Разработка правил обнаружения кибератак

«Перспективный мониторинг» — отечественная компания, на регулярной основе разрабатывающая экспертные данные для множества СЗИ. Для актуализации базы решающих правил мы ежемесячно анализируем до 100 000 образцов вредоносного кода и различных индикаторов компрометации, исследуем инструментарий злоумышленников и разрабатываем системы аналитики и приоритизации информации об угрозах, в результате чего каждый месяц подключаем до 1500 новых сигнатур AM Rules, которые учитывают российскую специфику атак.

Несмотря на быстрое развитие других средств защиты информации и способов обнаружения вредоносных воздействий, сигнатурный анализ остаётся надёжным и точным принципом работы систем обнаружения и предотвращения вторжений (компьютерных атак), известных как IDPS/COBA, особенно в сопряжении с другими средствами. Такие системы обеспечивают высокую эффективность при условии их правильного применения и использования актуальных и качественных баз решающих правил (сигнатур), дополняемых для противодействия новым угрозам.

Бесплатные и open-source сигнатуры имеют определённые недостатки:

  • Ошибки и недочёты синтаксиса, затрудняющие анализ операторами.
  • Низкое качество обнаружения и/или логические «закладки». Некоторые базы сигнатур не детектируют определённые уязвимости и типы атак или имеют недостатки логики обнаружения по причине недостаточно высоких стандартов качества разработки правил.
  • Низкий уровень оперативности дополнения баз решающих правил (сигнатур) для противодействия новым угрозам.
  • Низкая производительность баз решающих правил (сигнатур), как по причине недочётов в логике, так и по причине отсутствия эффективной обратной связи с пользователями.
  • Неудовлетворительный уровень сопровождения баз решающих правил (сигнатур) метаданными.
  • Риски в связи с возможной сменой политики лицензирования (смена собственника поставщика базы правил, поглощение компании, сотрудничество со спецслужбами, санкции и т.п.).

Сигнатуры компании «Перспективный мониторинг» соответствуют международным стандартам и синтаксису правил Snort / Suricata. Мы подробно описываем решающие правила на русском языке.

Наши правила Snort уже используются в системах IDPS семейства ViPNet.

«Перспективный мониторинг» предлагает производителям IDS и IPS постоянно обновляемые правила Snort или Suricata для их продуктов по модели подписки. Стоимость подписки учитывает количество сенсоров, корректировку правил под каждое конкретное решение и устранение ошибок совместимости.

Также мы тестируем правила ET-open (свободно распространяемый набор правил Emerging Threats) на специальном стенде, чтобы увеличить точность срабатывания, улучшить производительность и исключить ошибки, и бесплатно добавляем протестированные сигнатуры к базе решающих правил собственной разработки.

Схема разработки правил Snort

Правила AM Rules позволяют обнаруживать события в трафике:

  • вредоносное и нежелательное ПО;
  • попытки эксплуатации уязвимостей и компьютерные атаки;
  • аномальный и могущий указывать на нежелательные события трафик.

Мы разрабатываем правила, которые детектируют проведение атак на всех их этапах, в том числе подтверждение вредоносной активности на скомпрометированном узле и сопутствующие события.

По вопросам тестирования баз решающих правил AM Rules или уточнения стоимости просьба обращаться на request@amonitoring.ru.