Когда знать врага в лицо — не метафора: разбираем Security Vision TIP

Когда знать врага в лицо — не метафора: разбираем Security Vision TIP
image

Киберразведка сегодня переживает настоящий ренессанс. Мировой рынок Threat Intelligence вырос с 16,8 миллиарда долларов в 2024 году и, по прогнозам, взлетит до 57,9 миллиарда к 2034-му. В России картина ещё драматичнее: российские платформы киберразведки всё активнее внедряются в корпоративную практику. Причины очевидны: количество атак на российские компании с февраля 2022-го не просто увеличилось — оно остаётся на критически высоком уровне, а программы-вымогатели сохраняют лидирующие позиции среди киберугроз.

Вот в этом контексте решение Threat Intelligence Platform (TIP) на базе Платформы Security Vision 5 выглядит не просто набором инструментов, а полноценной системой опережающей защиты. Задача платформы — выявлять признаки атак через поведенческие паттерны и строить долгосрочную стратегию информационной безопасности с учётом реальных, а не гипотетических угроз.

Двусторонняя защита: собираем данные изнутри и снаружи

Платформа работает по двум направлениям одновременно. С одной стороны, она интегрируется в корпоративный периметр для сбора «сырых» событий — тех самых крупиц информации, которые могут указать на начало атаки. С другой — осуществляет киберразведку, используя коммерческие и open-source фиды с индикаторами компрометации (IoC), атак (IoA) и стратегическими атрибутами. После того как данные собраны, система автоматизирует процессы анализа для охоты за угрозами (Threat Hunting) и непосредственного устранения инцидентов с их последствиями.

Звучит абстрактно? Давайте разберём ключевые компоненты детальнее.

Сбор данных в периметре: всё под контролем

Внутренние источники — результаты обработки инцидентов и данные корпоративных средств защиты информации — обеспечивают получение оперативной и непротиворечивой информации в режиме реального времени. Основными источниками выступают данные из песочниц и deception-платформ, прокси- и почтовых серверов, каталогов и веб-приложений. Доступны готовые коннекторы к другим системам: в большинстве внедрений применяются интеграции с решениями, используемыми в SOC (SIEM, SOAR, NGFW, EDR/XDR и другие), а также с аналитическими сервисами.

Поддерживаются два варианта сбора данных: агентский — с серверов и коллекторов, и безагентский — интеграция с любой внешней системой. Security Vision TIP работает с универсальными форматами (CEF, LEEF, EMBLEM, ELFF, Syslog, Event log) и различными способами передачи данных (STIX, JSON, XML, CSV, REST API, SQL, MISP, Kafka). Встроенный конструктор позволяет настраивать новые интеграции в режиме Low-code:

  • HTTP (API запросы get, post, put, patch, delete) и DNS;
  • базы данных (SQL запросы: MS SQL, MySQL, Postgres, Oracle);
  • файлы (операции чтения/записи с машиночитаемыми файлами);
  • корпоративная почта (IMAP, POP3, SMTP, Exchange);
  • службы каталогов (LDAP, Active Directory);
  • удалённое выполнение скриптов (WMI, PowerShell, SSH, SshShell);
  • локальное исполнение скриптов на сервере Security Vision: исполняемые команды, Shell скрипты, команды Bash, Unix shell, командная строка Windows cmd, пакетные файлы bat и другие (Python, Java, JavaScript).

После подключения источников выполняются автоматическая кросс-проверка и дедупликация — очистка данных, обогащенных контекстом. Это не просто список IoC, а связь между индикатором, кибергруппой, вредоносным программным обеспечением и вектором атаки. Также производится классификация индикаторов по типам с установкой периода «жизни» для каждого. Это облегчает базу данных и сохраняет информацию только об актуальных угрозах: по умолчанию срок жизни хешей не ограничивается, тогда как часто обновляемые угрозы (IP- и email-адреса) имеют другой признак TTL.

Все очищенные данные со своими жизненными циклами поступают в общую базу для аналитики и поиска угроз.

Киберразведка: от тактики до стратегии

Процесс сбора, обработки и анализа информации о текущих и потенциальных киберугрозах для принятия решений в области информационной безопасности традиционно делится на четыре уровня. И каждый решает свои задачи.

Технический уровень — здесь используются статические объекты, указывающие на уже произошедшую атаку (IoC), включая сигнатурные.

Примеры индикаторов компрометации: хэши вредоносных файлов, имена процессов, ключи реестра, названия мьютексов и именованных каналов, IP-адреса и DNS-имена вредоносных ресурсов, URL-ссылки, отпечатки сертификатов вредоносных серверов (JA3, JA3S, JARM). В некоторых случаях применяется разделение IoC по категориям и уровням критичности — например, низкорисковое обращение к рекламному сайту или запуск подтверждённого вредоносного файла могут обрабатываться в SOC с различным приоритетом и разными сценариями реагирования.

Индикаторы компрометации (как и другие данные из периметра) проходят очистку, дедупликацию, оценку опасности и доверия (скоринг). Помимо времени «жизни» устанавливается актуальность, что обеспечивает участие индикаторов в обнаружениях и снижает ложноположительные срабатывания.

Тактический уровень — применяются индикаторы атак (IoA), динамические объекты, указывающие на происходящую кибератаку, возможно, на ранних стадиях и до наступления негативных последствий.

В индикаторах атак описаны тактики, техники и процедуры (Tactics, Techniques, and Procedures, TTP) атакующих — последовательности действий и применяемые инструменты, свидетельствующие о вероятной атаке, которую ещё можно предотвратить. Это позволяет предугадать следующие шаги атакующих в инфраструктуре и помешать их продвижению. Индикаторы атак сложнее в описании и могут быть менее структурированы, чем индикаторы компрометации, но злоумышленникам труднее заменить свой почерк и инструментарий.

Кроме того, на тактическом уровне в отраслевых SOC-центрах обрабатываются специфические данные киберразведки — например, индикаторы фрода или признаки операций, совершённых без согласия клиентов в финансовых учреждениях. Это могут быть ИНН фирм-однодневок, действия клиентов, являющиеся признаками мошенничества (подозрительные операции с банкоматами), и телефонные номера дропов.

Операционный уровень — обрабатываются атрибуты, относящиеся к актуальным уязвимостям и эксплойтам, вредоносным киберкампаниям и семействам ВПО, информация о мотивации и целях киберпреступных групп и кластеров.

На этом уровне анализируются эксплойты и уязвимости, данные о связях используемых в атаках уязвимостей, применяемых эксплойтах, вредоносном ПО и хакерских инструментах, кибергруппах, атакуемых отраслях. Например, по результатам мониторинга DarkNet-форума поставщик TI-данных выявил, что кибергруппа, активно атакующая российские компании, начала применять эксплойт для недавно опубликованной уязвимости, актуальной для инфраструктуры компании. Это означает, что устранение данной уязвимости должно быть приоритетным и срочным, а в SIEM-системе нужно взять на углублённый мониторинг все потенциально уязвимые устройства.

Стратегический уровень — используются данные о трендах киберугроз, целях и мотивации хактивистов и кибернаёмников, активности киберпреступных кластеров, а также информация о государственных конфликтах в киберпространстве.

Сведения этого уровня определяют стратегию управления киберрисками, бюджетирование направления информационной безопасности и развитие функционала внутреннего SOC-центра, а также служат вводными для возможной корректировки стратегии развития бизнеса компании с учётом анализа киберугроз. Именно на этом уровне киберразведка демонстрирует свою значимость для бизнеса: если команда SOC-центра предоставила руководству действенные аналитические выводы, на основе которых направление ИБ получило расширение бюджета или новые полномочия, а бизнес-процессы были скорректированы для минимизации киберрисков, можно говорить об успешности выбранной стратегии Threat Intelligence.

Сведения этого уровня определяют стратегию управления киберрисками, бюджетирование направления информационной безопасности и развитие функционала внутреннего SOC-центра, а также служат вводными для возможной корректировки стратегии развития бизнеса компании с учётом анализа киберугроз. Именно на этом уровне киберразведка демонстрирует свою значимость для бизнеса: если команда SOC-центра предоставила руководству действенные аналитические выводы, на основе которых направление ИБ получило расширение бюджета или новые полномочия, а бизнес-процессы были скорректированы для минимизации киберрисков, можно говорить об успешности выбранной стратегии Threat Intelligence.

Для киберразведки в Security Vision TIP доступны готовые интеграции с коммерческими и открытыми источниками TI-данных (BI.Zone, Kaspersky, Solar, Гарда, CyberThreatTech, F6, Vault, Tracker, DigitalSide, Shodan, MISP, URLhaus, VirusTotal) и более 100 коннекторов с возможностью разработки новых в конструкторе платформы.

Помимо сторонних поставщиков в модуле имеются:

  • встроенный пакет фидов от Security Vision с ежедневным обновлением более 50 000 IOC собственным аналитическим центром, включая данные от ФСТЭК, НКЦКИ и ФинЦЕРТ;
  • возможность комбинировать фиды от любых поставщиков без «привязки» лицензий коннекторов к вендорам или конкретным версиям;
  • база интеграций на маркетплейсе.

Анализ: где машинное обучение встречается с опытом аналитиков

После сбора внутренних событий и фидов подключаются внешние источники: общедоступные информационные потоки, OSINT-ресурсы (данные доменных регистраторов, базы IANA и ICANN, публичные реестры), данные от государственных CERT (НКЦКИ и ФинЦЕРТ), внешних аналитических сервисов (VirusTotal, Shodan, LOLBAS, KasperskyOpenTIP, IPGeolocation.io и прочие) и другие данные от ИБ-компаний и сообществ.

Средства анализа используют встроенную (и обновляемую) базу MITRE ATT&CK, а также ИИ-помощников: внешние большие языковые модели (ChatGPT, Yandex, Deepseek и другие) и встроенные ML-модели для анализа неструктурированных данных, например, бюллетеней. Стоит отметить, что в 2024-2025 годах чаще всего злоумышленники использовали тактику обхода защиты (TA0005: Defense Evasion) в 30% случаев — именно такие паттерны и помогает выявлять система.

Обогащение запускается автоматически для обнаружений (или вручную — при необходимости проверить гипотезу по угрозе, не замеченной в периметре), а сами обнаружения появляются в результате работы нескольких движков:

  • проверка полного архива индикаторов (retro), возможности полнотекстового поиска по любым атрибутам карточек (простой поиск, фильтрация с логическими условиями и интерактивные графы связей);
  • проверка на потоке (match) для анализа всех вновь поступающих индикаторов на больших потоках данных (от 100К EPS);
  • движок глубокой аналитики киберугроз (second match), который обеспечивает вторичную проверку и дополнительную корреляцию с внешними системами и внутренними источниками данных;
  • движок выявления алгоритмически генерируемых доменов (DGA) и фишинговых индикаторов.

Совместно они позволяют формировать контекстно обогащённые события, уменьшая количество ложноположительных срабатываний, улучшая качество триажа и повышая эффективность реагирования на инциденты.

Поддерживаются также обмен (экспорт) TI-данными с ИБ-сообществом и партнёрскими организациями с учётом TLP-меток конфиденциальности, присвоение тэгов, управление индикаторами (удаление, ручное изменение TTL, установка связей).

Для принятия стратегических решений в продукте Security Vision TIP значительное внимание уделяется работе с бюллетенями. Они помогают выявить тренды и спланировать стратегию защиты инфраструктуры, предоставляя оперативную информацию для аналитиков, оценки воздействия и рекомендации по реагированию. В продукте продолжает развиваться реализация автоматической интеграции и получения бюллетеней от отдельных поставщиков и агрегаторов. ML-модели позволяют автоматически провести обработку бюллетеней и их связку с индикаторами конкретного обнаружения с возможностью просмотра из карточки инцидента или из графа расследования.

Для принятия стратегических решений в продукте Security Vision TIP значительное внимание уделяется работе с бюллетенями. Они помогают выявить тренды и спланировать стратегию защиты инфраструктуры, предоставляя оперативную информацию для аналитиков, оценки воздействия и рекомендации по реагированию. В продукте продолжает развиваться реализация автоматической интеграции и получения бюллетеней от отдельных поставщиков и агрегаторов. ML-модели позволяют автоматически провести обработку бюллетеней и их связку с индикаторами конкретного обнаружения с возможностью просмотра из карточки инцидента или из графа расследования.

ИБ-специалисты могут применять IoA и обогащённые данные для проактивного поиска угроз (Threat Hunting), при котором в SOC-центре прорабатываются гипотезы и сценарии вероятных атак с учётом знаний о TTP атакующих, релевантных для защищаемой компании.

Реагирование: от обнаружения до устранения

Встроенное реагирование и взаимодействие с СЗИ, в частности, запуск действий из инцидента и аналитического графа связей, можно дополнить интеграцией с Security Vision SOAR, который использует технологию динамических плейбуков с объектно-ориентированным подходом (сценарии в таком случае выстраиваются автоматически в зависимости от типов объектов и артефактов в инцидентах) и выстраиванием цепочек атак (группировка инцидентов по объектам и таймлайну).

Зачем это всё нужно: конкретные преимущества

Использование Security Vision TIP даёт SOC-центру следующие преимущества:

  • демонстрация ценности работы SOC для бизнеса за счёт предоставления кибераналитики стратегического уровня и возможности прогнозировать изменения ландшафта угроз для верной оценки киберрисков;
  • проактивный подход к киберзащите за счёт предиктивного анализа с использованием знаний об угрозах, уязвимостях, трендах, векторах атак;
  • ускорение реагирования за счёт интеграции TI-данных с защитными решениями SOC, быстрого выявления вторжений, эффективного противодействия с учётом контекста атаки и обнаруженных артефактов, что приводит к сокращению времени скрытного присутствия атакующих в сети (dwell time);
  • приоритизация релевантных уязвимостей, обогащённых данными об их эксплуатации в реальных кибератаках;
  • выполнение задач Compromise Assessment, Threat Hunting.

Актуальность этого решения подтверждают цифры: только во второй половине 2024 года масштаб утечек данных значительно вырос — доля баз, имеющих более 100 тысяч строк, выросла с 52% до 56%. С начала 2024 года Роскомнадзор зафиксировал 19 случаев утечки персональных данных, в результате которых в сеть попали более 510 миллионов записей о россиянах. Число атак программ-вымогателей продолжает расти, а суммы выкупа варьируются от 4 до 40 миллионов рублей.

Про сертификаты и легитимность

Платформа Security Vision, в состав которой входит модуль Security Vision TIP, включена в базу данных Минкомсвязи РФ и реестр российского ПО (реестровая запись №364 от 08.04.2016), сертифицирована ФСТЭК России (Сертификат по 4 уровню доверия № 4964 от 19.08.2025), ФСБ России (Заключение 8 Центра ФСБ России 149/3/6/908 от 01.10.2024), Минобороны РФ (сертификат № 7564 от 28.08.2025), а также ОАЦ при Президенте Республики Беларусь (сертификат № BY/112 02.02. ТР027 036.01 01673 от 6.12.2024).

В условиях, когда современная кибератака бьёт по всем фронтам — от восстановления инфраструктуры до штрафов за утечки, а организации, использующие данные киберразведки, существенно снижают свои убытки, Security Vision TIP становится не просто инструментом защиты, а инвестицией в непрерывность бизнеса. Особенно в условиях российского рынка, где утечка информации стала одним из главных вызовов для организаций, а количество атак остаётся на критически высоком уровне.

Реклама, Рекламодатель ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ ООО, ИНН 7719435412, 18+, erid:2SDnjcZuUFJ

ПОЧЕМУ МЫ ДЕЛИМ МИР НА «СВОИХ» И «ВРАГОВ»

Вы замечали, как легко объединяются люди против общей угрозы? Это не случайность. Любовь к «своим» и неприязнь к «чужим» — две стороны одной медали, вшитые в нашу ДНК. Узнайте, как древний механизм выживания управляет нами сегодня.

 Раскрыть механизм лояльности