Сообщить об инциденте
Сообщить об инциденте
Главная
Проекты
База решающих правил AM Rules для ГК «Эшелон»

База решающих правил AM Rules для ГК «Эшелон»

База решающих правил AM Rules для ГК «Эшелон»
База решающих правил AM Rules поставляется для продуктов ГК «Эшелон» NTA eSensor и NGFW «Рубикон Nova», а также успешно применяется для защиты периметра и внутренней инфраструктуры  ГК «Эшелон».

О ГК «Эшелон»

ГК «Эшелон» разрабатывает широкий спектр средств защиты информации и анализа защищённости программного обеспечения и информационных систем. Продукты ГК «Эшелон»имеют сертификаты ФСТЭК России и Минобороны России.

NTA eSensor  — система глубокого анализа сетевого трафика (NTA — Network Traffic Analysis), которая позволяет обнаруживать сетевые угрозы, расследовать инциденты и контролировать соблюдение политик безопасности в инфраструктуре компании. 

«Рубикон Nova» — межсетевой экран нового поколения, предназначенный для комплексной защиты корпоративной инфраструктуры от внешних и внутренних угроз. 

Задачи проекта

ГК «Эшелон» в своих продуктах использовала известный открытый набор правил ссинтаксисом Suricata. Такой подход позволил сосредоточить основные усилия на разработке логической и функциональной части продуктов и при этом обеспечить базовый уровень покрытия атак. Однако в ходе тестирования и подготовки к сертификации разработчикам NTA eSensor и «Рубикон Nova» стало очевидно, что требуется найти другой источник правил, который обеспечит достаточную глубину анализа и высокий уровень детектирования, ляжет в основу конкурентоспособных коммерческих продуктов и одновременно усилит защитуинфраструктуры самой ГК «Эшелон».

Чтобы решить эту проблему, требовалось либо разработать собственную базу решающих правил (БРП), либо найти подходящий продукт на отечественном рынке. Разработка такой базы требует больших ресурсов и специализированной экспертизы, поэтому было решено искать внешнего поставщика. 

ГК «Эшелон» установила следующие требования к БРП:

  1. Покрытие современных тактик и техник в соответствии с MITRE ATT&CK.
  2. Актуальность для организации — наличие правил для обнаружения угроз, связанных конкретно с тем ПО, которое используется в ГК «Эшелон» и у ее заказчиков.
  3. Точность — низкое количество ложных срабатываний.
  4. Информативность — наличие большого количества метаданных, которые содержатся в правиле, помогая аналитику в анализе событий. 
  5. Производительность — низкие требования к мощностям ЦПУ и оперативной памяти.

Также были сформированы критерии выбора поставщика БРП. Они включали репутацию компании и опыт реализации аналогичных проектов, а также условия подписки: стоимость, частоту обновлений, качество технической поддержки и возможность пилотирования решения на реальном трафике.

В результате поисков базы решающих правил ГК «Эшелон» остановила свой выбор на экспертных данных «Перспективного мониторинга», который производит собственные решающие правила с 2016 года. База AM Rules насчитывает около 50 000 собственных актуальных сигнатур и постоянно пополняется – свыше 1 000 новых сигнатур выходят ежемесячно. Сигнатуры «Перспективного мониторинга» соответствуют международным стандартам и синтаксису правил Suricata, который используется в продуктах ГК «Эшелон». 

Результат

БРП AM Rules была интегрирована в разрабатываемые NTA eSensor и NGFW «Рубикон Nova» в 2025 году.

«После замены open-source-решения на базу AM Rules мы наблюдали значительное увеличение количества корректно детектированных событий в рамках пилотных проектов по внедрению наших продуктов. Система начала видеть то, что ранее оставалось „зашумлённым“ фоном или вовсе пропускалось. Мы отметили наличие уникальных сигнатур на новые уязвимости (CVE) и сложные поведенческие аномалии, что критически важно для решений NTA и NGFW», — рассказал системный аналитик и менеджер продукта NTA eSensor Николай Жуков

Внедрение БРП AM Rules позволило ГК «Эшелон»  оптимизировать работу своих СЗИ и достичь следующих ключевых показателей:
  1. Количество актуальных срабатываний: на 40% повысилась эффективность обнаружения компьютерных атак различных типов в разрабатываемых СЗИ благодаря выявлению ранее пропускаемых угроз.. 
  2. Качество покрытия: база AM Rules обеспечила требуемую полноту обнаружения, поскольку в ней учтены современные векторы кибератак.
  3. Операционная нагрузка: нагрузка на команду аналитиков снизилась примерно в два раза — этого удалось достичь за счет сокращения «информационного шума» и минимизации ручной работы по настройке исключений.

«Нам критически важно опираться на надёжного поставщика правил и не тратить время на их постоянный ручной тюнинг. Замена open-source-решения на коммерческий продукт полностью себя оправдала: мы получили значительный рост качества обнаружения и кратно сэкономили время аналитиков», — добавил Николай Жуков.