«Перспективный мониторинг» — отечественная компания, на регулярной основе разрабатывающая экспертные данные для множества СЗИ. Для актуализации базы решающих правил мы ежемесячно анализируем до 100 000 образцов вредоносного кода и различных индикаторов компрометации, исследуем инструментарий злоумышленников и разрабатываем системы аналитики и приоритизации информации об угрозах, в результате чего каждый месяц подключаем до 1500 новых сигнатур AM Rules, которые учитывают российскую специфику атак.
Несмотря на быстрое развитие других средств защиты информации и способов обнаружения вредоносных воздействий, сигнатурный анализ остаётся надёжным и точным принципом работы систем обнаружения и предотвращения вторжений (компьютерных атак), известных как IDPS/COBA, особенно в сопряжении с другими средствами. Такие системы обеспечивают высокую эффективность при условии их правильного применения и использования актуальных и качественных баз решающих правил (сигнатур), дополняемых для противодействия новым угрозам.
Бесплатные и open-source сигнатуры имеют определённые недостатки:
- Ошибки и недочёты синтаксиса, затрудняющие анализ операторами.
- Низкое качество обнаружения и/или логические «закладки». Некоторые базы сигнатур не детектируют определённые уязвимости и типы атак или имеют недостатки логики обнаружения по причине недостаточно высоких стандартов качества разработки правил.
- Низкий уровень оперативности дополнения баз решающих правил (сигнатур) для противодействия новым угрозам.
- Низкая производительность баз решающих правил (сигнатур), как по причине недочётов в логике, так и по причине отсутствия эффективной обратной связи с пользователями.
- Неудовлетворительный уровень сопровождения баз решающих правил (сигнатур) метаданными.
- Риски в связи с возможной сменой политики лицензирования (смена собственника поставщика базы правил, поглощение компании, сотрудничество со спецслужбами, санкции и т.п.).
Сигнатуры компании «Перспективный мониторинг» соответствуют международным стандартам и синтаксису правил Snort / Suricata. Мы подробно описываем решающие правила на русском языке.
Наши правила Snort уже используются в системах IDPS семейства ViPNet.
«Перспективный мониторинг» предлагает производителям IDS и IPS постоянно обновляемые правила Snort или Suricata для их продуктов по модели подписки. Стоимость подписки учитывает количество сенсоров, корректировку правил под каждое конкретное решение и устранение ошибок совместимости.
Также мы тестируем правила ET-open (свободно распространяемый набор правил Emerging Threats) на специальном стенде, чтобы увеличить точность срабатывания, улучшить производительность и исключить ошибки, и бесплатно добавляем протестированные сигнатуры к базе решающих правил собственной разработки.
Правила AM Rules позволяют обнаруживать события в трафике:
- вредоносное и нежелательное ПО;
- попытки эксплуатации уязвимостей и компьютерные атаки;
- аномальный и могущий указывать на нежелательные события трафик.
Мы разрабатываем правила, которые детектируют проведение атак на всех их этапах, в том числе подтверждение вредоносной активности на скомпрометированном узле и сопутствующие события.
По вопросам тестирования баз решающих правил AM Rules или уточнения стоимости просьба обращаться на request@amonitoring.ru.