Журнал "Information Security/ Информационная безопасность" #5, 2020

Какие фиды для SOC мы предоставляем? Malicious file feed Этот канал содержит хеши вредонос- ных исполняемых файлов и связанные с ними данные. Основной вариант использования – идентифицировать, какие хеши в настоящее время видны в киберпространстве, и потенциально заблокировать их во внутренней среде до того, как они там появятся. Или определить вредоносные хеши в систе- ме и провести дальнейшее расследова- ние в соответствии с дополнительными данными, если они уже причинили вред. Domain feed Канал использует вредоносный домен и связанные с ним данные. Опре- деляется, какие вредоносные домены сейчас распространены. Блокируются домены с высокой степенью угрозы или выявляются домены с меньшей степенью угрозы. URL feed Такой канал передает вредоносные URL-адреса и связанные с ними дан- ные. В нем есть URL-адреса, которые являются вредоносными, но весь домен не заблокирован. Поскольку у нас нет подробной информации по каждому конкретному URL-адресу, мы делимся подробностями – впервые детектиро- ванными и подсчитанными данными о доменах, на которых размещены URL- адреса. Структура данных очень похожа на структуру фида домена. Основной вариант использования URL-канала – определить круг широко распростра- ненных в настоящее время вредонос- ных URL-адресов, заблокировать адре- са с высокой степенью серьезности, выявить адреса с меньшей степенью серьезности или провести дальнейшее расследование, если вред уже причи- нен. Botnet feed Этот канал содержит все данные ESET о сети ботнета. Данные соби- раются с использованием нашей запа- тентованной технологии LiveGrid. Она позволяет проникать внутрь сети бот- нетов и фиксировать данные о целях кибератак, используемом вредоносном ПО, доменах и многом другом. Помимо основной ленты ботнета, существуют специализированные кана- лы подачи копий (cc) и фид-целей (tar- get), которые являются подмножеством основного канала и специализируются только на определенном аспекте общих данных. Первый позволяет блокировать недавно просмотренные URL, а второй содержит данные о конкретных целях ботнета. Для корректной интеграции каналов данных необходимо соединение с сер- вером TAXII. TAXII – это бесплатный и открытый транспортный механизм, который стандартизирует автомати- зированный обмен информацией о киберугрозах. В настоящее время ESET использует TAXII 1.1. Применяет- ся модель совместного использования "источник/подписчик", где ESET являет- ся источником, а клиент – подписчиком. Поскольку сторонние приложения в значительной степени зависят от качества поставляемой информации, обычно клиентам предоставляется функционал, который помогает интег- рировать формат STIX или JSON. Наши каналы создаются следующим образом: как только мы поделимся индикатором компрометации (IoC), мы не будем делиться им повторно в тече- ние следующих 24 часов. Процесс деду- пликации избавляет подписчика от поступления большого объема одина- ковых данных. Но в случае, если опре- деленный IoC по-прежнему преобладает и через 24 часа, то мы повторно поде- лимся им. Раньше у нас были общие каналы в форматах JSON и STIX 1.2. JSON удобен и понятен, легко читается и легко интегрируется в различные систе- мы. Проблема с JSON в том, что он не стандартизирован и интегратору необхо- димо сопоставить каждое поле с соот- ветствующим полем в своем стороннем решении. В свою очередь, STIX является отраслевым стандартом, который под- держивает большинство приложений SIEM/TIP и может читаться автомати- чески. Но версия 1.2 оказалась сложной в чтении и восприятии. Версия 2.0 дру- желюбнее к пользователю. Именно поэтому мы решили предоставлять наши ленты именно в таком формате. К слову, и JSON, и STIX 2.0 используют одни и те же данные. За 15 лет работы на рынке ИБ мы научились правильно оценивать потреб- ности заказчиков, а заказчики, в свою очередь, положительно оценили наши решения. В России и на постсоветском пространстве у компании уже есть круп- ные успешные внедрения. А новый заказ- чик всегда имеет возможность взять триал на 90 дней и полноценно ознако- миться с существующими решениями по противодействию инцидентам в ИБ. l • 25 SOC www.itsec.ru В одной только Европе ESET сотрудничает с 46 национальными группами реагирования на чрезвычайные ситуации в киберпространстве, именуемыми CERT. Массив данных также формируется с помощью 110 млн собственных датчиков ESET, расположенных по всему миру, и системы трекера ботнетов LiveGrid. Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама