С ростом числа атак на периметр информационной безопасности компаний направление сбора данных об угрозах — threat intelligence, TI — становится для заказчиков всё более актуальным. В какой мере участники отечественного ИТ-канала готовы оказывать клиентам такого рода ИБ-услуги, опираясь на весь спектр доступных в России продуктов?

Осведомлённость как сервис

Артём Голощапов, руководитель группы по информационной безопасности OCS, свидетельствует, что на практике эффективная защита по направлению TI редко строится на одном продукте: «Чаще компании используют комплекс решений разных вендоров, что требует высокой экспертизы со стороны ИТ- и ИБ-партнёров. OCS как один из крупнейших ИТ-дистрибьюторов в России сотрудничает с ведущими разработчиками TI-решений, такими как „Гарда“, „Лаборатория Касперского“, F6 и Positive Technologies. Мы помогаем партнёрам и заказчикам на всех этапах внедрения: от подбора решений под задачи бизнеса до проведения пилотных проектов и тестирования продуктов. В частности, возможности демолаборатории OCS позволяют в онлайн-формате протестировать различные ИБ-решения и оценить их совместимость с существующей инфраструктурой заказчика. Кроме того, специалисты OCS оказывают техническую и экспертную поддержку партнёрам: проводят обучение инженеров, помогают анализировать требования заказчиков, формировать технические задания и сопровождать пилотные внедрения».

erid

От тестирования к внедрению с демолабораторией OCS

Тестирование — ключевой этап при выборе корпоративного ПО. Интеграторам и заказчикам важно увидеть, как продукт работает в реальной инфраструктуре: проверить сценарии взаимодействия, оценить нагрузку и совместимость с уже используемыми системами и пр. Сервисы ИТ-дистрибьютора OCS позволяют изучить широкий ассортимент решений, доступных на российском ИТ-рынке, и сделать обоснованный выбор.

OCS активно развивает демолабораторию программного обеспечения: запускает новые стенды ПО, усиливает команду ИТ-специалистов. С её помощью партнёры могут протестировать различные ИТ-решения на рынке — от систем информационной безопасности и управления устройствами до сетевых и инфраструктурных платформ. На сегодняшний день для изучения доступны 170 демостендов. Демонстрационные среды развёрнуты в инфраструктуре OCS и поддерживают удалённое подключение. Таким образом, оценить функциональные возможности ПО, а также проверить гипотезы можно до старта пилотного проекта.

Помимо этого, инженеры OCS готовы реализовать стенды под уникальные потребности заказчика: развернуть тестовую архитектуру и настроить необходимые сервисы. Благодаря такой персонализации можно точнее оценить решение и внедрить продукт, который действительно полностью закрывает потребности бизнеса, даже специфические.

Доступ к демостендам можно запросить через софтверную демолабораторию OCS.

Подробнее

Реклама ООО «О-Си-Эс центр», ИНН: 7701341820

По словам Дмитрия Сатанина, директора по информационной безопасности «Группы Астра», TI практически всегда является продуктом комплексного исследования угроз ИБ, проводимых организациями, работающими по направлениям реагирования на инциденты и (или) сопровождения своих СЗИ: «По мере продвижения анализа конкретной угрозы ИБ (тактики, техники и процедуры) пополняется и уточняется соответствующий ей TI. Несмотря на „побочность“ TI как продукта и его максимальную обезличенность („пострадал один небольшой/крупный/международный банк“, как это подают обычно в новостях), он пользуется спросом, так как позволяет организациям-заказчикам с достаточно зрелыми службами ИБ прогнозировать свою деятельность в части превентивного выявления и блокирования уязвимостей в своих системах защиты. TI требует специфических ресурсов и компетенций, и занимаются этой деятельностью, как правило, профильные организации. Отчёты по инцидентам, которые готовятся в большинстве организаций, не могут считаться полноценным аналогом TI».

«На российском рынке достаточно много зрелых игроков, предоставляющих сервисы киберразведки, или TI, — уверяет Евгений Качуров, менеджер по кибербезопасности Axenix. — Более того, у них есть возможность обмениваться информацией о киберугрозах, в том числе и с зарубежными коллегами. Это является важным показателем эффективности TI-платформы: такое взаимодействие помогает сформировать полную картину, охватить деятельность не только тех нарушителей, которые выбрали Россию в качестве основной мишени, но и тех, которые атакуют компании в любой точке земного шара».

На взгляд Эдгара Микаеляна, директора по клиентским решениям CURATOR, готовность участников российского ИТ-канала к полноценной работе с TI неоднородна: «Крупные интеграторы с выстроенной практикой ИБ действительно располагают компетенциями для построения многовендорных решений — и могут предложить клиенту осмысленную архитектуру защиты, опираясь на данные об угрозах из разных источников. Но таких игроков немного, и они, как правило, ориентированы на крупный корпоративный сегмент. Для большинства же участников канала TI остаётся скорее маркетинговым тезисом, чем реальной практикой. Причина простая: это дорогостоящая экспертиза, которая требует не только доступа к фидам угроз, но и аналитиков, способных эти данные интерпретировать и переводить в конкретные защитные меры. Мы не позиционируем себя как универсального TI-провайдера, но в своей области — DDoS, бот-трафик, BGP-аномалии — располагаем собственной разведкой угроз, основанной на данных нашей инфраструктуры. Мы видим реальный трафик, фиксируем поведение ботнетов в динамике, отслеживаем BGP-инциденты в глобальном масштабе. Эти данные мы используем для проактивной настройки защиты клиентов — и именно это, на мой взгляд, и есть прикладной TI: не отчёты ради отчётов, а знание об угрозах, которое немедленно конвертируется в защитные действия».

Олег Шабуров, менеджер по развитию бизнеса Kaspersky Threat Intelligence, фиксирует заметный рост интереса российских заказчиков к сервисам TI за последние несколько лет: «Естественно, и предложение со стороны поставщиков TI-решений тоже существенно расширилось. Но важно понимать, на основании каких источников происходит формирование данных об угрозах, которыми делятся поставщики услуг со своими заказчиками. Большинство новичков на рынке идут по пути наименьшего сопротивления и формируют свои TI-сервисы на основании данных из открытых источников, что позволяет очень быстро запустить сервис, но при этом существенно снижает ценность и актуальность предоставляемой информации. Мы всегда рекомендуем нашим заказчикам оценить, насколько полезна предоставляемая информация и не приносит ли она больше вреда нежели пользы, поскольку плохо сформированные TI-данные часто приводят к ложным срабатываниям и неправильным выводам — а, следовательно, и к усложнению разбора инцидентов ИБ».

Отечественный ИТ-канал в целом уже осознал, как считает Георгий Сичинава, директор Центра кибербезопасности РТК-Сервис, что TI — не модная надстройка, а базовая необходимость для зрелой защиты: «Однако уровень этой готовности напрямую зависит от профиля компании: если вендоро-нейтральные интеграторы с сильной ИБ-экспертизой могут предложить клиенту выбор наиболее релевантного инструментария под его ландшафт угроз, то менее крупные игроки зачастую привязаны к одному-двум вендорам, с которыми у них выстроены партнёрские отношения. Что касается инструментария — помимо самих платформ для сбора и обогащения данных, специалисты используют собственные SOC, разведывательные сообщества, отраслевые таксономии (например, ATT&CK) и наработанные базы индикаторов компрометации. Ключевая проблема здесь не в наличии софта, а в способности правильно интерпретировать данные, отсеивать ложные срабатывания и адаптировать информацию под конкретный периметр клиента — и вот с этим у многих пока сложнее, нежели с формальной поддержкой перечня продуктов».

Анна Трохалева, эксперт УЦСБ SOC, руководитель направления анализа инцидентов ИБ, подтверждает, что выстраивание эшелонированной защиты из продуктов разных вендоров требует высокой и разнонаправленной квалификации инженеров и аналитиков: «Аналитики интегратора находятся в постоянном инфополе по актуальным атакам, методам злоумышленников, утечкам, готовят аналитические отчёты и справки. Поэтому могут предсказывать развитие направления в краткосрочной и долгосрочной перспективе. Конечно, есть проблемы, с которыми сталкиваются даже крупные интеграторы. Зачастую TIP работает „фактически постфактум“: индикаторы приходят с задержкой в часы или дни, что для атак реального времени недостаточно. Далеко не все могут проводить глубокую проактивную разведку, в том числе поиск угроз в даркнете, обнаружение таргетированных атак или предпосылок к их проведению. Системные интеграторы и MSSP-провайдеры широко оказывают услуги в области threat intelligence именно потому, что у них уже сформированы команды и выстроен TI-процесс с несколькими источниками данных, проведена интеграция с различными вендорами, процесс встроен в работу SOC. Интеграторы, представленные на рынке кибербеза сегодня могут выполнять функцию по сбору, фильтрации данных киберразведки для обогащения мониторинга внутренними командами. И только некоторые могут похвастаться серьёзной экспертизой с актуальным реагированием, глубоким анализом и проактивным поиском».

Защита на местах

После того, как киберугроза обнаружена и идентифицирована, TI-отчёты становятся входными данными для различных ИБ-решений, которые также необходимо загодя развернуть и наладить на стороне заказчика. Предоставляют ли участники российского ИТ-канала своим заказчикам уже готовые системы, сопрягающие средства threat intelligence с прикладными ИБ-решениями (SIEM, EDR, TIG)?

«Threat Intelligence, — конкретизирует Артём Голощапов, — позволяет компаниям получать данные об актуальных угрозах и использовать их для выявления уязвимостей и признаков кибератак ещё до того, как они приведут к ущербу для бизнеса. Максимальную эффективность такие решения показывают при интеграции с другими средствами защиты и мониторинга — EDR, NGFW, SIEM и XDR. Сегодня на рынке доступны как комплексные моновендорные экосистемы, так и мультивендорные сценарии интеграции. Например, TI-решения „Лаборатории Касперского“ могут работать в связке с собственными SIEM- и XDR-продуктами компании, а также интегрироваться со сторонними платформами — RuSIEM, R-Vision, Security Vision, UserGate и др.»

«В условиях роста числа целевых и тщательно спланированных атак, — продолжает эксперт, — особую ценность приобретают даже небольшие артефакты — IP-адреса, домены, хеши вредоносных файлов, обнаруженные в логах и сетевом трафике. Анализ этих данных помогает быстрее определить масштаб и характер инцидента, а раннее обнаружение угроз позволяет снизить риск остановки бизнес-процессов, утечки данных и репутационных потерь. Для заказчиков готовые интегрированные решения обычно оказываются удобнее и эффективнее самостоятельной сборки инфраструктуры силами внутренних ИТ- и ИБ-команд. Такие проекты позволяют быстрее внедрять инструменты защиты, сократить затраты на интеграцию и снизить нагрузку на собственных специалистов. Дополнительное преимущество TI-решений — доступ к аналитике и данным об угрозах, включая сведения, которые не публикуются в открытых источниках. Это помогает ИБ-командам выявлять и нейтрализовывать атаки на ранних этапах и минимизировать риски для бизнеса».

Основными преимуществами таких решений российских интеграторов, в которых TI уже сопряжён с SIEM, SOAR, EDR и TIP, Анна Трохалева называет готовые коннекторы для сбора данных, обогащение инцидентов данными TI, приоритизацию угроз по общепринятым таксономиям (например, MITRE&ATTK, БДУ ФСТЭК): «Ключевым и определяющим фактором являются встроенные и внешние фиды. Интегратор, обслуживающий сотни проектов, аккумулирует статистику по новым тактикам групп злоумышленников, ранние сигналы о zero‑day уязвимостях из собственных honeypot‑сетей и проверенные правила корреляции, работающие в различных отраслях. Неоспоримыми плюсами выбора готового решения остаются скорость внедрения, интегратор гарантирует запуск в установленные сроки, доступ к команде узкопрофильных специалистов: инженеров SIEM и EDR, аналитиков киберразведки интегратора. Внутренние же решения создают в организациях со специфической деятельностью, когда общие фиды могут давать избыточно много ложно-положительных и ложно-отрицательных сработок. Готовые решения ведущих российских интеграторов для большинства организаций оказываются оптимальным выбором — по сравнению с самостоятельным решением, избавляя от необходимости держать в штате нескольких узкоспециализированных сотрудников для внедрения, поддержания работоспособности различных платформ и активности контентной базы».

Интеграция TI с прикладными ИБ-решениями на российском рынке, по мнению Эдгара Микаеляна, активно развивается, но пока далеко от зрелости: «Готовые „сшитые“ системы предлагают единицы, и даже у них это, как правило, интеграция в рамках собственной экосистемы одного вендора, а не действительно мультивендорная оркестрация. Наша платформа предоставляет API и возможности для интеграции с внешними системами мониторинга и реагирования. Данные о заблокированных атаках, аномалиях трафика и BGP-инцидентах могут передаваться в SIEM клиента и обогащать общую картину событий безопасности. Это востребовано прежде всего крупными заказчиками, у которых SOC уже выстроен и которым важно видеть события сетевого периметра в едином контексте с остальными источниками телеметрии. Насколько это удобнее и выгоднее самостоятельной интеграции? Опыт показывает, что клиенты, которые пытаются выстроить такую связку своими силами, как правило, недооценивают трудозатраты. Интеграция — это не разовая задача, это постоянная работа по поддержанию актуальности коннекторов, форматов данных, логики корреляции. Когда это берёт на себя провайдер — клиент получает работающую систему, а не проект, который „почти готов“ уже второй год. В условиях дефицита ИБ-специалистов это, пожалуй, весьма весомый аргумент в пользу готовых интегрированных решений».

Не существует единого ответа, покрывающего все потребности абсолютно всех заказчиков, — об этом напоминает Олег Шабуров: «Но можно с уверенностью сказать, что возможность интеграции в имеющуюся инфраструктуру заказчика — всегда явный плюс любому сервису. Кроме того, удобные инструменты, помогающие на всех стадиях, начиная с подготовки, заканчивая подведением результатов анализа, позволяют использовать максимум возможностей предоставляемого сервиса. Качественная информация, предоставляемая поставщиком TI, позволяет не тратить драгоценное время в тот момент, когда счёт идёт на секунды, а зачастую и вовсе помогает избежать ситуаций, когда приходится разбирать инциденты, и достигается это за счёт правильной расстановки приоритетов и закрытия актуальных угроз до момента, когда злоумышленники начинают их реализовывать».

Евгений Качуров подтверждает, что решения классов EDR, SIEM, SOAR и некоторых других могут использовать Threat Intelligence для повышения точности уведомлений (алертов), а также для блокировки кибератак: «Однако сопряжение TI с перечисленными средствами защиты — довольно сложный проект, требующий глубокой технической экспертизы. Соответственно, если у компании достаточно зрелые ИТ- и ИБ-специалисты, они смогут сделать всё это самостоятельно».

Как свидетельствует Георгий Сичинава, значительная часть игроков уже предоставляет заказчикам именно готовые связки, где TI интегрирован с SIEM, EDR или TIG из коробки: «Это могут быть как комплексные продукты конкретных вендоров, внедряемые под ключ, так и собственные сборки крупных интеграторов. С точки зрения удобства и выгоды системы под ключ почти всегда оказываются предпочтительнее самостоятельной сборки для подавляющего большинства заказчиков. Клиент получает не просто интеграцию двух софтов, а уже отлаженный конвейер: данные TI автоматически подаются в SIEM в виде обогащённых событий, EDR получает актуальные фиды для проактивного блокирования, а TIG помогает приоритизировать инциденты. Экономия здесь складывается из сокращения времени внедрения, отсутствия необходимости в штате узких специалистов по интеграции и, что важнее, снижения риска человеческой ошибки при ручном сопряжении систем. Самостоятельная разработка имеет смысл только для крупных организаций с уникальным ландшафтом, высокой зрелостью собственной ИБ-команды и специфическими требованиями по работе с чувствительными данными, которые нельзя передавать в готовую платформу. Во всех остальных случаях покупка готовой системы — это быстрее, прозрачнее по бюджету и, как правило, надёжнее, поскольку интегратор выступает единой точкой ответственности за работоспособность всего контура на этапе проектирования и внедрения».

Источник: