0

Казахстан занимает 31-е место в глобальном индексе киберготовности. В стране есть развитые системы мониторинга казахстанского интернет-пространства, поиска и устранения уязвимостей в информационных системах и инфраструктурах. Однако, все эти системы являются реактивными, и появляется нужда в адаптации проактивных методов кибербезопасности как, например, практика и культура Threat intelligence (TI).

Threat intelligence имеет несколько переводов на русский язык. Кто-то переводит TI дословно – киберразведка, другие просто как данные о киберугрозах, а третьи привязывают значение TI к культуре обмена данными. Все три понятия связаны между собой, так как они подразумевают два ключевых аспекта TI – обработка и обмен данными. «Лаборатория Касперского» определяет TI как «информацию об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цель, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак.» Второй аспект TI – обмен данными – «работает, как коллективный иммунитет: чем больше участников задействованы в этом процессе, тем выше вероятность успешно противостоять атакующим.» То есть благодаря обмену информацией об уязвимостях, можно построить эффективную, проактивную систему предотвращения кибер атак. Но стоит отметить, что у этой системы есть свои определенные проблемные моменты связанные со сбором данных и нехваткой специалистов. Об этом и одном из решений данных проблем, — расскажу в этой статье.

Начнем со сбора и обработки данных. Одним из способов работы TI является сбор данных об инцидентах с открытых источников. О проблемах открытых источников TI подробно написали в статье «Разбираемся в источниках Threat Intelligence», опубликованной на портале Хабр. В блоге основными моментами отметили такие аспекты как подбор источников, понимание структуры фида, агрегация и дедупликация, актуальность данных, понимание расписания обновления источников и очистка, обогащение и хранение индикаторов. Среди этих факторов стоит отметить понимание структуры, агрегацию и дедупликацию, а также актуальность данных.

  • Понимание структуры фида означает сбор контекста индикаторов, а именно «временные метки, аттрибуцию (кто, кого, когда, зачем, почему и какими инструментами атакует)», без него индикаторы будут просто индикаторами, и могут привести к тому, что их будут неправильно использовать.
  • Агрегация и дедупликация представляет собой вопросы какому источнику доверять если они дают противоречивую информацию об индикаторе, и что делать если источники дают одну и ту же информацию.
  • Актуальность данных относится к случаям, когда индикатор убрали или он пропал из фида, но помимо этого также важно знать с какой частотой обновляются данные, чтобы получать свежую информацию, иначе есть шанс просто не успеть получить актуальную информацию.

Все эти аспекты могут быть решены, если у организации есть квалифицированные кадры или штат людей, который способен справиться с этими задачами, что приводит нас к проблеме нехватки специалистов. Без квалифицированных специалистов невозможно не только обеспечить поддержку инфраструктуры обмена и проанализировать полученные данные, но и обеспечить эффективную информационную безопасность. Теперь же встает вопрос: А что тогда делать?

Ответ на этот вопрос очень прост. Как один из вариантов решения этих проблем и защиты информационных систем компаний является приобретение услуги TI у доверенных вендоров, как «Лаборатория Касперского.» Их портал Kaspersky Threat Intelligence предоставляет доступ ко всем знаниям, которые на протяжении более 20 лет собирали, проверяли и классифицировали специалисты «Лаборатории Касперского». Платформа предоставляет подробные и актуальные сведения об угрозах (файлы, URL-адреса, домены, IP-адреса, контрольные суммы файлов, названия угроз, статистику и информацию об активности, данные WHOIS/DNS и т. д.), которые позволяют специалистам по реагированию на инциденты:

  • Определять, требует ли событие в очереди немедленного реагирования или дополнительного исследования;
  • Использовать первое обнаружение в качестве исходной точки для раскрытия всех деталей инцидента и соответствующего реагирования;
  • Определять, на какие системы и как именно повлиял инцидент, – и предоставлять ценную информацию другим вовлеченным в данный процесс департаментам;
  • Изучать тактику и технологии киберпреступников и выявлять их цели для определения максимально эффективных мер противодействия.

Тем самым, организации не придется искать дополнительные ресурсы на поиск открытых источников и дальнейшую ее обработку.

Белые хакеры помогут выявлять уязвимости eGov.kz

Previous article

Большая информационная безопасность для маленьких компаний

Next article

You may also like