использование некачественных поставщиков IoC или попытка использовать сразу все доступные.
  2. Отсутствие проработки списка исключений – легитимные IoC, список False Positive и т.д.
  3. Отсутствие или некорректная настройка TTL для IoC, в результате чего будет накапливаться база неактуальных IoC.

Николай Степанов, F.A.C.C.T.:

  1. Заказчик не понимает, в чем ценность данных, полученных от Threat Intelligence, и как их эффективно использовать для предотвращения потенциальных киберугроз.
  2. Не выстроены процессы или отсутствуют эксперты, которые умеют работать с полученными индикаторами/информацией. То есть многие компании недооценивает количество ресурсов, нужное для обработки данных (в первую очередь людских), из-за чего не получают желаемого результата. Если вы задумались о киберразведке, спросите себя: "Хватит ли у меня времени и людей, заниматься ею?", так как это в первую очередь инструмент для достижения цели, а не самоцель.

Олег Скулкин, BI.ZONE:

  1. Использование потоков данных, нерелевантных для отрасли или географии организации.
  2. Пренебрежение использованием платформы для получения знаний о локальном ландшафте угроз.
  3. Отсутствие интеграции данных технического уровня, предоставляемых платформой, с имеющимися средствами защиты.

Валерия Чулкова, R-Vision:

  1. Выбор неэффективных и нерелевантных поставщиков данных для защищаемого ландшафта является критичной ошибкой и может создать неправильное впечатление о работе платформы, так как использование таких данных напрямую влияет на результаты обнаружения и превентивной защиты. Необходимо тщательно проанализировать источники и оставить только доверенные, например оценить фиды по динамике поступления новых данных, сравнить источники по уникальности и т.д.
  2. Использование устаревших IoC. Актуальность IoC меняется с высокой скоростью, поэтому важно, чтобы платформа регулярно обновляла получаемую от поставщиков информацию. Ограничение доступа TIP к фидам и сервисам обогащения ведет к потере актуальности используемых данных.
  3. Ошибочно оставлять данные киберразведки только внутри TIP и не использовать все возможности интеграции с другими ИБ-системами. С помощью TIP, например, можно осуществлять поиск IoC в логах событий SIEM, регистрировать инциденты в SOAR по обнаружениям, экспортировать IoC на СЗИ, обогащать данными другие системы.

Борис Сторонкин, Лаборатория Касперского:

  1. Несоответствие возможностей выбранной TI-платформы объему имеющегося TI.
  2. Отсутствие интеграций с имеющимися СЗИ.
  3. Отсутствие специалистов по работе с TI.
  4. Отсутствие эффективных процессов использования TI в расследовании инцидентов.

Алексей Семенычев, Гарда:

  1. Отсутствие знаний о собственной инфраструктуре и месте TIP.
  2. Использование данных платформы только в режиме черных/белых списков.
  3. Игнорирование возможностей автоматизации обработки событий информационной безопасности с учетом данных, предоставляемых TIP.
Темы:Круглый столВебмониторэксThread Intelligence PlatformЖурнал "Информационная безопасность" №5, 2023TIP

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Один бюджет, один приоритет: как вложиться в безопасность контейнеров?
    Что делать, если есть только один бюджет, а направлений – десятки? Спросили у экспертов: во что стоит инвестировать в 2025 г., если выбирать придется только одно направление – рантайм, цепочка поставок, харденинг или что-то еще?
  • Почему Shift Left не работает в контейнерах?
    DevSecOps-инструменты зрелы, автоматизация доступна, сканеры интегрируются в CI/CD – но 70–75% контейнерных образов по-прежнему содержат уязвимости высокого уровня. Что мешает реальному "сдвигу влево"? Мы собрали мнения инженеров и ИБ-специалистов, чтобы разобраться: где именно срывается безопасность – в культуре, инфраструктуре или ожиданиях.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 
  • Нужна ли 100%-ная автоматизация в управлении конфигурациями?
    Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности