В России запущена система ИБ-аналитики, обученная на базе данных ФСТЭК
Российские специалисты в области информационной безопасности на базе данных ФСТЭК и международной базы знаний разработали новую платформу атрибуции кибератак, которая будет работать на основе профиля организации. Полный состав параметров для атрибуции не раскрыт, но одним из них станут коды ОКВЭД.
Понять тип атаки заранее
Российская ИБ-компания Angara Security представила платформу для автоматического определения статистически наиболее вероятных тактик и техник хакеров при совершении атак на компании с учетом их отраслевой принадлежности и имеющихся цифровых активов. Об этом компания сообщила CNews.
Основными источниками стали данные международной классификации MITRE ATT&CK® (база знаний, основанная на реальном поведении киберпреступников крупной американской некоммерческой организации) и база данных угроз безопасности Федеральной службы по техническому и экспортному контролю (ФСТЭК) России. Также специалисты Angara Security использовали данные из собственной практики расследования и реагирования на ИБ-инциденты.
Разработанная платформа предиктивной аналитики для атрибуции (совокупность технических методов для установления личности хакера или преступной группировки) киберугроз работает на основе профиля организации, например кодов ОКВЭД (Общероссийского классификатора видов экономической деятельности).
Представитель Angara Security рассказал, что система была протестирована на самой ИБ-компании, а результаты работы составляли с отчетами аналитиков, однако не ответил на вопрос точности софта. При этом, он дополнил, что уже есть действующие контракты с крупным и средним бизнесом по использованию этой системы.
Полученные данные могут быть использованы для разработки стратегии ИБ, стандартов аудита и инвестиционных планов в развитие инфраструктуры, а также адаптации и совершенствования ИБ-системы компании.
Руководитель управления цифровой криминалистики и киберразведки Angara SOC Никита Леокумович объяснил, что время является самым ценным ресурсом при расследовании ИБ-инцидентов.
«В случае инцидента система может помочь выдвинуть наиболее вероятные гипотезы проведения кибератаки и сократить время реагирования и устранения его последствий. Таким образом, ИБ-специалисты могут быть на шаг впереди злоумышленников», — сказал он.
Аналоги на рынке
Представитель Angara Security рассказал о похожей системе «Лаборатории Касперского» — Kaspersky Threat Attribution Engine. Она работает на базе данных самой компании за 22 года.
По словам «Лаборатории Касперского», этот инструмент может быстро сопоставить новые атаки с известными APT-угрозами (постоянная серьезная угроза или advanced persistent threat), предыдущими целевыми атаками, киберпреступными группировками и кампаниями, позволяя отличить серьезные инциденты от незначительных и вовремя скорректировать защитные механизмы.
Менеджер продуктов Innostage Евгений Сурков считает, что описанная реализация выглядит сомнительно. «Возможно, коллеги из Angara Security не раскрывают своих ноу-хау и полного состава параметров, используемых для атрибуции, но только видов ОКВЭД недостаточно для надежного и четкого профилирования», - заявил Евгений Сурков.
Он рассказал, что по поводу аналогов нет прямой информации, но реализовать подобный подход, если он будет состоятелен на практике, способны практически все крупные игроки на российском и международном рынках.
Заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов отметил, что до Angara Security почти никто не выделял эту систему в отдельный сервис. «И со стороны компании и со стороны заказчиков это большой эксперимент», - сказал он.