Обзор рынка сервисов управления киберрисками (DRPS)

Рынок систем управления киберрисками (Digital Risk Protection Services, DRPS) переживает ощутимый рост, как в российском сегменте, так и в международном. Вендоры добавляют в свои DRPS-продукты уникальные функции, обогащают их возможностями систем класса Threat Intelligence. Разбираемся, кто есть кто на российском и международном рынках управления цифровыми рисками.

 

 

 

 

1. Введение
2. Мировой рынок сервисов управления киберрисками (DRPS)
3. Российский рынок сервисов управления киберрисками (DRPS)
4. Обзор отечественного рынка сервисов управления киберрисками (DRPS)
   
   1. 4.1. BI.ZONE Brand Protection
   2. 4.2. Group-IB Digital Risk Protection
   3. 4.3. Infosecurity ETHIC
   4. 4.4. Kaspersky Threat Intelligence
5. Обзор зарубежного рынка сервисов управления киберрисками (DRPS)
   
   1. 5.1. BlueVoyant Sky: DRP
   2. 5.2. CybelAngel External Risk Protection Platform
   3. 5.3. Digital Shadows SearchLight
   4. 5.4. IntSights Threat Command
   5. 5.5. PhishLabs DRP Platform
   6. 5.6. Recorded Future Brand Intelligence
   7. 5.7. RiskIQ External Threats
   8. 5 8. ZeroFox Platform
6. Выводы

Введение

Долгое время внимание специалистов по информационной безопасности и разработчиков соответствующих систем было сконцентрировано в первую очередь на вопросах защиты внутренних ресурсов компании от прямого воздействия злоумышленников — проникновения в защищённый периметр, эксплуатации возможных уязвимостей, кражи или удаления значимых данных и других форм вредоносной активности. При этом «за бортом» оставался целый ряд внешних угроз, располагавшихся за пределами досягаемости обычных ИБ-систем.

Втайне от компании злоумышленники могли использовать её бренд для создания мошеннического сайта, регистрировать похожие доменные имена для размещения фишинговых ресурсов, торговать похищенными данными, не предавая огласке факт утечки, или «угонять» аккаунты первых лиц организации в соцсетях для осуществления от их имени вредоносных действий. Чаще всего о подобных операциях становилось известно уже после того, как киберпреступники успевали нанести существенный ущерб репутации бренда или его представителей.

Обеспечить защиту от внешних информационных угроз, минимизировать внешние риски, способные нанести вред организации, предотвратить ущерб бренду призван относительно новый класс ИБ-систем — сервисы управления киберрисками (Digital Risk Protection Services, DRPS). К этому классу относятся автономные продукты или онлайн-сервисы, а также управляемые услуги, предоставляющие пользователю следующие функции:

• Защита бренда, предотвращение нелегитимного использования торговой марки в интернете.
• Контроль безопасности аккаунтов ключевых представителей компании.
• Обнаружение утечек данных.
• Выявление информационных атак.
• Обнаружение цифровых активов, например фрагментов принадлежащего компании кода, в открытых источниках.
• Мониторинг даркнета с целью предотвращения направленных атак.

В зависимости от конкретного продукта в DRPS-системах могут присутствовать и другие функции, такие как информирование о физических угрозах или обогащение данных и приоритизация угроз. Многие DRPS-сервисы входят в состав решений класса Threat Intelligence или имеют ряд возможностей TI. Между тем, это разные по своим функциям системы: если Threat Intelligence сосредоточен в первую очередь на статических методах предотвращения кибератак, исследовании площади атаки и обнаружении уязвимостей, то Digital Risk Protection Services — это в первую очередь проактивные действия по выявлению и блокировке внешних угроз.

DRPS сканируют открытые и закрытые источники с целью обнаружить имеющие отношение к компании данные. Из массива собранной информации автоматически, зачастую — с использованием средств искусственного интеллекта, выбираются сигнализирующие о возможной угрозе сведения. Такие индикаторы верифицируются (чаще всего — специалистом по информационной безопасности), после чего определяются меры по устранению или минимизации угрозы. Например, после обнаружения фишингового сайта, использующего похожее на оригинал доменное имя, провайдеру и регистратору направляется запрос на его блокировку.

Важной особенностью DRPS является упреждающее воздействие, т. е. работа с угрозами до причинения значительного вреда компании. В случае с мошенническим сайтом, например, можно заблокировать его до того, как злоумышленники приведут туда трафик, а при выявлении утечки данных компания получит время, чтобы снизить репутационный ущерб.

Многие специалисты считают DRPS исключительно маркетинговым термином, служащим «обложкой» для набора давно известных инструментов. Мы обсуждали эту тему, а также подробно говорили о возможностях DRPS с ключевыми игроками отечественного рынка в рамках проекта AM Live.

В этом году мы также анализировали рынок систем защиты бренда (Brand Protection) и рассказывали, как и с помощью каких средств защитить репутацию своего бренда и не дать мошенникам или конкурентам очернить своё имя.

Мировой рынок сервисов управления киберрисками (DRPS)

По мнению Gartner, глобальный рынок услуг по защите от цифровых рисков характеризуется высокой конкуренцией, которая заставляет вендоров искать пути, чтобы «отстроиться» от решений других поставщиков. Для успешной конкуренции уже недостаточно предоставлять лишь услуги мониторинга соцсетей и даркнета или блокировать мошеннические доменные имена, поэтому производители активно ищут способы расширить возможности своих решений.

Одним из путей такой дифференциации является добавление функций Threat Intelligence: обогащение контекста, приоритизация, отслеживание субъектов угроз или возможности управления внешней площадью атаки (External Attack Surface Management, EASM). По мнению экспертов, к концу 2023 года до 50 % представленных на рынке DRPS будут включать в себя и функции EASM.

DRPS — относительно новая область, но Gartner отмечает возросшую активность поставщиков в этом секторе. По оценкам агентства, к концу 2023 года объём мирового рынка DRPS достигнет 500 миллионов долларов США по сравнению с примерно 370 миллионами долларов в 2020 году.

На конец 2021 года на рынке было представлено около 50 продуктов, которые полностью или частично реализуют функции DRPS, однако ключевыми в этой сфере можно назвать следующие системы:

• BlueVoyant Sky: DRP.
• CybelAngel External Risk Protection Platform.
• Digital Shadows SearchLight.
• IntSights Threat Command.
• PhishLabs Platform.
• Recorded Future Intelligence Cloud Platform.
• RiskIQ Security Management.
• ZeroFox Platform.

Российский рынок сервисов управления киберрисками (DRPS)

Несмотря на то что отечественный рынок DRPS сформировался относительно недавно, на нём представлено несколько сильных решений. Продукты и сервисы отечественных разработчиков предлагают широкий охват источников, учитывающих региональную специфику заказчика. В отличие от западных коллег, российские вендоры контролируют не только глобальное пространство, но и русскоязычное, включая такие экзотические для зарубежных поставщиков соцсети, как VK, «Мой Мир» и «Одноклассники». Прямые контакты с регистраторами национальных зон доменов позволяют обеспечить эффективную блокировку мошеннических сайтов, подпадающих под отечественную юрисдикцию, не теряя при этом возможности взаимодействия и с иностранными операторами.

Российские вендоры активно осваивают сервисную модель, предлагая своим клиентам облачные DRPS-службы, а также услуги специализированных команд по мониторингу и верификации событий. При этом, в ряде случаев, возможна и гибридная модель, которая предполагает совместную работу экспертов вендора и сотрудников службы информационной безопасности заказчика. Существуют на отечественном рынке и такие сервисы, которые ориентированы в первую очередь на предоставление заказчику информации для последующей обработки и интерпретации на его стороне.

Технологически российские DRPS мало чем уступают западным: многие из них используют методы машинного обучения, обладают собственной системой оценки угроз, имеют API для интеграции с другими системами. Кроме того, вендоры встраивают DRPS в собственные линейки ИБ-продуктов для реализации методов комплексной защиты.

На отечественном DRPS-рынке представлены следующие системы:

• BI.ZONE Brand Protection.
• Group-IB Digital Risk Protection.
• Infosecurity ETHIC.
• Kaspersky Threat Intelligence.

Обзор отечественного рынка сервисов управления киберрисками (DRPS)

 

 

BI.ZONE Brand Protection

Решение BI.ZONE Brand Protection состоит из трёх модулей. Подсистема «Мошенничество» отслеживает фишинг, подозрительные домены, а также фейковые аккаунты в соцсетях. Модуль «Утечки информации» выявляет утечки учётных записей и паролей сотрудников, клиентских баз данных, а также фрагментов исходного кода. Компонент «Инфополе» выявляет информационные атаки в соцсетях и мессенджерах, а также негативные публикации в открытых источниках. Заказчик может управлять платформой самостоятельно или обратиться к вендору за экспертной поддержкой.

 

Рисунок 1. Личный кабинет BI.ZONE Brand Protection

 

При самостоятельном управлении запросы на блокировку фишинговых ресурсов можно сформировать через личный кабинет платформы. Специалисты BI.ZONE проверят сайт и отправят запрос на его блокировку, если его мошеннический характер подтвердится. В рамках дополнительной экспертной поддержки команда BI.ZONE также отправляет на блокировку мошеннические ресурсы с упоминанием бренда клиента. Кроме того, эксперты вручную верифицируют результаты поиска и сверяют образцы потенциальных утечек с базами данных заказчика в режиме 24×7.

Преимущества BI.ZONE Brand Protection:

• По информации от вендора, 80 % нелегитимных доменов в зонах «RU» и «РФ», как правило, блокируются в течение 24 часов с момента обнаружения.
• Автоматический парсинг телеграм-каналов, форумов и чатов, где общаются злоумышленники.
• Поиск утечек данных в даркнете, а также корпоративной информации и фрагментов исходного кода в открытых источниках, таких как GitHub, Trello, AnonFiles.
• Возможность передачи данных во внешние системы клиента через настраиваемый API.
• Платформа ежедневно анализирует более 12 млн источников.

Специалисты по информационной безопасности BI.ZONE и сотрудники клиента работают в едином информационном пространстве, что упрощает коммуникацию сервис-провайдера и заказчика, а также облегчает оперативное реагирование на обнаруженные инциденты.

Подробнее о BI.ZONE Brand Protection можно узнать на сайте компании.

 

 

Group-IB Digital Risk Protection

Комплексное решение Digital Risk Protection, разработанное компанией Group-IB, предназначено для защиты цифровых активов компании, бренда, личной и корпоративной репутации от таких актуальных угроз, как мошенничество, фишинг, онлайн-пиратство, контрафакт, утечки данных, ложные партнёрства, неправомерное использование товарного знака с использованием технологий искусственного интеллекта. При помощи различных средств автоматического мониторинга (парсеры, веб-краулеры, API) система сканирует открытые и закрытые ресурсы за пределами сетевого периметра компании, выполняет анализ данных с целью выявления случаев нелегитимного использования бренда и контента, а также обнаруживает нарушения на ранних стадиях. В зависимости от типа инцидента принимаются меры реагирования — от прямой блокировки ресурса до удаления нелегальных сайтов и приложений из поисковой выдачи.

 

Рисунок 2. Пример интерфейса Group-IB Digital Risk Protection

 

Производитель декларирует, что использование данных киберразведки (Threat Intelligence) и возможности машинного обучения позволяют Group-IB Digital Risk Protection выявлять угрозы на ранних этапах их возникновения и обнаруживать мошеннические ресурсы ещё до того, как злоумышленники приведут туда трафик. Команда аналитиков компании, состоящая из 80 высококвалифицированных специалистов, исследует действия злоумышленников и популярные мошеннические схемы, чтобы выявлять сети вредоносных ресурсов и стоящую за ними инфраструктуру.

Преимущества Group-IB Digital Risk Protection:

• Особая нейронная сеть, разработанная на основе передовых запатентованных методов обнаружения.
• Использование графового анализа для выявления инфраструктуры киберпреступников.
• Собственные инструменты для расследования инцидентов мошенничества и пресечения деятельности злоумышленников.
• Автоматическая корреляция связанных ресурсов и объектов для атрибуции и нейтрализации групп мошенников, предотвращения дальнейшего развития атаки.
• Запатентованная оценочная модель для определения степени угрозы.

Digital Risk Protection интегрирован в экосистему Unified Risk Platform — единую платформу решений и сервисов Group-IB для защиты от целевых атак, утечек данных, мошенничества, фишинга и нелегального использования бренда.

Подробнее о Group-IB Digital Risk Protection можно узнать на сайте компании.

 

 

Infosecurity ETHIC

Компания Infosecurity a Softline Company предлагает на отечественном рынке сервис ETHIC, предназначенный для выявления цифровых рисков и для всесторонней защиты бизнеса от внешних киберугроз. Система ищет в Сети любую потенциально опасную для компании-заказчика информацию, такую как фишинговые сайты, использующие бренд клиента, базы данных скомпрометированных учётных записей или исходный код с конфиденциальными сведениями. Помимо традиционных направлений защиты бренда ETHIC проводит мониторинг сайтов вакансий, чтобы предупредить заказчика об угрозах связанных с увольнением сотрудников, а также выявляет случаи онлайн-торговли поддельной продукцией или нелегального распространения товаров бренда.

 

Рисунок 3. Панель управления Infosecurity ETHIC

 

Специально для компаний финансового сектора разработка Infosecurity содержит модуль «Эквайринг», который собирает сведения об использовании платёжных шлюзов заказчика для осуществления нелегальных или подверженных высокому риску транзакций, таких как приём платежей онлайн-казино, обмен криптовалюты и др. Работа с ETHIC осуществляется через веб-консоль с дашбордом, содержащим сводку самой важной информации в виде таблиц и графиков. По каждой угрозе система создаёт детальный отчёт, в котором отражаются дата события, его источник, уровень риска и другие данные. На отдельном графике представлена динамика угроз в разрезе каждого вида (модуля).

Преимущества Infosecurity ETHIC:

• Оперативное выявление фишинга и анализ задействованных в фишинговой атаке ресурсов. Среднее время блокирования фишинговых сайтов составляет четыре часа.
• Выявление нелояльных сотрудников: система отслеживает появление резюме на HeadHunter, Avito и SuperJob.
• Поиск объявлений о нелегальной продаже товаров и услуг заказчика в соцсетях, на маркетплейсах и закрытых торговых площадках.
• Возможность выявлять факты нелегальной продажи юридических лиц и ИП, которые могут быть использованы для проведения фиктивных сделок, через мониторинг телеграм-каналов, ресурсов в даркнете и дипвебе.
• Отслеживание фактов кражи аккаунтов сотрудников в Telegram, «ВКонтакте», «Одноклассниках», LinkedIn, «Моём Мире», Skype, а также в других соцсетях и мессенджерах.

Infosecurity ETHIC имеет модульную архитектуру, что позволяет индивидуализировать сервис под специфику определённой отрасли и конкретной организации.

Подробнее об Infosecurity ETHIC можно узнать на сайте компании.

 

 

Kaspersky Threat Intelligence

Своё видение процесса управления цифровыми рисками предлагает «Лаборатория Касперского». Вендор создал сервис Kaspersky Threat Intelligence, где собирает информацию о широком спектре угроз, а также предоставляет услуги по удалению вредоносных и фишинговых доменов. Среди прочего пользователь сервиса может получить доступ к данным модуля Kaspersky Digital Footprint Intelligence, отвечающего за выявление, мониторинг и анализ угроз (вредоносных программ, APT-кампаний, уязвимостей и др.), которые могут быть нацелены на организацию. Кроме этого подсистема анализирует активность киберпреступников на ресурсах даркнета (форумах, каналах обмена мгновенными сообщениями, onion-ресурсах и т. д.) для выявления скомпрометированных учётных записей сотрудников, случаев продажи данных или обсуждений атак на организацию.

 

Рисунок 4. Схема работы Kaspersky Digital Footprint Intelligence

 

Ещё одним элементом системы, который можно отнести к DRPS, является Kaspersky Takedown, предназначенный для удаления вредоносных и фишинговых доменов. Вендор по запросу клиента готовит всю необходимую документацию и направляет запрос на блокирование в компетентный местный или региональный орган (CERT, регистратор и т. д.), уполномоченный на исполнение такого запроса.

Преимущества Kaspersky Threat Intelligence:

• Создание персонализированных отчётов на основании результатов автоматического и ручного анализа открытых и закрытых источников.
• Гибкие варианты подписки — предоставление квартальных или разовых отчётов, а также поисковые запросы с произвольным контекстом.
• Использование внешних сведений (публичные источники и ресурсы даркнета), а также собственной уникальной базы данных.
• Полная прозрачность процесса блокировки нелегитимного ресурса с уведомлениями о каждом этапе процесса.
• Глобальный охват — работа как с отечественными, так и с зарубежными партнёрами.

Возможности Kaspersky Threat Intelligence выходят за рамки DRPS-системы. В сервис интегрированы модули формирующие потоки данных об угрозах, поисковый портал для выявления взаимосвязей между киберсобытиями, облачная песочница, аналитический центр для атрибуции угроз и другие подсистемы.

Подробнее о Kaspersky Threat Intelligence можно узнать на сайте компании.

Обзор зарубежного рынка сервисов управления киберрисками (DRPS)

 

 

BlueVoyant Sky: DRP

Компания BlueVoyant предоставляет услуги по управлению киберрисками в рамках своей комплексной платформы BlueVoyant Elements. Помимо прочего она включает в себя DRPS-модуль «Sky: DRP», а также систему менеджмента рисков, которые возникают на стороне партнёров и клиентов компании, под названием «Terrain: 3PR». DRPS компании BlueVoyant обеспечивает защиту заказчика по таким направлениям, как цифровая защита бренда, выявление мошеннических кампаний, мониторинг захвата учётных записей, обнаружение утечек данных, анализ внешней площади атаки.

Sky: DRP поставляется клиентам как управляемая услуга с большим набором параметров. Компания не лимитирует количество срабатываний системы в рамках подписки, что делает это предложение привлекательным как для крупных компаний, так и для организаций малого и среднего бизнеса.

Преимущества BlueVoyant Sky: DRP:

• Инциденты, выявленные системой, проверяются экспертами, что снижает долю ложных срабатываний.
• Запросы регистраторам на удаление поддельных и фишинговых сайтов создаются автоматически.
• Расширенный анализ онлайн-упоминаний бренда и первых лиц компании с определением настроения и тона публикации для точной оценки уровня угрозы.
• Комплексный мониторинг даркнета, глубинного интернета, веб-пространства, социальных сетей и приложений с целью выявления киберрисков.
• Обнаружение и предотвращение атак основанных на украденных данных клиентов компании, включая информацию о банковских картах.

Sky: DRP и Terrain: 3PR легко интегрируются с другими элементами комплексной платформы BlueVoyant — сервисом по обнаружению и реагированию «Core: MDR» и службой реагирования на инциденты, расследования, оценки рисков и предотвращения угроз «Liquid: PS».

Подробнее о BlueVoyant Sky: DRP можно узнать на сайте компании.

CybelAngel External Risk Protection Platform

Возможности DRPS-платформы компании CybelAngel позволяют проводить глубокое исследование контента связанного с цепочкой поставок клиента. Анализируя открытые и конфиденциальные документы, фрагменты кода, индексы баз данных, возможные уязвимости сторонних сервисов, система даёт возможность оценивать уровень риска и потенциальную угрозу для информационной безопасности заказчика. Модели искусственного интеллекта External Risk Protection Platform обучаются уже несколько лет и, по заявлению разработчиков, способны распознавать 99,5 % некритических инцидентов. Оставшуюся часть разбирают аналитики CybelAngel, чьё внимание сфокусировано исключительно на серьёзных киберпроисшествиях.

 

Рисунок 5. Панель управления CybelAngel External Risk Protection Platform

 

CybelAngel External Risk Protection Platform состоит из шести модулей, отвечающих за мониторинг даркнета, предотвращение захвата аккаунтов, защиту от утечки данных, обнаружение и защиту теневых и брошенных цифровых активов, безопасность домена и предотвращение фишинга, а также исследование соцсетей и работу с цифровым следом.

Преимущества CybelAngel External Risk Protection Platform:

• Широкий охват сканирования — мониторинг более чем 4,3 млрд уникальных IP-адресов в режиме реального времени, как на уровне активов, так и на уровне документов.
• Быстрое обнаружение угроз с использованием прогностической модели машинного обучения с многолетним опытом.
• Отчёты, сформированные системой, проверяются и редактируются аналитиком поставщика, который исследует данные в контексте задач заказчика.
• Среднее время локализации инцидентов, обнаруженных системой, по данным разработчика сокращается на 85 %.
• Углублённое сканирование баз данных MySQL, MongoDB, Elasticsearch на наличие открытой информации.

Разработчики External Risk Protection Platform стремятся к интеграции со сторонними системами безопасности, такими как SIEM или SOAR, а также продуктами для службы поддержки. Заказчики могут использовать «сырые» данные, полученные от DRPS, для загрузки в собственные ИБ-системы и проведения самостоятельного расследования киберинцидентов.

Подробнее о CybelAngel External Risk Protection Platform можно узнать на сайте компании.

 

 

Digital Shadows SearchLight

Платформа SearchLight компании Digital Shadows сочетает возможности по управлению киберрисками с функциями Threat Intelligence. Система состоит из нескольких модулей, предназначенных для защиты бренда, обеспечения безопасности данных и киберразведки. Блок защиты бренда включает в себя выявление фальшивых аккаунтов, доменов, приложений и других интеллектуальных активов, имеющих отношение к организации. Специальный модуль ищет домены, в которых используются похожие символы — «0» вместо «o» и др. Есть также инструменты для мониторинга социальных сетей.

Для обнаружения утечек данных SearchLight сканирует множество источников, включая все основные типы облачных хранилищ. Система контролирует как общедоступные площадки, так и теневые форумы, на которых появляется украденная в результате кибератак информация. Ещё один инструмент предназначен для выявления несанкционированного использования интеллектуальных активов компании в социальных сетях. Дополнительно проводится мониторинг поставщиков, подрядчиков и других субъектов цепочки поставок.

Преимущества Digital Shadows SearchLight:

• Возможность реагирования на массовые угрозы при помощи большого количества шаблонов.
• Выявление общедоступных документов в неправильно настроенных онлайн-хранилищах, включая Amazon S3, SMB, FTP, RSync и CDN.
• Мониторинг даркнета с использованием средств анализа контекста Photon Research для более точного выявления случаев публикации похищенных данных.
• Поиск интегрированных в код учётных данных и токенов онлайн-сервисов в различных источниках, включая общедоступные репозитории кода, такие как GitHub и GitLab.
• Обнаружение SSH-ключей, представленных как в текстовом виде, так и в зашифрованном.

Сильной стороной разработки Digital Shadows является комбинация возможностей DRPS и TI. Пользователи системы могут экспортировать список индикаторов компрометации (IoC), связанных с субъектами угроз. Они также имеют доступ к библиотеке Cyber Threat Intelligence, в которой собраны отчёты TI и данные из даркнета более чем за 10 лет. Поставщик предлагает ряд интеграций с сервисами подобными Microsoft Azure Active Directory (Azure AD) для более качественной идентификации учётных данных.

Подробнее о Digital Shadows SearchLight можно узнать на сайте компании.

 

 

IntSights Threat Command

Система Threat Command предназначена для упрощения анализа внешних угроз за счёт сопоставления потенциально вредоносных событий в контексте бренда и связанных с ним сущностей с их уникальными цифровыми активами. Разработка компании IntSights выполняет мониторинг интернет-ресурсов, даркнета, теневых площадок и социальных сетей с целью сбора и классификации значимой для безопасности компании информации. Собранные данные поступают к аналитикам отсортированными по степени угрозы, её типу (например, фишинг, защита бренда, утечка данных) и источнику (например, хакерские форумы, социальные сети, даркнет).

 

Рисунок 6. Панель управления IntSights Threat Command

 

Специалисты по информационной безопасности могут настроить правила формирования уведомлений в зависимости от уникальных для каждой компании критериев, чтобы уменьшить количество «белого шума». Дополнительно к автоматизированным функциям Threat Command доступна круглосуточная поддержка со стороны аналитиков IntSights, которые помогут сократить время реагирования на инцидент и его дальнейшего расследования.

Преимущества IntSights Threat Command:

• Автоматизированные сценарии блокировки угроз, включая сброс пароля Active Directory.
• Функция реагирования и исправления одним щелчком мыши.
• Возможность создания уникальных, адаптированных для конкретного заказчика пользовательских алгоритмов на основе технологий машинного обучения.
• Одна из самых больших в отрасли баз источников для мониторинга.
• Возможность интеграции с другими ИБ-продуктами из экосистемы IntSights.

Система IntSights Threat Command предлагает заказчику сочетание автоматизированных инструментов безопасности и профессиональных услуг. Одним из конкурентных преимуществ этой разработки является использование TI-аналитики и сопоставление информации об угрозах с базой уязвимостей для более точной оценки рисков. В июле 2021 года компания Rapid7 приобрела IntSights.

Подробнее об IntSights Threat Command можно узнать на сайте компании.

 

 

PhishLabs DRP Platform

Компания PhishLabs предлагает DRP-платформу, которая позволяет проводить мониторинг утечек данных и фактов «угона» аккаунтов, обеспечивать безопасность бренда, анализировать связанную с компанией информацию в соцсетях, а также выполнять поиск угроз в электронной почте. Разработка PhishLabs собирает информацию из широкого спектра источников (открытые интернет-ресурсы, даркнет, соцсети, магазины приложений), а также может работать с уникальными для каждого конкретного заказчика площадками и сторонними потоками данных (фидами).

Для снижения уровня ложных срабатываний применяется комбинированный способ выявления угроз. Сначала большие объёмы информации обрабатываются алгоритмами автоматизированного анализа и оценки. Затем аналитики PhishLabs просматривают, проверяют и классифицируют отфильтрованные искусственным интеллектом результаты для получения верифицированных сведений о событиях, передаваемых заказчику.

Преимущества PhishLabs DRP Platform:

• Прямое подключение к поставщикам услуг через коммерческие API для быстрой блокировки обнаруженных угроз.
• Интеграция со сторонними ИБ-системами (SIEM, SOAR, IDPS и другими) на уровне API.
• Веб-консоль с отдельным интерфейсом для руководителя.
• Одна из самых больших в мире баз данных о фишинге, постоянно пополняемая из открытых и проприетарных источников.
• Наличие собственных центров компетенций по разным типам угроз.

PhishLabs предлагает широкий спектр вариантов реагирования с использованием возможностей интеграции с поставщиками услуг: аварийное отключение ресурса, автоматическое удаление на стороне провайдера, блокировки в браузере и другие средства. Информация обо вновь созданных доменах и адресах электронной почты поступает к ИБ-специалистам напрямую от хостинг-провайдеров и регистраторов. В 2021 году компания HelpSystems приобрела PhishLabs.

Подробнее о PhishLabs DRP Platform можно узнать на сайте компании.

 

 

Recorded Future Brand Intelligence

Brand Intelligence является частью комплексной платформы Intelligence Cloud, разработанной компанией Recorded Future. Система обеспечивает обнаружение и уничтожение фишинговых ресурсов, мониторинг украденной у компании персональной и финансовой информации, а также ищет упоминания о бренде в даркнете. Помимо этого Brand Intelligence выявляет «триаду компрометации» компании: незаконное использование логотипа, поддельные профили первых лиц и фальшивые приложения, связанные с брендом. Производитель использует услуги FraudWatch для оперативного реагирования и блокировки несанкционированного использования бренда.

 

Рисунок 7. Отчёт об упоминании бренда в Recorded Future Brand Intelligence

 

Преимущества Recorded Future Brand Intelligence:

• Автоматическая идентификация и классификация данных, собранных в даркнете.
• Интеграция с другими модулями системы Intelligence Cloud.
• Отслеживание теневых площадок при изменении их домена и IP-адреса.
• Выявление украденных учётных данных, проприетарного кода, а также других типов цифровых активов.
• Дополнительная аналитика от исследовательской команды Insikt Group для лучшего понимания контекста угрозы.

Одним из ключевых достоинств Brand Intelligence является поддержка сценариев DRPS другими модулями анализа угроз, входящими в экосистему Intelligence Cloud. Имеющиеся данные можно использовать для сопоставления внутренних и внешних угроз, их лучшей классификации и разработки сценариев реагирования.

Подробнее о Recorded Future Brand Intelligence можно узнать на сайте компании.

 

 

RiskIQ External Threats

Компания RiskIQ, в 2021 году перешедшая под крыло Microsoft, предлагает широкий спектр ИБ-продуктов, среди которых есть и инструмент Digital Risk Protection — система RiskIQ External Threats. Она предназначена для защиты бренда с помощью активного сопоставления данных, мониторинга, реагирования и устранения киберугроз. Разработка выявляет фишинговые сайты, ресурсы со схожими названиями, мошеннические мобильные приложения, поддельные аккаунты в социальных сетях и вредоносные программы, использующие бренд.

 

Рисунок 8. Панель управления RiskIQ External Threats

 

External Threats использует мощную инфраструктуру сбора данных, созданную RiskIQ. Система не только выполняет активное интернет-сканирование и анализ веб-страниц, но и использует сеть сенсоров для выявления проблем в широком круге источников. Она работает с активными и пассивными DNS, SSL-сертификатами, вредоносными программами, сценариями JavaScript, исследует файлы cookie, а также собирает информацию с портов, реестров WHOIS, устройств интернета вещей и мобильных приложений. Система также может работать со внутренними источниками, индивидуальными для каждого заказчика.

Преимущества RiskIQ External Threats:

• Использование оригинальной технологии Internet Intelligence Graph для выявления нарушений безопасности бренда.
• Автоматизированный поиск упоминаний компании и её ключевых лиц в даркнете с применением ядра Flashpoint BRI.
• Наличие настраиваемого API для подключения внешних модулей сканирования теневых площадок.
• Выявление наиболее сложных угроз в автоматическом или полуавтоматическом режиме при помощи службы RiskIQ Managed Intelligence Services.
• Большой набор предустановленных и настраиваемых индикаторов угроз.

RiskIQ гибко интегрируется с SIEM, SOAR, TIP, EDR, XDR и другими системами через сервис RiskIQ Interlock. Пакет разработок RiskIQ охватывает DRPS, системы анализа угроз и EASM, может использоваться для оперативного или стратегического управления киберрисками.

Подробнее о RiskIQ External Threats можно узнать на сайте компании.

ZeroFox Platform

DRPS-платформа компании ZeroFox предлагает клиентам решения по управлению цифровыми рисками в сфере защиты бренда, поиска фишинговых доменов, мониторинга подложных аккаунтов, анализа данных в даркнете и даже физической безопасности сотрудников. Последний сервис предполагает оперативное оповещение об угрозах (природные явления, катастрофы, теракты и прочее), которые могут затронуть персонал компании.

За обработку данных, полученных в результате мониторинга открытых и теневых источников, отвечает ядро, которое использует искусственный интеллект для распознавания связанной с брендом информации и определения степени её опасности для компании. В типовых случаях запрос на удаление криминального контента формируется автоматически, без привлечения оператора SOC. Для источников в даркнете осуществляется дополнительный «ручной» поиск и анализ информации силами специалистов центра ZeroFox Alpha Team.

Преимущества ZeroFox Platform:

• Микросервисная архитектура и гибкие возможности встроенных API для быстрой интеграции с имеющейся у заказчика инфраструктурой.
• Широкие функциональные возможности по работе с рисками для электронной почты: мониторинг злоупотребления электронной почтой, выявление фишинговых писем, защита от компрометации корпоративной электронной почты.
• Параллельная работа автоматической службы мониторинга и управляемой услуги экспертного центра по киберрискам.
• Выявление предложений контрафактной продукции.
• Бесшовная интеграция с сервисами Threat Intelligence в рамках одной платформы.

Платформа ZeroFox обладает широкими возможностями по мониторингу даркнета за счёт ядра от компании Vigilante, поглощённой вендором. Кроме того, ZeroFox использует возможности платформы Mandiant Advantage, недавно приобретённой Google, для оперативного реагирования на выявленные инциденты.

Подробнее о ZeroFox Platform можно узнать на сайте компании.

Выводы

DRPS дополняет классические системы безопасности, придавая защите объём и многогранность. В отличие от TI, DLP, EDR и других систем, которые сконцентрированы на технических аспектах обеспечения безопасности, такие сервисы работают на поле информационных и репутационных рисков, являясь авангардом киберразведки, способным, например, увидеть таргетированную атаку в момент её зарождения. С другой стороны, DRPS — это один из самых понятных бизнесу аспектов информационной безопасности, предлагающий защиту не от абстрактных уязвимостей или вредоносных программ, а от понятных руководителю бизнес-рисков и репутационных потерь.

DRPS даёт команде кибербезопасности передовую технологию обнаружения угроз, которая может поставляться и как готовый продукт, и как услуга, и как информационный сервис. Она легко и с минимальными затратами масштабируется, нацелена на конкретный и понятный бизнес-результат, может быть интегрирована в общую систему безопасности компании. Как правило, такие системы имеют модульную структуру, предоставляя заказчику возможность выбирать набор опций, учитывающих его региональную и отраслевую специфику.

Эксперты прогнозируют рост этого рынка несмотря на очевидную маркетинговую переупаковку во многом уже известных инструментов (а может, и благодаря ей). Такое развитие событий наверняка приведёт к обострению конкурентной борьбы, а на отечественном рынке, возможно, — ещё и к появлению новых игроков. Для того чтобы успешно продавать в таких условиях, вендоры вынуждены генерировать уникальные торговые предложения, обогащая DRPS смежными функциями, предлагая более широкие и удобные возможности интеграции, выпуская отраслевые версии продуктов.