Киберразведывательное решение для бизнеса: обзор отечественной разработки
Платформа Threat Intelligence (TIP) в рамках Security Vision 5 осуществляет сбор сведений об угрозах внутри корпоративного периметра, а также анализирует существующие и возможные киберриски в целом. После обработки этой информации система позволяет определить наиболее эффективные меры противодействия, выстроить стратегию защиты и тем самым обеспечить информационную безопасность организации с учётом современных вызовов.
Сущность Threat Intelligence Platform
Решение Threat Intelligence Platform (TIP) на базе Security Vision 5 служит для выявления признаков атак на основе поведенческих маркеров и формирования долгосрочной стратегии информационной безопасности предприятия, учитывающей актуальные угрозы и риски.
С одной стороны, продукт интегрируется в инфраструктуру компании и аккумулирует данные для анализа в виде необработанных событий. С другой — ведёт киберразведку, используя коммерческие и открытые источники с индикаторами компрометации (IoC), атак (IoA) и стратегическими атрибутами. Далее автоматизируются процессы анализа для поиска угроз (Threat Hunting), а также устранения инцидентов и их последствий.
Рассмотрим каждый компонент более детально.
Сбор информации внутри периметра
Для оперативного получения актуальных и непротиворечивых данных в реальном времени используются внутренние источники, такие как результаты расследования инцидентов и данные от корпоративных средств защиты информации. К ним обычно относятся сведения из песочниц, deception-платформ, прокси- и почтовых серверов, каталогов и веб-приложений. Система предлагает готовые коннекторы для интеграции с другими решениями: в большинстве случаев используются подключения к СЗИ, применяемым в SOC (SIEM, SOAR, NGFW, EDR/XDR и т.д.), а также к сетевым аналитическим сервисам.
Поддерживается как сбор данных через агенты и коллекторы, так и безагентская интеграция с любыми внешними системами. Security Vision TIP работает с универсальными форматами (CEF, LEEF, EMBLEM, ELFF, Syslog, Event log) и другими способами передачи данных (STIX, JSON, XML, CSV, REST API, SQL, MISP, Kafka), а также включает специальный конструктор для настройки новых интеграций в режиме Low-code:
- HTTP (API-запросы get, post, put, patch, delete) и DNS;
- базы данных (SQL-запросы к СУБД: MS SQL, MySQL, Postgres и Oracle);
- файлы (операции чтения/записи с машиночитаемыми файлами);
- корпоративная почта (IMAP, POP3, SMTP, Exchange);
- службы каталогов (LDAP, Active Directory);
- удаленное выполнение скриптов (WMI, PowerShell, SSH, SshShell);
- локальное исполнение скриптов (на сервере Security Vision): исполняемые команды, Shell-скрипты, команды Bash, Unix shell, команды командной строки Windows cmd, пакетные файлы Windows, bat и другие (например, Python, Java, JavaScript).
После подключения источников выполняется автоматическая перекрестная проверка и дедупликация (очистка) данных, обогащенных контекстом (не просто перечень IoC, а связи между индикатором, кибергруппой, вредоносным ПО и вектором атаки), а также классификация индикаторов по типам с установкой для каждого периода актуальности. Это помогает оптимизировать базу данных системы, оставляя информацию только о текущих угрозах: например, по умолчанию срок жизни индикаторов типа хешей не ограничен, а часто обновляемые угрозы, такие как IP- и email-адреса, обновляются чаще (поскольку устаревают и имеют другой параметр TTL).
Все очищенные данные со своими сроками актуальности попадают в общую базу, которая используется для аналитики и поиска угроз.
Киберразведка
Процесс сбора, обработки и анализа информации о текущих и потенциальных киберугрозах для принятия решений в области информационной безопасности традиционно делится на четыре уровня.
1. На техническом уровне применяются статические объекты, указывающие на уже совершенную атаку (IoC), включая сигнатурные методы.
Примерами индикаторов компрометации могут служить контрольные суммы вредоносных программ, идентификаторы выполняемых процессов, записи в системном реестре, имена мьютексов и каналов, сетевые адреса и доменные имена злонамеренных ресурсов, веб-ссылки, а также цифровые отпечатки сертификатов опасных серверов (такие как JA3, JA3S, JARM). Зачастую индикаторы классифицируют по типам и степени серьезности (к примеру, обращение к рекламному порталу с низким уровнем угрозы или запуск идентифицированного вредоносного файла могут рассматриваться SOC-аналитиками с разной степенью срочности и по отличающимся процедурам реагирования).
Индикаторы компрометации (наряду с прочей информацией с периметра) подвергаются фильтрации, устранению дубликатов, а также оценке по уровню угрозы и достоверности. Помимо срока актуальности определяется их применимость, что обеспечивает эффективное использование в обнаружении угроз и минимизацию ложных срабатываний.
2. На тактическом уровне используются индикаторы атаки — динамические признаки, указывающие на активную кибератаку, возможно, на её начальных этапах, ещё до реализации деструктивных последствий.
Индикаторы атаки описывают тактики, методы и процедуры злоумышленников — последовательности действий и применяемый инструментарий, которые свидетельствуют о вероятном нападении, которое ещё можно остановить. Это даёт возможность спрогнозировать следующие шаги противника в инфраструктуре и заблокировать его дальнейшее продвижение. Индикаторы атаки сложнее формализовать, и они могут быть менее структурированы по сравнению с индикаторами компрометации, однако злоумышленникам значительно труднее изменить свою характерную манеру действий и набор используемых средств.
Кроме того, на тактическом уровне в отраслевых SOC-центрах анализируются специализированные данные киберразведки (например, признаки мошеннических операций или индикаторы несанкционированных действий в финансовых организациях). Это могут включать идентификаторы фирм-однодневок, подозрительное поведение клиентов (например, нестандартные операции через банкоматы) и номера телефонов, используемые для обналичивания средств.
3. На операционном уровне рассматриваются атрибуты, связанные с актуальными уязвимостями и эксплойтами, вредоносными кампаниями и семействами вредоносного ПО, а также информация о мотивах и целях киберпреступных группировок.
На этом уровне анализируются данные об эксплойтах и уязвимостях, связи между используемыми в атаках слабыми местами, применяемыми вредоносными инструментами, программами и хакерскими группами, а также целевыми отраслями. Например, в результате мониторинга DarkNet-форума поставщик разведданных по угрозам может выявить, что группа, активно атакующая российские компании, начала использовать эксплойт для недавно обнаруженной уязвимости, присутствующей в инфраструктуре организации (это означает, что устранение данной уязвимости должно стать первоочередной и срочной задачей, а в SIEM-системе необходимо установить усиленный мониторинг всех потенциально уязвимых устройств).
4. На стратегическом уровне анализируются данные о тенденциях в области киберугроз, целях и побуждениях хактивистов и кибернаемников, активности преступных кибергруппировок, а также сведения о государственных киберконфликтах.
Эта информация формирует основу для стратегии управления киберрисками, планирования бюджета на информационную безопасность и совершенствования возможностей внутреннего SOC-центра. Она также служит ориентиром для возможной корректировки бизнес-стратегии компании с учетом оценки угроз. Именно здесь киберразведка демонстрирует свою ценность для бизнеса: если команда SOC предоставила руководству практическую аналитику, на основе которой отдел ИБ получил дополнительное финансирование или расширенные полномочия, а бизнес-процессы были адаптированы для снижения киберрисков, это свидетельствует об эффективности выбранного подхода Threat Intelligence.
В процессе киберразведки в Security Vision TIP доступны готовые интеграции с коммерческими и открытыми источниками TI-данных (BI.Zone, Kaspersky, Solar, Гарда, CyberThreatTech, F6, Vault, Tracker, DigitalSide, Shodan, MISP, URLhaus, VirusTotal) и более 100 коннекторов, с возможностью создания новых в конструкторе платформы.
Кроме сторонних источников, модуль включает:
- встроенный пакет фидов от Security Vision с ежедневным обновлением свыше 50 000 IOC собственным аналитическим центром, включая данные от ФСТЭК, НКЦКИ и ФинЦЕРТ;
- возможность комбинировать фиды от любых поставщиков без привязки лицензий коннекторов к конкретным вендорам или их версиям;
- базу интеграций на маркетплейсе.
Анализ
После сбора внутренних событий и фидов подключаются внешние источники: общедоступные потоки информации, OSINT-ресурсы (например, данные регистраторов доменов, базы IANA и ICANN, публичные реестры), информация от государственных CERT (таких как НКЦКИ и ФинЦЕРТ), внешние аналитические сервисы (VirusTotal, Shodan, LOLBAS, KasperskyOpenTIP, IPGeolocation.io и другие) и прочие данные, предоставляемые ИБ-компаниями и сообществами.
Инструменты анализа используют встроенную (и регулярно обновляемую) базу MITRE ATT&CK, а также ИИ-помощников: внешние LLM (ChatGPT, Yandex, Deepseek и др.) и встроенные ML-модели для обработки неструктурированных данных (например, бюллетеней).
Обогащение данных запускается автоматически для обнаруженных инцидентов (или вручную — при необходимости проверить гипотезу об угрозе, не выявленной в периметре), а сами обнаружения являются результатом работы нескольких аналитических механизмов:
- анализ полного архива индикаторов (retro), включая полнотекстовый поиск по любым параметрам записей (базовый поиск, фильтрация с логическими операторами и интерактивные графы взаимосвязей);
- проверка в реальном времени (match) для оценки всех новых индикаторов на интенсивных потоках информации (от 100К событий в секунду);
- модуль углубленного анализа киберугроз (second match), выполняющий повторную верификацию и дополнительную корреляцию с внешними платформами и внутренними источниками данных;
- модуль обнаружения алгоритмически создаваемых доменов (DGA) и фишинговых индикаторов.
В совокупности эти функции позволяют создавать контекстно обогащённые события, сокращая число ложных срабатываний, повышая точность первичного анализа и ускоряя реагирование на инциденты.
Также обеспечивается обмен (экспорт) данными Threat Intelligence с сообществом информационной безопасности и партнёрами с учётом меток конфиденциальности TLP, присвоение тегов, управление индикаторами (например, удаление, ручная корректировка TTL, установка связей).
Для поддержки стратегического планирования в продукте Security Vision TIP значительное внимание уделяется работе с бюллетенями. Они помогают выявлять тенденции и разрабатывать стратегии защиты инфраструктуры, предоставляя аналитикам актуальные данные, оценку влияния и рекомендации по ответным действиям. В продукте продолжает совершенствоваться автоматическая интеграция и получение бюллетеней от отдельных вендоров и агрегаторов. Модели машинного обучения позволяют автоматически обрабатывать бюллетени и связывать их с индикаторами конкретных обнаружений, с возможностью просмотра из карточки инцидента или графа расследования.
Специалисты по ИБ могут использовать IoA и обогащённые данные для проактивного поиска угроз (Threat Hunting), в рамках которого в SOC-центре исследуются гипотезы и сценарии потенциальных атак с учётом знаний о TTP злоумышленников, релевантных для защищаемой организации.
Реагирование
Встроенные механизмы реагирования и взаимодействия со средствами защиты информации, в частности, запуск действий из инцидента и аналитического графа связей, могут быть расширены интеграцией с Security Vision SOAR. Эта платформа использует технологию динамических сценариев ответа с объектно-ориентированным подходом (сценарии в таком случае автоматически строятся в зависимости от типов объектов и артефактов в инцидентах) и формированием цепочек атак (группировка инцидентов по объектам и временной шкале).
Использование Security Vision TIP предоставляет SOC-центру следующие преимущества:
- подчеркивание значимости SOC для компании через формирование аналитики в сфере кибербезопасности на стратегическом уровне и способность предвидеть трансформацию угроз для точной оценки киберрисков;
- активная позиция в защите от кибератак благодаря прогнозному анализу, основанному на сведениях об угрозах, уязвимостях, тенденциях и методах атак;
- сокращение времени реагирования благодаря объединению данных TI с инструментами защиты SOC, оперативному обнаружению вторжений, действенному противодействию с учётом контекста атаки и выявленных следов, что уменьшает период скрытого пребывания злоумышленников в сети (dwell time);
- определение наиболее значимых уязвимостей, дополненных информацией об их использовании в реальных кибератаках;
- реализация задач по оценке компрометации и поиску угроз (Compromise Assessment, Threat Hunting).
Платформа Security Vision, включающая модуль Security Vision TIP, занесена в базу данных Минкомсвязи России и реестр отечественного программного обеспечения (запись №364 от 08.04.2016), имеет сертификаты ФСТЭК России (Сертификат по 4 уровню доверия № 4964 от 19.08.2025), ФСБ России (Заключение 8 Центра ФСБ России 149/3/6/908 от 01.10.2024), Минобороны РФ (сертификат № 7564 от 28.08.2025), а также ОАЦ при Президенте Республики Беларусь (сертификат № BY/112 02.02. ТР027 036.01 01673 от 6.12.2024).
■ Рекламаerid:2W5zFGrm6EDРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/
