R-Vision расшарила модель для скоринга IoC в рамках Threat Intelligence

Татьяна Никитина 07 Июля 2021 - 14:11

Поиск и обнаружение атак (Threat Intelligence)

...

R-Vision расшарила модель для скоринга IoC в рамках Threat Intelligence

Компания R-Vision опубликовала на GitHub исходный код модели для ранжирования индикаторов компрометации (IoC), которую можно использовать в системах управления данными о киберугрозах. Проект, предлагаемый вниманию ИБ-сообщества, распространяется по лицензии Apache License v2.0.

Информация об актуальных угрозах (Threat Intelligence) помогает организациям выстроить эффективную стратегию защиты от кибератак. К таким данным относятся IoC, описания техник и тактик злоумышленников, степень риска, связанного с конкретными угрозами.

Созданный в R-Vision прототип системы расчета репутации IoC использует алгоритм, предложенный (PDF) исследователями из Амстердамского университета. Их методика позволяет сократить число ложноположительных результатов при выделении и оценке IoC.

Скоринговая модель R-Vision определяет рейтинг IoC по трем основным параметрам:

количество взаимосвязей между индикаторами и контекстом;
сравнительная скорость предоставления данных источником;
полнота данных в источнике (в сравнении с совокупностью данных из всех источников).

В модели также имеются дополнительные коэффициенты. Один из них, к примеру, позволяет учитывать присутствие IoC в списках известных ресурсов с чистой репутацией. Другой коэффициент дает возможность регулировать скорость устаревания рейтинга. Модель легко расширяется за счет добавления других коэффициентов, и каждому можно задать нужный вес в зависимости от конкретной задачи.

«Для эффективного противостояния киберпреступности необходимо обмениваться информацией о киберугрозах, — комментирует Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform. — Обладая широкой экспертизой в обработке и анализе индикаторов компрометации, мы стремимся вносить вклад в развитие ИБ-сообщества и делиться полезными наработками. Представленную модель можно рассматривать как академический проект или встроить в собственную систему управления данными Threat Intelligence для расчета репутации индикаторов компрометации и принятия решений о дальнейших действиях с ними на основе полученных оценок».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 22 Мая 2025 - 14:23

Корпорации Защита конечных точек сети Системы обнаружения целевых атак на конечных точках сети (EDR)Сетевая защита от целевых атак (NIPS) Positive Technologies

Positive Technologies представила POC решения для защиты от массовых атак

На пресс-конференции «Стратегическое развитие защиты конечных устройств» компания Positive Technologies показала работающий прототип системы с предварительным названием MaxPatrol EPP.

Решение ориентировано на защиту от массовых угроз, в первую очередь — от шифровальщиков и троянских программ удалённого управления.

Разработку представил Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов Positive Technologies. MaxPatrol EPP создаётся на базе технологий компании «ВирусБлокада», долю в которой Positive Technologies приобрела в феврале 2025 года.

Прототип уже способен распознавать и блокировать запуск вредоносных скриптов, которые загружают зловредные программы. Именно такие скрипты часто встраиваются в PDF-файлы и офисные документы, рассылаемые через почту или мессенджеры — это один из распространённых каналов доставки вредоносного ПО.

Согласно внутренней статистике компании, 20% всех кибератак на российские организации связаны с заражением конечных устройств: рабочих станций, ноутбуков и серверов. Из числа таких атак 42% приходятся на шифровальщики, ещё 38% — на трояны удалённого управления (RAT).

Как отметил Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры Positive Technologies, одного антивируса уже недостаточно для полноценной защиты. По данным опроса, в котором приняли участие более 390 российских компаний всех масштабов и отраслей, в среднем организации используют 3,2 защитных решения.

Причём чем крупнее бизнес, тем больше средств защиты он применяет. Наиболее популярны — антивирусы, межсетевые экраны, средства предотвращения вторжений и системы защиты конечных точек (EDR). Сейчас EDR используют 58% компаний, а ещё 28% планируют внедрить их в этом году.

По словам Сергея Лебедева, MaxPatrol EPP будет распространяться как отдельный продукт, в том числе для малого и среднего бизнеса, а также входить в состав других решений компании — например, в сетевую песочницу и NGFW.

Юрий Бережной, руководитель направления по развитию защиты конечных устройств Positive Technologies, подчеркнул, что интеграция разных защитных решений — один из главных приоритетов для заказчиков. Новый продукт отвечает на запрос бизнеса: быстро реагировать на массовые угрозы. В то время как EDR-функциональность остаётся инструментом для специалистов ИБ и применяется против более сложных, точечных атак.

Напомним, вчера мы сообщали о запуске PT MAZE — сервиса для защиты мобильных приложений от реверс-инжиниринга.