В российской системе информационной безопасности должна быть сформирована внутренняя база знаний об уже известных киберугрозах – она должна оперативно использоваться всеми участниками отрасли в процессах поиска и реагирования на угрозы. Такого мнения придерживаются эксперты Центра киберустойчивости Angara SOC (Angara Security). В эти дни в Международном союзе электросвязи обсуждается вопрос о том, чтобы сделать STIX 2.1 и TAXII 2.1 международным стандартом для обмена информацией о киберугрозах в сетях связи. Для России это – лишь часть сложного процесса по накоплению действенной аналитики, информации о злоумышленниках и их злонамеренных активностях и формированию пула корректных решений для отражения киберугроз, считают специалисты Angara Security.
«Формат обмена индикаторами компрометации безусловно является важным предметом для обсуждения, особенно учитывая тот факт, что общепринятых, утвержденных на уровне индустрии форматов, по-прежнему нет и с этой задачей сообществу еще только предстоит справиться. Многие игроки рынка действительно используют STIX, в том числе и мы в Angara SOC, но параллельно с этим существует значительное количество других форматов (собственной или предложенной из вне разработки)», - подчеркивает Тимур Зиннятуллин, директор Центра киберустойчивости Angara SOC.
При этом эта задача является лишь частью большого и сложного процесса по поиску и накоплению практических знаний (т.е. действенной аналитики) и информации о злоумышленниках и их злонамеренных активностях, позволяющих защитникам и их организациям снизить возможный ущерб благодаря более корректному принятию решений (далее – Threat Intelligence – TI). И если составная часть этого сложного процесса станет формализованной и стандартизированной, это безусловно сыграет на руку стороне защиты.
«Но при этом важно не забывать, что любой компании, в которой сформировалось подразделение, отвечающее за ИБ, необходимо задуматься в первую очередь не о получении и обработке TI, хотя это тоже очень важно, но о генерации собственного, внутреннего TI. Результаты реагирования на любой инцидент, начиная от пометок в блокнотах и различных отчётов, заканчивая индикаторами компрометации любого уровня Пирамиды боли, которые удалось выявить, в той или иной степени, должны превращаться в TI и передаваться соответствующим специалистам», - продолжает эксперт.
Таким образом необходимо обеспечить формирование внутренней базы знаний об уже известных угрозах, которая должна незамедлительно использоваться в процессах поиска и реагирования на угрозы. «Любые security operations и любой incident response должны порождать TI, а TI должен порождать новые security operations и incident response. Укладываясь тем самым в общие концепции PDCA/PDAR, превалирующие в информационной безопасности», - заключает Тимур Зиннятуллин. Эксперт подчеркивает, что в единый, формализованный формат обмена данными ускорит и упростит распространение знаний и аналитики не только внутри одной компании или сферы, но и внутри сектора экономики, страны, объединения стран.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
СберФакторинг, дочерняя компания Сбера, внедрила Kaspersky Container Security для повышения уровня защиты контейнерных приложений на всех этапах их жизненного цикла — от разработки до эксплуатации.
«Базальт СПО», мировой производитель системного и инфраструктурного ПО на базе собственной платформы разработки провeдeт четвертую партнерскую конференцию AltConf: Orange Season.
В мартовском накопительном обновлении KB5079473 для Windows 11 компания Microsoft добавила в интерфейс панели задач новую функцию - быструю проверку скорости интернета.
Разработчик альтернативного клиента Telegram - АО «Телега» - привлек 200 млн руб.
