Експерти компанії SOC Prime одними з перших у світі почали розвивати Sigma-правила для ідентифікації загроз та побудови ефективного кіберзахисту клієнтів, а також першими придумали поєднати Sigma із фреймворком MITRE ATT&CK. IBM Security Ukraine використовує контент з платформи SOC Prime для покращення рівня кібербезпеки своїх клієнтів.

У блозі CEO SOC Prime Андрій Безверхий та керівник напрямку IBM Security Андрій Кузьменко розповіли, на чому ґрунтується їхнє партнерство, як співпраця дозволяє розбудовувати колективний кіберзахист і в який спосіб компанії допомагають українським кіберзахисникам боротися проти російських атак.

Як алгоритми від SOC Prime посилюють SIEM-платформу від IBM

На українському ринку кібербезпеки працюють компанії, які розробляють програмні рішення для протидії кіберзагрозам, а також системні інтегратори, які забезпечують постачання та впровадження цих технологій безпеки. SOC Prime підтримує власну SaaS-платформу для колективного кіберзахисту, що допомагає різним фахівцям з кібербезпеки, як-то експертам з Detection Engineering та Threat Hunting, CTI та SOC аналітикам проактивно захищатися від критичних загроз, мінімізувати потенційні сліпі зони для виявлення атак, автоматизувати рутинні задачі та значно покращувати продуктивність команди. Важлива складова платформи SOC Prime, Threat Detection Marketplace — найбільший у світі маркетплейс з контенту для ідентифікації загроз, а розробка такого контенту визначає один з ключових напрямків діяльності компанії з побудови ефективного кіберзахисту клієнтів. 

«Ми з 2017 року створюємо Sigma-бекенди для різних SIEM і розробляємо правила детектування загроз. Починали з чотирьох платформ, зокрема QRadar від компанії IBM. Ми закомітили на GitHub бекенд, який дозволяв перекладати Sigma-алгоритми на AQL, нативну мову QRadar», — розповідає Андрій Безверхий, CEO SOC Prime.

Він підкреслює, що IBM має значну частку на кіберринку як України, так і світу. Орієнтовно 15% клієнтів SOC Prime використовують виключно QRadar Suite, ще 10% — QRadar разом із дотичними технологіями. 

Водночас в IBM впевнені, що впровадження навіть найкращих програмних рішень не є панацеєю та 100-відсотковою гарантією захисту. Поряд з якісною SIEM-системою не менш важливим компонентом кібербезпеки є контент для виявлення та реагування на інциденти безпеки. 

«У цьому наші цінності із SOC Prime збігаються, тож ми почали співпрацювати. Ми є одним з найбільших SIEM-постачальників в Україні, серед наших клієнтів — як бізнес, так і державний сектор. Всі вони, а також наші локальні бізнес-партнери інтегратори, отримали доступ до аналітичного контенту від SOC Prime й у такий спосіб підвищили рівень захищеності своєї інфраструктури», — пояснює керівник напрямку IBM Security Андрій Кузьменко.

За його словами, клієнти IBM отримують не тільки індикатори компрометації, як-от IP-адреси, хеші файлів і посилання, а й більш просунуті правила. Вони дозволяють виявляти атаки на рівні поведінкового аналізу та ефективніше на них реагувати.

QRadar, MITRE ATT&CK та Roota — як ці технології працюють разом

QRadar Suite вже більш ніж 10 років утримує провідне місце на ринку SIEM-систем. Щоб захищати клієнтів від кіберзагроз, в IBM збирають велику кількість телеметрії з найважливіших елементів інфраструктури, аналізують мережевий трафік і намагаються виявляти аномалії та зловмисну активність.

Восени 2023 року IBM додала нативну підтримку мови Sigma в QRadar Suite. Завдяки цьому, інтегрувати в QRadar нові правила для виявлення загроз можна за 5-10 хвилин. Увесь контент, який надає SOC Prime, замаплений на фреймворк MITRE ATT&CK.

MITRE ATT&CK — це класифікація технік і засобів кіберзловмисників, величезна бібліотека знань про вже відомі загрози. Щоразу, коли відбувається кіберінцидент, експерти заносять до MITRE ATT&CK усі наявні відомості та контекст: яке угрупування стоїть за атакою, яке програмне забезпечення використовували, якими були точки входу та результати.

«Навіть якщо наступного разу кіберзлочинці змінять інструменти, атрибуція в MITRE ATT&CK дозволить впізнати їх за «почерком» — патерном поведінки, певною послідовністю дій, яка їм притаманна. Це дає можливість краще готуватися до наступних атак», — зазначає СЕО SOC Prime. 

За його словами, це також спрощує прийняття рішень щодо кібербезпеки для клієнтів. Організації не завжди готові впроваджувати дорожчі SIEM-системи, які аналізують максимальну кількість телеметрії, адже не бачать у цьому доцільності. База знань MITRE ATT&CK допомагає зрозуміти, які дані справді варто збирати, аби розпізнати ту чи іншу зловмисну активність на ранньому етапі.

Крім цього, у листопаді 2023 року у SOC Prime анонсували мову Roota — універсальну опенсорсну мову для колективного кіберзахисту, яка дозволяє миттєво перекладати алгоритми детектування загроз у будь-яку нативну мову комплексних систем виявлення загроз. 

«Уявімо, що фахівець із кібербезпеки, який працює з QRadar Suite і мовою AQL, отримує алгоритм детектування певної загрози, складений іншою нативною мовою. На те, щоб розібратися в ньому та перекласти, раніше потребувалося чимало зусиль. Проте Roota максимально автоматизує цей процес і робить можливою співпрацю різних спеціалістів із кіберзахисту», — пояснює Андрій Безверхий.

Що потрібно для колективного кіберзахисту в умовах кібервійни

Згідно з американською військовою доктриною, кіберпростір — такий самий вимір війни, як і земля, вода та повітря. Андрій Безверхий пригадує доповіді Держспецзв’язку та CERT-UA, які свідчать про пряму кореляцію між фізичним та кіберпростором. Наприклад, якщо кібератака російських угруповань на енергетичний сектор України виявляється невдалою, за нею слідує ракетний обстріл.

SOC Prime співпрацює з CERT-UA і низкою CERT по всій Європі, пропонуючи алгоритми для детектування кіберзагроз. Окремий підрозділ, який взаємодіє з державою, є і в дослідницькій команді IBM.

Щоб розбудовувати ефективний колективний кіберзахист, в IBM фокусуються на покращенні обміну даними про загрози й на активному навчанні спільноти та молодих фахівців.. Для цього, зокрема, вважають за доцільне використовувати контент від SOC Prime у зв’язці з QRadar Suite.

«Також у нас є програма академічної ініціативи, у межах якої студенти вишів можуть отримати доступ до наших технічних рішень — наприклад, для виконання лабораторних робіт. У 2024 році ми плануємо долучити до програми й колег із SOC Prime, щоб студенти навчалися сучасних технологій кібербезпеки й уміли працювати не тільки з інструментами, а й з контентом», — ділиться керівник напрямку IBM Security.

З ним погоджується Андрій Безверхий: за його словами, взаємодія всіх учасників ринку кібербезпеки на всіх рівнях дозволить отримати кумулятивний ефект. Адже що більше фахівців можуть створювати контент і ділитися ним одне з одним, то міцніший загальний колективний кіберзахист. Це стає дедалі актуальнішим зараз, коли український бізнес та держава перебувають під загрозою російських кібератак.

Як підготуватися до кібервикликів 2024 року

На думку Андрія Кузьменка, варто очікувати, що у майбутньому кількість кібератак в Україні та світі лише зростатиме. Зокрема, український приватний та державний сектор активно переходить у хмару, що здебільшого не сприяє зменшенню кількості вразливостей. Державні організації мають навіть більше ризиків, адже протягом останніх років Україна стрімко розвивається як цифрова держава, що привертає увагу хакерів і кіберзлочинців.

«Ще одна причина для зростання кіберзлочинності — у тому, що інструменти для атак стають дедалі доступнішими. Наприклад, за допомогою засобів штучного інтелекту навіть новачки здатні завдати шкоди, хоча й не критичної. Але й для професійних угруповань, які спонсорують держави, робота спрощується, тож слід готуватися протистояти цим загрозам», — наголошує керівник напрямку IBM Security.

Він зазначає, що серед актуальних трендів у галузі кібербезпеки — уніфікація і спрощення роботи. Наразі на ринку вже не вистачає кіберспеціалістів, і ця тенденція поглиблюється, тож організації йдуть до того, щоб один фахівець при менших ресурсах міг закривати максимальну кількість завдань. Для цього потрібні сучасні програмні засоби, які зможуть автоматизувати частину роботи — наприклад, давати підказки, як локалізувати ту чи іншу загрозу, як відновити інфраструктуру після атаки. 

В IBM при створенні нових продуктів фокусуються саме на цих функціях: щоб технології були доступними та простими, але при цьому високоефективними. Як зазначає Андрій Кузьменко, місія компанії — зробити так, аби рішення для кібербезпеки могла собі дозволити будь-яка організація, навіть маленька компанія на 10 працівників.

«Водночас ми попереджаємо клієнтів, що недостатньо лише впроваджувати сучасні технології. За допомогою наших інструментів можна виявити більшість з тих атак, про які розповідає CERT-UA та інші, але насамперед кібербезпека залежить від фаховості працівників компанії. Важливо регулярно стежити за загрозами та контентом, зокрема поведінковими патернами зловмисників, проактивно шукати ті чи інші проблеми в інфраструктурі, інвентаризувати ІТ-активи, вчасно оновлювати софт», — розповідає експерт.

Андрій Безверхий додає, що одна із потенційних загроз 2024 року — збільшення частки автономних кібератак, які керуються штучним інтелектом. Вони небезпечні тим, що «розумна» технологія здатна ухвалювати рішення «на льоту», тож їй складніше протистояти. З іншого боку, інструменти захисту теж стрімко еволюціонують та «озброюються» штучним інтелектом, створюючи паритет у можливостях кіберзловмисників і кіберзахисників. 

«Співпраця кіберзахисників — єдиний шлях порушити цей паритет на свою користь і протистояти кіберзлочинцям, особливо кібертерористичним угрупованням, які діють за підтримки держави-ворога. Якщо всі працюватимемо заради спільної мети, отримаємо перевагу», — переконаний СЕО SOC Prime.