О продукте

Подключить сервер, ПК или смартфон к зараженным узлам собственной сети, чтобы развивать атаку – любимая тактика злоумышленников. Понимайте намерения хакеров до того, как захват ими конкретных устройств приведет к ощутимым ИБ-последствиям. RuSIEM IoC укажет на возможность развития подобных инцидентов. Модуль подгружает в SIEM данные об IP-адресах, доменах, URL, хэшах вредоносного ПО. Как только система фиксирует в сетевом потоке или хостовой активности обращение к ресурсам из базы, она сообщает об этом оператору, указывая, какой именно элемент ИТ-инфраструктуры скомпрометирован и требует «лечения».

Выявляемые угрозы

Загрузка вредоносных файлов

с зараженных ресурсов сети Интернет

Автоматические запросы

с компьютеров к инфраструктуре злоумышленников

Обращение компонентов

клиентской инфраструктуры на вредоносные узлы

Запросы и обращения

с инфраструктуры злоумышленников либо зараженных узлов

Идентификация

конкретного ВПО либо хакерской группировки

Решение

RuSIEM IoC

это модуль SIEM-системы, позволяющий выявить угрозу для корпоративных устройств в виде попыток связаться с вредоносной инфраструктурой злоумышленника. Модуль подгружает в систему информацию об IP-адресах, доменах, url, хэшах вредоносного ПО (ВПО). Это и есть индикаторы компрометации – признаки, позволяющие выявлять вредоносные коммуникации и зараженные устройства. Как только SIEM-система фиксирует в сетевом потоке или хостовой активности обращение к данным ресурсам, которые есть в базе, она сообщает об этом оператору, указывая, какой конкретно элемент ИТ-инфраструктуры скомпрометирован и требует «лечения».

Как работает?

В рамках SIEM-системы созданы статические списки, куда каждую ночь подгружаются новые индикаторы компрометации. Для каждого списка существует свой собственный TTL – time to leave, то есть срок истечения для каждой записи. Это позволяет автоматически удалять индикаторы из списка, по прохождению времени, через которое данный индикатор уже перестает быть вредоносным, тем самым уменьшая количество ложных срабатываний. При этом если индикатор все еще активен, он будет обновлен при обновлении индикаторов, и время его жизни будет увеличено.
Выявление вредоносных коммуникаций происходит на основе уже настроенных общих правил корреляции. Если решения заказчика имеют нетипичную конфигурацию (например, используются нестандартные прокси-сервера, или другие информационные системы), в рамках RuSIEM можно создать свои правила корреляции и использовать их с учетом особенностей своей инфраструктуры.
Модуль RuSIEM IoC настраивается автоматически. Когда Firewall или иное СЗИ фиксирует факт взаимодействия устройства с внешним узлом, оно передает данные в SIEM-систему. Система, в свою очередь, анализирует их с помощью правил корреляции и устанавливает, является ли IP или домен, с которым взаимодействовало устройство, вредоносным. После того, как установлена угроза, в системе создается инцидент.

Можно ли подгружать индикаторы других поставщиков или создать свои правила корреляции?
Технически можно, например, – фиды и индикаторы ФинЦЕРТ Банка России. Но для этого созданы отдельные модули, которые устанавливаются по запросу организаций, подписавших соглашение с этими организациями.

Преимущества

Анализирует данные

из более чем 260 открытых источников

Интеллектуальная нормализация

очистка, обогащение индикаторов

Определение степени

опасности каждого индикатора на базе уникальной математической модели ранжирования

Система насчитывает

Сбор индикаторов

более 250 тысяч уникальных индикаторов в сутки, при этом 30 тысяч из которых имеют наивысший уровень опасности

происходит из социальных сетей (Telegram, Twitter), репозиториев Github, а также данных публичных TI-отчетов

Запросить демо

Хотите посмотреть систему в действии, узнать стоимость и получить коммерческое предложение?

Отправьте запрос и мы свяжемся с вами.