RST Cloud и Security Vision объединили экспертизу для Threat Intelligence

RST Cloud и Security Vision объединили экспертизу для Threat Intelligence

RST Cloud и Security Vision объединили экспертизу для Threat Intelligence

Интеграция продуктов RST Cloud и Security Vision позволит заказчикам использовать в процессах киберразведки и инцидент-менеджмента расширенную актуальную базу индикаторов на основе более чем 260 открытых источников.

Компания RST Cloud, поставщик индикаторов компрометации, и компания «Интеллектуальная безопасность», создающая передовые российские решения в области управления и автоматизации процессов информационной безопасности на платформе SecurityVision, обеспечили технологическую совместимость своих продуктов. Основные преимущества интеграции:

  • Теперь пользователи Security Vision будут получать обработанные данные как из широко известных, так и из узкоспециализированных неструктурированных источников (таких как открытые отчеты по работе вредоносного ПО и группировок).
  • В работу операторов линий SOCа будут добавлены такие сложно обрабатываемые источники индикаторов компрометации, как Twitter, Github и Pastebin, что обеспечит актуальность «день в день» и максимальную скорость превентивной реакции.
  • Помимо систематизации разнородной и сложнодоступной информации, с участием экспертизы RST Cloud платформа Security Vision будет обогащаться дополнительным контекстом с оценками достоверности и критичности, что позволит более точно и быстро принимать оперативные решения по реагированию.

«Использование в работе открытых источников ТИ необходимо, так как по сути это дает доступ к огромному полезному массиву данных об актуальных угрозах. Но работа с открытыми неструктурированными источниками затруднена необходимостью трудоемкой обработки данных. Именно эту основную задачу решает платформа RST Cloud, отдавая своим клиентам обработанный и отфильтрованный массив данных об индикаторах компрометации в удобочитаемом формате как для любого средства защиты, так и для конкретного эксперта. При этом дополнительно данные проходят через обогащение и процедуру расчёта уровня опасности (скоринг), таким образом значительно сокращая время и стоимость работы с инцидентами для команды Incident Response и других участников Threat Intelligence», - комментирует директор по развитию бизнеса RST Cloud Анна Михайлова.

«Платформа RST Cloud предоставляет обширную информацию о новейших угрозах в Интернете. Интеграция систем RST Cloud и SecurityVision позволит нашим заказчикам формировать более полное представление о текущем ландшафте угроз и обеспечивать их оперативное детектирование и расследование. Это безусловно важный шаг как в вопросе укрепления информационной безопасности пользователей SecurityVision, так и в вопросе формирования отечественной ИБ-экосистемы – процесса, которому мы всячески стремимся содействовать», - отметила директор по продуктам SecurityVision Анна Олейникова.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России готовят систему для учёта IP-адресов и защиты от кибермошенников

Во втором пакете мер по борьбе с кибермошенничеством появилось новое предложение — создать государственную систему, которая будет учитывать, какой стране принадлежат IP-адреса. Операторы связи должны будут передавать туда данные о местоположении сетевых адресов.

Идея в том, чтобы использовать эти сведения не только для статистики, но и для защиты: например, ограничивать доступ к виртуальным АТС (ВАТС) с зарубежных IP, которые часто используют мошенники.

По словам Юрия Силаева, заведующего лабораторией доверенного искусственного интеллекта РТУ МИРЭА, такая база может стать полезным инструментом для кибербезопасности.

Она позволит фильтровать трафик на национальном уровне и блокировать подключения с территорий, откуда регулярно идут DDoS-атаки или кибератаки на критическую инфраструктуру.

«Это повысит устойчивость КИИ к внешним воздействиям и поможет бороться с фишингом и мошенничеством, ведь большинство подобных ресурсов размещаются за рубежом», — поясняет эксперт.

Функции по сбору и хранению данных, согласно проекту закона, будут возложены на Роскомнадзор, а оператором системы станет Радиочастотная служба.

Директор Координационного центра доменов .RU/.РФ Андрей Воробьёв отмечает, что сейчас зарубежные геосервисы часто ошибаются — например, по Крыму и новым регионам России они до сих пор показывают украинскую принадлежность. Из-за этого могут неправильно блокироваться российские пользователи в рамках борьбы с зарубежными атаками.

Собственная база позволит точнее контролировать сетевые потоки и быстрее выявлять инциденты — от утечек данных до попыток взлома.

Однако Силаев, которого цитирует «RG.RU», предупреждает: у такой системы есть и риски. Централизованное хранение информации создаёт единую точку отказа.

Если база будет взломана, злоумышленники получат карту всей сетевой инфраструктуры страны. Кроме того, совокупность IP-адресов с другими данными может позволить деанонимизировать пользователей. Ошибки в системе тоже могут обернуться массовыми блокировками легитимных сайтов.

Коммерческий директор компании «Код Безопасности» Фёдор Дбар считает, что подобная система усилит защиту от кибератак, ведь принадлежность IP к стране — один из факторов анализа при обнаружении аномалий в трафике.

«Это не революция, но важный шаг для повышения эффективности защиты», — говорит он.

По мнению эксперта, риски минимальны, потому что эти данные и так общедоступны, просто сейчас нет единого государственного реестра с проверенной информацией.

Подобные решения существуют и за рубежом. Например, в Китае действует знаменитый «Великий китайский файрвол», который фильтрует трафик с учётом геолокации. В США и Европе таких централизованных систем нет, но работают коммерческие и национальные сервисы, помогающие блокировать вредоносный трафик.

Разница, как отмечает Силаев, в подходах: на Западе подобные технологии в первую очередь направлены на защиту от кибератак, а не на контроль информационных потоков.

Напомним, ранее мы предупреждали об угрозе, которую для «белых» хакеров несут меры по защите от мошенников. Компании, работающие в сфере кибербезопасности, считают это прямым ограничением для исследователей, занимающихся поиском уязвимостей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru