F.A.C.C.T. Threat Intelligence

Основные статьи:

• Security Information and Event Management (SIEM)
• Data mining Интеллектуальный анализ данных
• Как действует хакер при целевой атаке и как ему помешать? Обзор возможностей сервисов Threat intelligence
• Threat intelligence TI киберразведка

F.A.C.C.T. Threat Intelligence (ранее Threat Intelligence & Attribution, TI&A; Bot-trek Cyber Intelligence) — сложная инженерная разработка F.A.C.C.T., интегрированная в «умную» технологическую экосистему, способную полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и немедленного реагирования на инцидент.

2023: Интеграция с Security Vision

26 октября 2023 года компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступностью, и компания Security Vision, создатель российской ИТ-платформы, позволяющей роботизировать до 95% процессов обеспечения информационной безопасности, объявили о технологическом партнерстве. В рамках интеграции система киберразведки F.A.C.C.T. Threat Intelligence поставляет оперативные данные об атакующих в платформу киберразведки Security Vision, что позволяет противостоять актуальным киберугрозам и проактивно обнаруживать сложные целевые атаки с помощью постоянно обогащаемых индикаторов компрометации (IoC).

F.A.C.C.T. Threat Intelligence

Как сообщалось, российский рынок решений киберразведки — на октябрь 2023 года один из самых быстрорастущих сегментов рынка информационной безопасности. Ежегодно он увеличивается на 20–40%, а его объем оценивается на уровне 15 млрд рублей — около 8% от всего сектора информбезопасности. Благодаря технологическому сотрудничеству F.A.C.C.T. и Security Vision аналитики, «охотники» за угрозами (Threat Hunters), сотрудники операционных центров информационной безопасности и специалисты по реагированию на ИБ-инциденты получат доступ к исчерпывающей технической информации о самых актуальных кибератаках.

Система киберразведки F.A.C.C.T. Threat Intelligence агрегирует и обрабатывает более 60 типов источников данных, включающих интернет- и почтовый трафик, события внутри сети, уязвимости, утечки данных, активность вредоносного ПО, мошеннические действия, активность в даркнете и др. Конкретные знания о киберугрозах оперативного уровня формируются в виде индикаторов компрометации — IoC.Догнать и перегнать: Российские ВКС прирастают новыми функциями 6.7 т

В состав IoC F.A.C.C.T. Threat Intelligence входят не только сетевые индикаторы (IP, URL, домен, hash, email), с которых велись вредоносные действия, или хостовые индикаторы (hash, имена вредоносных файлов), но и данные, собранные в ходе реагирований на киберинциденты, исследований киберпреступности, мониторинга закрытых форумов и Telegram-каналов (скомпрометированные пароли, банковские карты, маскированные банковские карты, IMEI счета дропов и так далее).

Функционал Security Vision Threat Intelligence Platform (TIP) обеспечивает автоматический сбор индикаторов компрометации как на основании ретроспективного анализа, так и в режиме реального времени, а также проводит нормализацию полученных данных и обогащение IoC дополнительными данными.

Security Vision TIP позволяет агрегировать признаки угроз из источников, коммерческих и open source фидов, публичных платформ и сервисов с помощью нескольких способов и протоколов: обработка файлов в формате XML, JSON, CSV, TXT, Binary; REST; SOAP; IMAP; POP3; MS SQL; MySQL; PostgreSQL; Syslog.

Беспрецедентный рост количества кибератак, утечек баз данных у компаний, повышенная активность хактивистов и проправительственных групп, заинтересованных в дестабилизации работы предприятий, повлияли на рост спроса у российских компаний на решения класса Threat Intelligence. По нашим оценкам, рост продаж Threat Intelligence в России в первом полугодии 2023 года составил около 30% по сравнению с первой половиной 2022 года. Бизнес хочет заранее знать о готовящихся на него кибератаках, оперативно получать фиды и индикаторы компрометации, чтобы превентивно защититься от киберугроз и минимизировать риски влияния на стабильность бизнес-процессов. Мы видим рост уровня зрелости бизнеса, когда для снижения рисков киберинцидентов российским компаниям необходимы данные киберразведки. рассказал Валерий Баулин, генеральный директор F.A.C.C.T.

Ценные индикаторы компрометации (IoC), поставляемые F.A.C.C.T. Threat Intelligence в режиме реального времени, помогут пользователям Security Vision в наиболее быстром выявлении атак на ранних стадиях и позволят инициировать процедуру реагирования на них, не дожидаясь момента, когда злоумышленник достигнет своей цели. Таким образом, контент платформы киберразведки Security Vision будет иметь особую ценность и обеспечит надлежащий уровень ситуационной осведомленности сотрудников заказчика. отметил Анна Олейникова, директор по продуктам Security Vision

Библиотека данных Threat Intelligence на протяжении последних 12 лет создавалась командами аналитиков F.A.C.C.T. с использованием запатентованных технологий, в числе которых: алгоритмы машинного обучения, системы поведенческого анализа, сканеры даркнета, а также инструменты обнаружения вредоносной активности на основе нейронных сетей.

На октябрь 2023 года система F.A.C.C.T. Threat Intelligence используется клиентами и MSSP-партнерами компании для:

• выявления фактов взлома компаний благодаря мониторингу преступных групп, бот-сетей и теневого интернета;
• обнаружения сложных целевых атак с помощью индикаторов компрометации (IoC);
• атрибуции, приоритизации угроз и более быстрого реагирования за счет данных об атакующих, их инструментах и тактиках;
• создания правил корреляции и детектирования угроз, специфичных для их клиентов, за счет оперативных бюллетеней о угрозах, вредоносных кампаниях и группах;
• оптимизации процесса управления уязвимостями за счёт сведений об активно эксплуатируемых уязвимостях, наличии эксплойтов, обсуждений на хакерских форумах. Все данные собраны в подробные профили уязвимостей.
• обогащения индикаторов компрометации (IoC) и используемых средств защиты с помощью встроенных аналитических инструментов, например, графа сетевой инфраструктуры.

2021: Интеграция с Microsoft Azure Sentinel

23 апреля 2021 года Microsoft и Group-IB сообщили об интеграции Azure Sentinel, облачного решения для управления информационной безопасностью, с системой исследования и атрибуции кибератак Group-IB Threat Intelligence & Attribution (TI&A). Подробнее здесь.

2020

Соответствие рекомендациям Департамента Юстиции США в области кибербезопасности и киберразведки

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, 9 декабря 2020 года сообщила о соответствии рекомендациям Департамента Юстиции США в области кибербезопасности и киберразведки высокотехнологичной системы Group-IB Threat Intelligence & Attribution.

Group-IB TI&A предназначена для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры. Проверка технологий Group-IBTI&A проводилась одной из компаний «Большой четверки» (Big Four), которая подтвердила их соответствие отраслевым рекомендациям в области сбора данных киберразведки.

Рекомендации Департамента Юстиции США (Legal Considerations when Gathering Online CyberThreat Intelligence and Purchasing Datafrom Illicit Sources (Version 1.0, February 2020)) по состоянию на декабрь 2020 года являются первым в мире сводом правил, описывающим принципы частных компаний в сфере сбора данных киберразведки. Цель документа — регламентировать этот процесс, чтобы снизить правовые риски для организаций, занимающихся изучением угроз на даркнет-форумах.

В ходе проверки независимые эксперты одной из компаний-аудиторов «Большой четверки» проанализировали, каким образом Group-IB получает доступ к закрытым веб-ресурсам и собирает информацию на них, а также политики, внедренные компанией для регулирования перечисленных процедур.

Group-IB Threat Intelligence & Attribution является частью экосистемы высокотехнологичных продуктов для исследования киберугроз и охоты за атакующими Group-IB.

Вывод на рынок Threat Intelligence & Attribution

26 ноября 2020 года Group-IB, международная компания, специализирующаяся на предотвращении кибератак, раскрыла результаты многолетней разработки собственных высокотехнологичных продуктов для исследования киберугроз и охоты за атакующими — Threat Intelligence & Attribution и Threat Hunting Framework. Подробнее здесь.

Одна из самых высоконагруженных систем Group-IB, оперирующая данными о хакерских группах, их инструментах и инфраструктуре, Threat Intelligence & Attribution, шагнула на несколько уровней вверх. Появление на рынке TI&A знаменует собой открытие иного класса решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

Объединяя в себе источники данных, опыт расследования высокотехнологичных преступлений и реагирования на сложные многоступенчатые атаки по всему миру, именно TI&A во многом «накачивает» данными для хантинга за атакующими и угрозами все остальные продукты Group-IB. Система «хранит» данные о хакерах и их связях, доменах, IP, инфраструктуре за 15 лет, включая те, что преступники пытались удалить. Обширный функционал позволяет настраивать ее под ландшафт угроз не только отдельной отрасли, но и отдельной компании в конкретной стране.

В центре внимания TI&A — атакующие. Вокруг них выстроена вся идеология системы: выявить не только угрозу, но того, кто за ней стоит. Массивы данных, которыми она оперирует, помогают оперативно связывать атаку с группировкой или конкретными персоналиями. TI&A «умеет» анализировать и атрибутировать угрозы, с которыми уже столкнулась компания, обнаруживать утечки и компрометацию пользователей, идентифицировать инсайдеров, торгующих данными компании на андеграудных ресурсах, выявлять и блокировать атаки, нацеленные на компанию и ее клиентов, независимо от отрасли.

Вывод на рынок TI&A открывает доступ к внутренним инструментам Group-IB до этого времени использовавшимся исключительно командами реагирования, хантинга и киберразведки компании. Теперь каждому специалисту, использующему TI&A, доступен поиск по крупнейшей коллекции данных даркнета, продвинутая модель профилирования хакерских групп, а также полностью автоматизированный графовый анализ, который за секунды помогает провести корреляцию данных и атрибутировать угрозы до конкретной преступной группировки или физического лица.

TI&A позволяет обнаруживать атаки, не покрываемые традиционными средствами защиты, глубже понимать методы работы продвинутых атакующих, а также оценивать, может ли им противостоять защищаемая инфраструктура. Такой подход помогает мотивировать и совершенствовать внутренние команды кибербезопасности, а также усиливать их экспертизу за счет глубокого понимания ландшафта угроз для защищаемой инфраструктуры.

2019: Решаемые задачи. Источники данных. Технологии

По информации на июль 2019 года использование данных Threat Intelligence позволяет эффективно решать различные задачи информационной безопасности:

• 1) Стратегические данные для подготовки к атакам за несколько месяцев и принятия правильных решений по инвестированию в средства защиты.
• 2) Уведомления об угрозах, целевых атаках и индивидуальная аналитика по запросу для оперативного реагирования.
• 3) Тактические данные о DDoS-атаках, фишинговых ресурсах, фишинг-китах, дефейсах, публичных утечках, открытых репозиториях кода GitHub, уязвимостях, подозрительных IP и другие уникальные индикаторы.
• 4) Встроенные аналитические инструменты для ускорения работы специалистов SOC и департамента безопасности, глубокого анализа угроз и получения дополнительных индикаторов.

Продукт поставляется в виде SaaS-решения, для подключения к системе не требуется внедрения дополнительного оборудования или изменений в инфраструктуре. Все данные обрабатываются и доставляются клиентам через защищенный веб-интерфейс или через API / STIX / TAXII для интеграции с используемыми системами защиты и реагирования в режиме реального времени. Настройка системы под каждого клиента позволяет получать только те данные, которые актуальны для конкретного бизнеса.

Источники данных:

• Human intelligence — многолетняя практика реагирования на инциденты и расследования сложных киберпреступлений, мониторинг закрытых сообществ
• Malware intelligence — сетевые датчики и песочницы, распределенная сеть мониторинга и ловушек HoneyNet, Sinkhole, спам‑ловушки
• Data intelligence — исследования C&C‑серверов, системы «автозалива», кардшопы, системы проверки скомпрометированных данных, точки сбора фишинговых страниц
• Открытые источники — обмен фишинговыми ссылками, общедоступные песочницы, новости, блоги и отчеты, социальные сети, прокси- и VPN-сервисы

Технологии

• Запатентованные алгоритмы и применение машинного обучения для оперативной корреляции данных
• Собственная технология обнаружения фишинга и извлечения фишинг-китов
• Более 50 сенсоров на уровне интернет провайдеров (ISP) и распределенная система ловушек HoneyNet
• Движок обнаружения вредоносной активности с использованием машинного обучения
• Автоматическое извлечение конфигурационных файлов вредоносных программ
• Система поиска и извлечения скомпрометированных данных
• Fingerprinting сети интернет

Threat Intelligence в целом — это высокотехнологичная система мониторинга киберугроз для выявления целенаправленных атак, утечек, взломов и хакерской активности до того, как они нанесут ущерб компании.

2017: Видеоописание работы системы

(20 октября 2017 года)

2015: Возможности Bot-trek Cyber Intelligence

Bot-trek Cyber Intelligence — платформа мониторинга, анализа и прогнозирования потенциальных угроз информационной безопасности.

По данным на май 2015 года система даст знать:

• Какие атаки уже произошли или могут произойти?
• Как действия атакующего могут быть распознаны и обнаружены?
• Кто стоит за этими атаками?
• Каковы мотивы атакущих и чего они пытаются добиться?
• Какие уязвимости, ошибки конфигурации они эксплуатируют?
• Какие действия они предпринимали в прошлом и т.д.?
• Как эти действия могут быть смягчены?
• Каковы их возможности с точки зрения тактики, техники, процедур?

2014: Демонстрация работы сервиса Bot-trek Cyber Intelligence

Демонстрация работы сервиса мониторинга, 2014

Схема работы системы, 2014