EA038063B1 - Intelligent control system for cyberthreats - Google Patents
Intelligent control system for cyberthreats Download PDFInfo
- Publication number
- EA038063B1 EA038063B1 EA201991278A EA201991278A EA038063B1 EA 038063 B1 EA038063 B1 EA 038063B1 EA 201991278 A EA201991278 A EA 201991278A EA 201991278 A EA201991278 A EA 201991278A EA 038063 B1 EA038063 B1 EA 038063B1
- Authority
- EA
- Eurasian Patent Office
- Prior art keywords
- information
- data
- module
- cyberthreats
- entities
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/22—Arrangements for sorting or merging computer data on continuous record carriers, e.g. tape, drum, disc
- G06F7/24—Sorting, i.e. extracting data from one or more carriers, rearranging the data in numerical or other ordered sequence, and rerecording the sorted data on the original carrier or on a different carrier or set of carriers sorting methods in general
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
Description
Область техникиTechnology area
Настоящее изобретение в общем относится к области информационной защиты, а в частности к системе интеллектуального управления киберугрозами.The present invention generally relates to the field of information security, and in particular to an intelligent cyber threat management system.
Уровень техникиState of the art
В настоящее время с учетом массового применения ИТ (информационные технологии) в различных промышленных и экономических сферах, развитие систем и подходов в области кибербезопасности является одним из приоритетных направлений и требует постоянного усовершенствования с учетом постоянного появления новых типов киберугроз. В связи с этим важным аспектом создаваемых решений является актуализация информации о существующих типах киберугроз, а также сведений об их устранении и поддержание актуальной степени киберзащиты внутренней инфраструктуры.Currently, given the massive use of IT (information technology) in various industrial and economic spheres, the development of systems and approaches in the field of cybersecurity is one of the priority areas and requires constant improvement, taking into account the constant emergence of new types of cyber threats. In this regard, an important aspect of the solutions being created is the updating of information about the existing types of cyber threats, as well as information about their elimination and maintaining the current level of cyber defense of the internal infrastructure.
В сфере банковского обслуживания проблема кибербезопасности играет ключевую роль, поскольку внутренняя информационная инфраструктура осуществляет обработку огромного количества структурированных и неструктурированных данных, что требует в свою очередь огромных ресурсов для своевременного выявления потенциально вредоносных объектов, которые могут привести к риску наступления киберугрозы. В качестве аналога заявленного изобретения можно рассмотреть способ выявления киберугроз на основании анализа пользовательских действий, раскрытый в заявке US 20170134415 А1 (патентообладатель: Splunk Inc, дата публикации: 11.05.2017). Известный способ использует алгоритмы машинного обучения для обновления моделей выявления отклонений от поведения сетевой активности пользователя, что может являться индикатором компрометации и свидетельствовать о попытке несанкционированного доступа к информационным ресурсам, порождая тем самым риск наступления угрозы кибербезопасности.In the banking sector, the problem of cybersecurity plays a key role, since the internal information infrastructure processes a huge amount of structured and unstructured data, which in turn requires huge resources to timely identify potentially malicious objects that can lead to the risk of a cyber threat. As an analogue of the claimed invention, we can consider a method for detecting cyber threats based on the analysis of user actions, disclosed in the application US 20170134415 A1 (patentee: Splunk Inc, publication date: 05/11/2017). The known method uses machine learning algorithms to update models for detecting deviations from the behavior of the user's network activity, which can be an indicator of compromise and indicate an attempt to unauthorized access to information resources, thereby generating the risk of a cybersecurity threat.
Недостатком известного подхода является отсутствие механизма постоянного обновления и обогащения данных о различных типах киберугроз с помощью мониторинга, выявления данных во внешних источниках информации и их последующую связь на основании данных об индикаторах компрометации для формирования информационных сущностей, содержащих актуальный срез информации о соответствующем типе киберугроз и средствах по их выявлению и устранению.The disadvantage of the known approach is the lack of a mechanism for constant updating and enrichment of data on various types of cyber threats using monitoring, identifying data in external sources of information and their subsequent connection based on data on indicators of compromise to form information entities containing an up-to-date section of information about the corresponding type of cyber threats and means. to identify and eliminate them.
Раскрытие изобретенияDisclosure of invention
Решаемой технической проблемой или технической задачей является создание новой системы, обеспечивающей интеллектуальное управление киберугрозами, которая обеспечивает комплексный подход в области организации и управления кибербезопасностью инфраструктуры.The technical problem or technical challenge to be solved is the creation of a new system that provides intelligent cyber threat management, which provides an integrated approach to the organization and management of cybersecurity infrastructure.
Основным техническим результатом, который достигается при решении вышеуказанной технический проблемы, является повышение информационной безопасности за счет осуществления автоматизированной обработки данных о поступающих киберугрозах, обеспечивающей постоянную актуализацию данных о типах киберугроз и индикаторов компрометации, соответствующих им.The main technical result, which is achieved when solving the above technical problem, is to increase information security through the implementation of automated processing of data on incoming cyber threats, which ensures constant updating of data on the types of cyber threats and indicators of compromise corresponding to them.
Дополнительным эффектом от реализации заявленного изобретения является увеличение скорости выявления индикаторов компрометации киберугроз за счет автоматизированного обогащения данных и построения сущностей, связывающих информацию о типах киберугроз и соответствующих им индикаторах компрометации в единое информационное пространство.An additional effect from the implementation of the claimed invention is to increase the speed of identifying indicators of compromise of cyber threats due to automated data enrichment and the construction of entities that link information about the types of cyber threats and the corresponding indicators of compromise into a single information space.
Заявленное изобретение представляет собой систему интеллектуального управления киберугрозами, которая содержит:The claimed invention is a system for intelligent management of cyber threats, which contains:
по меньшей мере один процессор, обеспечивающий обработку информационных потоков между модулями системы;at least one processor that processes information flows between system modules;
по меньшей мере одно средство хранения данных, содержащее машиночитаемые инструкции, исполняемые процессором;at least one data storage medium containing machine-readable instructions executed by the processor;
модуль получения данных, обеспечивающий сбор информации из внешних и внутренних источников данных, содержащих информацию о киберугрозах;a data acquisition module that collects information from external and internal data sources containing information about cyber threats;
фильтрацию полученных данных и преобразование полученной информации в единый формат представления;filtering the received data and converting the received information into a single presentation format;
модуль обогащения данных, обеспечивающий дополнение данных об индикаторах компрометации киберугроз из внешних источников данных;a data enrichment module that supplements data on indicators of cyber threat compromise from external data sources;
выполнение поиска и сбора информации о вредоносном коде, связанном с известными киберугрозами;performing searches and collecting information about malicious code associated with known cyber threats;
обновление информации о кибербезопасности, включающей, по меньшей мере, следующие сведения:cybersecurity information update, including at least the following information:
об уязвимости используемого программного обеспечения, о наличии вредоносного кода, связанного по меньшей мере с одной уязвимостью, и информацию об обновлении по меньшей мере одного программного обеспечения, обеспечивающего защиту по меньшей мере от одного типа уязвимости;about the vulnerability of the software used, about the presence of malicious code associated with at least one vulnerability, and information about the update of at least one software that protects against at least one type of vulnerability;
выявление учетных записей пользователей, которые были задействованы при взаимодействии с ресурсами, связанными с индикаторами компрометации, информация по которым хранится в базе данных;identification of user accounts that were involved in interacting with resources associated with indicators of compromise, information on which is stored in the database;
база данных, обеспечивающая хранение актуальной информации о киберугрозах, передаваемая от модулей получения данных и модуля обогащения данных;a database that provides storage of up-to-date information about cyber threats, transmitted from the data acquisition modules and the data enrichment module;
модуль интеграции, обеспечивающий передачу в унифицированном формате данных о киберугрозах внутренним источникам;an integration module that ensures the transmission of cyber threat data to internal sources in a unified format;
- 1 038063 модуль аналитики, обеспечивающий выполнение анализа уязвимостей ИТ-инфраструктуры в подключенных к модулю интеграции системах;- 1 038063 analytics module providing analysis of IT infrastructure vulnerabilities in systems connected to the integration module;
выявление и отображение неявных связей между информационными сущностями, относящимися по меньшей мере к одному типу киберугрозы, с помощью анализа цепочек связей между упомянутыми сущностями и поиска общих узлов упомянутых сущностей.identifying and displaying implicit relationships between information entities related to at least one type of cyber threat by analyzing chains of relationships between said entities and searching for common nodes of said entities.
В одном из частных примеров реализации модуль получения данных дополнительно осуществляет дедупликацию данных, получаемых из внешних источников.In one of the particular examples of implementation, the data acquisition module additionally deduplicates data received from external sources.
В другом частном примере реализации внешние источники передают данные в структурированном и неструктурированном виде.In another particular implementation example, external sources transmit data in a structured and unstructured form.
В другом частном примере реализации данные получаются из вычислительной сети Интернет.In another particular example of implementation, the data is received from the Internet.
В другом частном примере реализации система дополнительно содержит модуль администрирования, обеспечивающий контроль прав доступа пользователей и журналирование процесса работы системы.In another particular example of implementation, the system additionally contains an administration module that provides control of user access rights and logging of the system operation process.
В другом частном примере реализации запрос данных из внешних источников осуществляется автоматически по расписанию или на основании внешнего запроса пользователя.In another particular example of implementation, the request for data from external sources is carried out automatically according to a schedule or based on an external user request.
В другом частном примере реализации индикатор компрометации киберугроз выбирается из группы: IP-адрес, доменное имя, контрольная сумма, идентификатор ресурса или их сочетания.In another particular example of implementation, the indicator of compromise of cyber threats is selected from the group: IP address, domain name, checksum, resource identifier, or their combination.
В другом частном примере реализации модуль аналитики дополнительно осуществляет приоритезацию информации по киберугрозам.In another particular example of implementation, the analytics module additionally prioritizes information on cyber threats.
В другом частном примере реализации приоритезация выполняется на основании ключевых слов или скоринга идентификатора угроз (CVE).In another particular implementation, prioritization is performed based on keywords or Threat Identifier (CVE) scoring.
Краткое описание чертежейBrief Description of Drawings
Признаки и преимущества настоящего изобретения станут очевидными из приводимого ниже подробного описания изобретения и прилагаемых чертежей.Features and advantages of the present invention will become apparent from the following detailed description of the invention and the accompanying drawings.
На фиг. 1 представлен общий вид заявленной системы.FIG. 1 shows a general view of the claimed system.
На фиг. 2 представлен общий вид вычислительного устройства.FIG. 2 shows a general view of the computing device.
Осуществление изобретенияImplementation of the invention
Ниже будут описаны понятия и термины, необходимые для понимания данного изобретения.The following will describe the concepts and terms necessary to understand the present invention.
В данном изобретении под системой подразумевается в том числе компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций).In this invention, the system means, among other things, a computer system, a computer (electronic computer), a CNC (numerical control), a PLC (programmable logic controller), computerized control systems and any other devices capable of performing a given, well-defined sequence of operations. (actions, instructions).
Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).A command processing device means an electronic unit or an integrated circuit (microprocessor) that executes machine instructions (programs).
Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройств хранения данных. В роли устройства хранения данных могут выступать, но не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.A command processor reads and executes machine instructions (programs) from one or more storage devices. The role of data storage devices can be, but are not limited to, hard disks (HDD), flash memory, ROM (read only memory), solid state drives (SSD), optical drives.
Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.A program is a sequence of instructions intended for execution by a computer control device or a command processing device.
Киберугрозы - потенциально возможные события, действие (воздействие) которых может нарушить бизнес-процесс или состояние защищенности внутренней информационной инфраструктуры.Cyberthreats are potential events, the action (impact) of which can disrupt the business process or the state of security of the internal information infrastructure.
Аналитика киберугроз - регулярный и системный сбор, обогащение и обработка информации о киберугрозах в целях ее применения для защиты информационной безопасности.Cyber Threat Analytics is a regular and systematic collection, enrichment and processing of information about cyber threats in order to use it to protect information security.
Система аналитики киберугроз - система, предназначенная для частичной автоматизации процесса аналитики киберугроз.Cyber Threat Analytics System is a system designed to partially automate the cyber threat analytics process.
Внешние источники данных о киберугрозах - ресурсы и сервисы, предоставляющие данные об уязвимостях и угрозах, такие как поставщики фидов (kaspersky security intelligence, IBM X-Force, Group-IB и т.п.), новостные сервисы, аналитические отчеты, посты в социальных сетях, информационные рассылки.External sources of data on cyber threats - resources and services that provide data on vulnerabilities and threats, such as feed providers (kaspersky security intelligence, IBM X-Force, Group-IB, etc.), news services, analytical reports, posts on social networks, newsletters.
Внутренние источники данных - ресурсы и сервисы, предоставляющие данные от внутренних систем инфраструктуры, в частности от систем кибербезопасности, ИТ-систем.Internal data sources are resources and services that provide data from internal infrastructure systems, in particular from cybersecurity systems, IT systems.
Фид - коллекция индикаторов компрометации. В контексте текущего документа фид представляет собой поток данных о киберугрозах.Feed is a collection of indicators of compromise. In the context of the current document, a feed is a cyberthreat data stream.
Идентификатор компрометации/Маркер компрометации (англ. Indicator of Compromise, далее - ИК) перечень данных об угрозах, который дает возможность выявить наличие угрозы в инфраструктуре. В качестве ИК могут выступать список подозрительных или вредоносных IP-адресов, электронных почтовых адресов, доменных имен, идентификаторов сетевых ресурсов, контрольных сумм, имен объектов реестра (куст реестра, ключ и его значение) или файловой системы (путь до объекта, наименование объекта), образцы вредоносного поведения и др.Compromise identifier / Compromise marker (English Indicator of Compromise, hereinafter referred to as IC) is a list of threat data, which makes it possible to identify the presence of a threat in the infrastructure. A list of suspicious or malicious IP addresses, email addresses, domain names, identifiers of network resources, checksums, names of registry objects (registry hive, key and its value) or file system (path to an object, name of an object) can be used as ICs. , samples of malicious behavior, etc.
Эксплоит - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему.An exploit is a computer program, a piece of software code or a sequence of commands that exploits vulnerabilities in software and is used to attack a computer system.
CVE (англ. Common Vulnerabilities and Exposures) - база данных общеизвестных уязвимостей ин- 2 038063 формационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVEгод-номер.CVE (Common Vulnerabilities and Exposures) is a database of well-known information security vulnerabilities. Each vulnerability is assigned an identification number of the form CVEyear-number.
Как показано на фиг. 1, заявленное изобретение представляет собой распределенную вычислительную систему (100), обеспечивающую автоматизированную комплексную обработку информации о киберугрозах. Система (100) содержит систему интеллектуальной обработки киберугроз (130), которая обеспечивает взаимодействие между внутренней инфраструктурой и внешними источниками (110) в сети Интернет.As shown in FIG. 1, the claimed invention is a distributed computing system (100) that provides automated complex processing of information about cyber threats. System (100) contains a system for intelligent processing of cyber threats (130), which provides interaction between internal infrastructure and external sources (110) on the Internet.
Система интеллектуальной обработки киберугроз (130) может выполняться на базе сервера или иного вида компьютерного устройства и содержит такие основные компоненты как процессор (131), средство хранения данных (132), модуль получения данных (133), модуль обогащения данных (134), модуль интеграции (135), модуль аналитики (136), модуль администрирования (137). Компоненты системы (130), как правило, соединяются посредством информационной шины, но также для специалиста должно быть очевидно, что принцип соединения компонентов может быть и иного типа, обеспечивая требуемую программно-аппаратную функциональность.The system for intelligent processing of cyber threats (130) can be performed on the basis of a server or other type of computer device and contains such main components as a processor (131), a data storage medium (132), a data acquisition module (133), a data enrichment module (134), a module integration (135), analytics module (136), administration module (137). The components of the system (130), as a rule, are connected via a data bus, but it should also be obvious to a specialist that the principle of connecting the components can be of a different type, providing the required software and hardware functionality.
Процессор (131) осуществляет требуемую обработку информационных потоков между модулями системы (130) на основании машиночитаемых инструкций, хранимых в средстве (132). Под средством хранения данных (132) понимается одно или несколько запоминающих устройств, например ОЗУ, ПЗУ или их сочетания. Машиночитаемые команды, как правило, хранятся в ОЗУ при их непосредственном исполнении процессором (131). Дополнительные программные команды могут содержаться в ПЗУ и использоваться при выполнении соответствующей вычислительной операции. Система интеллектуальной обработки киберугроз (130) обеспечивает сбор и обработку данных, которые получаются из источников данных о киберугрозах. В качестве таких источников используются внешние источники данных (110) и внутренние источники (150). Внешние источники данных о киберугрозах (110) размещаются на различных ресурсах в сети Интернет и передаются по сети передачи данных (120) в модуль получения данных (133).The processor (131) performs the required processing of information flows between the modules of the system (130) based on the machine-readable instructions stored in the means (132). By means of data storage (132) is meant one or more storage devices, such as RAM, ROM, or a combination thereof. Machine-readable instructions are usually stored in RAM when they are directly executed by a processor (131). Additional program instructions can be contained in ROM and used when performing the corresponding computational operation. The intelligent cyber threat processing system (130) collects and processes data that is obtained from cyber threat data sources. External data sources (110) and internal sources (150) are used as such sources. External sources of data on cyber threats (110) are located on various resources on the Internet and are transmitted via the data transmission network (120) to the data acquisition module (133).
Модуль получения данных (133) предназначен для сбора информации из внешних (110) и внутренних (150) источников данных. Модуль (133) также осуществляет фильтрацию данных, получаемых из внешних источников (110), и выполняет преобразование полученной информации в единый формат представления. Модуль (133) обеспечивает работу с разнородной информацией, получаемой из внешних источников данных (110), в частности структурированной и неструктурированной информацией. Данные о киберугрозах, могут представлять собой индикаторы компрометации (репутационные источники);The data acquisition module (133) is designed to collect information from external (110) and internal (150) data sources. Module (133) also filters data received from external sources (110) and converts the received information into a single presentation format. Module (133) provides work with heterogeneous information obtained from external data sources (110), in particular, structured and unstructured information. Cyber threat data can be indicators of compromise (reputational sources);
новостные источники;news sources;
тематические источники по уязвимостям;thematic sources on vulnerabilities;
эксплоиты;exploits;
источники обогащения (контекстные источники);sources of enrichment (contextual sources);
данные из сегмента теневого Интернета (англ. Darknet).data from the darknet segment.
Модуль (133) обеспечивает также автоматизацию обработки получаемых данных, их последующую интеграцию и их преобразование в единый формат для последующего формирования информационных сущностей, идентифицирующих заданный тип киберугрозы. Модуль (133) осуществляет также формализацию получаемых данных, дедупликацию получаемых данных, обеспечивает поддержку таких форматов, как JSON, STIX, XML, HTML и др.Module (133) also provides automation of the processing of the received data, their subsequent integration and their transformation into a single format for the subsequent formation of information entities that identify a given type of cyber threat. Module (133) also formalizes the received data, deduplicates the received data, provides support for formats such as JSON, STIX, XML, HTML, etc.
Фильтрация поступающей информации может осуществляться на основании даты размещения/публикации данных в сети Интернет, по ключевым словам, тегам и т.п. Дедупликация должна выполняться автоматически, путем формирования списков маркеров компрометации путем выделения их из контекста, полученного в процессе обработки данных фидов. Обработка неструктурированных данных с помощью модуля (133) может выполняться с помощью парсера. Модуль (133) позволяет осуществлять обработку данных в указанных форматах, получаемых не только из сети Интернет, но и поддерживает загрузку и последующую обработку в режиме Upload (Подгрузка), преобразуя данные в сущность CASE.Filtration of incoming information can be carried out based on the date of posting / publication of data on the Internet, by keywords, tags, etc. Deduplication should be performed automatically, by generating lists of compromise markers by extracting them from the context obtained during the processing of these feeds. Processing unstructured data with module (133) can be done with a parser. Module (133) allows processing data in the specified formats, obtained not only from the Internet, but also supports uploading and subsequent processing in the Upload mode, transforming the data into a CASE entity.
Алгоритм работы модуля получения данных (133) обеспечивает универсальный конструктор, который позволяет настроить алгоритмы сбора данных с различных внешних источников данных (110) через пользовательский интерфейс, в том числе задание расписания сбора данных;The algorithm of the data acquisition module (133) provides a universal designer that allows you to customize the algorithms for collecting data from various external data sources (110) through the user interface, including setting a data collection schedule;
создание правил обработки собираемых данных;creation of rules for the processing of collected data;
возможность настройки HTTP(S) авторизации.the ability to configure HTTP (S) authorization.
Поиск данных с помощью модуля обогащения (134) может включать в себя, например, сканирование страниц по списку определенных наборов URL, сканирование по тексту (может быть реализована поддержка многоязычных запросов и ответов). Сканирование может выполняться на основе ключевых слов или фраз, которые задаются пользователем, при этом создание ключевых фраз поддерживает использование логических операторов И, ИЛИ. Может быть также реализована возможность устанавливать произвольное значение процента наличия ключевых слов/фраз при сканировании. Сканирование может обеспечивать переход по ссылкам, указанным на странице, и сканирование страницы по ссылке.Searching for data using the enrichment module (134) may include, for example, scanning pages against a list of specific sets of URLs, scanning through text (multilingual requests and responses may be supported). Scanning can be performed based on keywords or phrases that are specified by the user, while the creation of key phrases supports the use of logical operators AND, OR. It can also be implemented the ability to set an arbitrary value for the percentage of the presence of keywords / phrases during scanning. Crawling can provide clicks on links specified on a page and crawls a page from a link.
- 3 038063- 3 038063
Запуск сканирования может осуществляться по расписанию или по запросу пользователя.Scanning can be started according to a schedule or at the user's request.
Результат поиска может представляться в виде списка найденных ссылок с превью текста (несколько строк до и после ключевого слова/фразы). Может быть также осуществлена полнотекстовая индексация собираемых данных для быстрого извлечения данных по задаваемым пользователем параметрам. При выдаче результата поиска может выполняться группировка связанных друг с другом страниц по конкретной теме (ключевому слову, фразе) и тегам. Сохраняемые страницы имеют атрибуты, проставляемые пользователем (например, новая, в работе, обработана-используется, обработана-не используется). Для извлечения конкретной информации с просканированных страниц реализована возможность экспорта результата в форматы XML, JSON и т.п. Поисковый механизм может обеспечивать обход потенциального спама (спам-фильтр).The search result can be presented as a list of found links with a preview of the text (several lines before and after the keyword / phrase). Full-text indexing of the collected data can also be performed to quickly retrieve data based on user-defined parameters. When displaying a search result, a grouping of related pages can be performed by a specific topic (keyword, phrase) and tags. Saved pages have user-supplied attributes (for example, new, in progress, processed-used, processed-not used). To extract specific information from scanned pages, it is possible to export the result to XML, JSON, etc. The search engine can bypass potential spam (spam filter).
Данные, полученные и обработанные с помощью модуля (133), подлежат дальнейшей обработке с помощью модуля обогащения данных (134). Модуль обогащения данных (134) осуществляет дополнение данных об ИК киберугроз, полученных из внешних источников данных (110). Основным функциональным назначением модуля (134) является обогащение имеющихся (ранее полученных/хранимых) данных о киберугрозах, которые хранятся в базе данных (140). Обогащение может выполняться как в автоматизированном режиме, так и по пользовательскому запросу. Обогащение происходит за счет множественных интеграций с внешними (110) и внутренними (150) источниками, а также за счет обнаружения связных компонентов в базе данных (140). Модуль (134) также осуществляет выполнение поиска и сбора информации о вредоносном коде, связанном с известными киберугрозами, осуществляет обновление информации о кибербезопасности, в частности информацию об уязвимости используемого программного обеспечения внутренней инфраструктуры, о наличии вредоносного кода, связанного по меньшей мере с одной уязвимостью и информацию об обновлении по меньшей мере одного программного обеспечения, обеспечивающего защиту по меньшей мереот одного типа уязвимости.The data received and processed using the module (133) are subject to further processing using the data enrichment module (134). The data enrichment module (134) complements the data on IC of cyber threats received from external data sources (110). The main functional purpose of the module (134) is to enrich the existing (previously received / stored) data on cyber threats, which are stored in the database (140). Enrichment can be performed both in an automated mode and on a user request. Enrichment occurs through multiple integrations with external (110) and internal (150) sources, as well as through the discovery of connected components in the database (140). Module (134) also performs search and collection of information about malicious code associated with known cyber threats, updates information about cybersecurity, in particular information about the vulnerability of the internal infrastructure software used, about the presence of malicious code associated with at least one vulnerability and information about the update of at least one software that provides protection against at least one type of vulnerability.
Модуль обогащения данных (134) осуществляет выявление учетных записей пользователей, которые были задействованы при взаимодействии с ресурсами, связанными с индикаторами компрометации, информация по которым хранится в базе данных. Основной информацией для обогащения сведений об ИК, как правило, является дополнительная контекстная информация. Данная информация получается при обработке соответствующего запроса, генерируемого модулем (134). Контекст по ИК запрашивается на специализированном внешнем ресурсе (110), на который с помощью модуля (134) отправляются на анализ образцы, а в ответе получаются подробные отчеты с поведенческими индикаторами и баллами серьезности угрозы.The data enrichment module (134) identifies user accounts that were involved in interacting with resources associated with indicators of compromise, information on which is stored in the database. The main information for enriching information about the IC, as a rule, is additional contextual information. This information is obtained by processing the corresponding request generated by the module (134). The IC context is requested on a specialized external resource (110), to which, using the module (134), samples are sent for analysis, and in response, detailed reports with behavioral indicators and threat severity scores are received.
В момент импорта новых данных из внешних источников (110) с помощью модуля обогащения (134) осуществляется сравнение поступающей информации с уже хранимой в базе данных (140). В случае обнаружения изменений каких-либо атрибутов киберугроз осуществляется автоматическая актуализация данных. На этапе импорта происходит поиск существующих контекстов в базе данных (140) на основании значений ключевых полей и ИК. Если контекст с необходимыми значениями в ключевых полях существует в базе данных (140), то он дополняется отсутствующими атрибутами, в противном случае создается новый контекст, который поступает на автоматическую процедуру выявления ИК. Индикаторы могут быть найдены как в базовых полях, которые предназначены для хранения именно ИК, так и в прочих атрибутах контекста. Также в системе имеется возможность указания правил для извлечения ИК (или неизвлечения/исключения/пропуска).At the time of importing new data from external sources (110), using the enrichment module (134), the incoming information is compared with that already stored in the database (140). If changes are detected in any attributes of cyber threats, the data is automatically updated. The import stage searches for existing contexts in the database (140) based on the values of the key fields and IC. If the context with the necessary values in the key fields exists in the database (140), then it is supplemented with the missing attributes, otherwise a new context is created, which is sent to the automatic procedure for identifying IC. Indicators can be found both in the basic fields, which are intended to store exactly the IC, and in other attributes of the context. Also, the system has the ability to specify rules for extracting IC (or non-extracting / excluding / omitting).
В качестве образцов могут выступать типы файлов или файлоподобные объекты, например процесс, выполняемый в памяти, представленный и анализируемый с помощью упомянутого ресурса. Входными данными для ресурса могут выступать, например, доменное имя, IP-адрес, URL, Hash и т.п. В ответ на обработку запроса с образцом в модуль (134) поступает информация, связанная с определенным ИК, например доменное имя, IP-адрес или URL-адрес. Ресурс принимает входные данные в виде, например, доменного имени, IP или URL и возвращает все образцы, связанные с доменом. Данные возвращаются в систему (130) в виде вложенных массивов JSON. Данная функциональность позволяет извлекать новые ИК при получении новых компонентов киберугроз, которые ранее не присутствовали в базе данных (140). Также модуль (134) осуществляет обогащение информации о киберугрозах на основании ИК из таких внешних источников (110) как Threat Grid, VirusTotal, Kaspersky Threat Lookup, Domain Tools и др. Обогащение информации о киберугрозах с помощью модуля (134) осуществляется также с помощью поиска и сбора эксплоитов для обогащения уязвимостей из неструктурированных внешних источников (110), например exploit-db.com/, Oday.today и др. Поиск и сбор обновлений безопасности из неструктурированных источников (110), может, например, браться из каталога центра обновления Microsoft, ресурсов *NIX, систем - RedHat, FreeBsd и др. Система (130) содержит также базу данных (140), которая представляет собой централизованный банк угроз кибербезопасности. База данных (140) предназначена для хранения в формализованном виде любых данных, которые были получены из структурированных и неструктурированных источников данных. База данных (140) также хранит аналитические результаты, полученные по итогам экспертных оценок и автоматической обработки полученной информации.Examples can be file types or file-like objects, such as a process running in memory, represented and analyzed using the resource. Input data for a resource can be, for example, a domain name, IP-address, URL, Hash, etc. In response to processing a request with a sample, the module (134) receives information associated with a specific IC, for example, a domain name, an IP address, or a URL. The resource accepts input in the form of, for example, a domain name, IP, or URL and returns all patterns associated with the domain. The data is returned to the system (130) as nested JSON arrays. This functionality makes it possible to extract new ICs upon receipt of new cyber threat components that were not previously present in the database (140). The module (134) also enriches information about cyber threats based on IC from such external sources (110) as Threat Grid, VirusTotal, Kaspersky Threat Lookup, Domain Tools, etc. Enrichment of information about cyber threats using the module (134) is also carried out using search and collecting exploits to enrich vulnerabilities from unstructured external sources (110), such as exploit-db.com/, Oday.today, etc. Searching for and collecting security updates from unstructured sources (110) can, for example, be taken from the Microsoft Update Catalog , resources * NIX, systems - RedHat, FreeBsd, etc. System (130) also contains a database (140), which is a centralized bank of cybersecurity threats. The database (140) is intended for storing in a formalized form any data that was obtained from structured and unstructured data sources. The database (140) also stores analytical results obtained from expert assessments and automatic processing of the information received.
База данных позволяет осуществлять ведение и учет следующих информационных сущностей:The database allows you to maintain and record the following information entities:
Case - сущность, предназначенная для фиксации/ведения/анализа/разбора поступившей информа- 4 038063 ции и данных о событиях кибербезопасности;Case - an entity designed to record / maintain / analyze / parse the received information and data on cybersecurity events;
Actor;Actor;
Campaign;Campaign;
Malware;Malware;
TTP;TTP;
News;News;
Vulnerability;Vulnerability;
ИК;IR;
Brand Monitoring - позволяет вести учет мошеннических ресурсов, платежных реквизитов с целью получения единой базы данных фишинговых/мошеннических кампаний;Brand Monitoring - allows you to keep track of fraudulent resources, payment details in order to obtain a single database of phishing / fraudulent campaigns;
Data Leakage.Data Leakage.
Система (130) обеспечивает функциональность по выполнению различных операций над сущностями, в частности создание, редактирование, удаление;System (130) provides functionality for performing various operations on entities, in particular, creating, editing, deleting;
связывание сущностей между собой, построение графов связей;linking entities with each other, building link graphs;
просмотр списка, фильтрация списка по различным полям сущности;viewing the list, filtering the list by various fields of the entity;
тегирование сущностей;entity tagging;
прикрепление файлов;attachment of files;
управление черновиками;management of drafts;
управление статусами и состояниями, например для новости применимо/неприменимо, новая/обработана;management of statuses and states, for example, for news applicable / not applicable, new / processed;
управление версиями:version control:
просмотр всех версий для каждой сущности с возможностью отображения всех изменений, которые были сделаны пользователем или автоматически;viewing all versions for each entity with the ability to display all changes that were made by the user or automatically;
возможность откатиться/вернуться к любой из сохраненных версий. В базе данных (140) также может храниться белый список для ИК, целью которого является предотвращение использования невалидных ИК во внутренней инфраструктуре. Могут также применяться и другие известные подходы для предотвращения использования невалидных ИК, например, анализ количества доменных имен на сетевом адресе (англ. reverse whois) и др. В таблице представлен пример хранения записей о киберугрозах.the ability to rollback / return to any of the saved versions. The database (140) can also store a whitelist for ICs, the purpose of which is to prevent the use of invalid ICs in the internal infrastructure. Other well-known approaches can also be applied to prevent the use of invalid ICs, for example, analysis of the number of domain names on a network address (reverse whois), etc. The table provides an example of storing records of cyber threats.
- 5 038063- 5 038063
Данные о киберугрозахCyber Threat Data
Модуль интеграции (135) обеспечивает передачу в унифицированном формате данных о киберугрозах во внутреннюю инфраструктуру, в частности внутренние источники данных (150). Модуль (135) обеспечивает взаимодействие с системами мониторинга событий информационной безопасности, в частности передает наборы ИК для дальнейшего поиска в списках событий информационной безопасности. Для систем данного типа предоставляется контекстная информация о найденных ИК. Модуль интеграции (135) также получает от средств защиты информации (далее - СЗИ) и/или запрашивает статус индикаторов компрометации на конкретном СЗИ, а также информацию добавлении ИК в исключительные группы/списки, и позволяет осуществлять поиск информации по заданным ИК в журналах событий информационной безопасности за выбранный промежуток времени.The integration module (135) provides the transfer of cyber threat data in a unified format to the internal infrastructure, in particular, internal data sources (150). Module (135) provides interaction with systems for monitoring information security events, in particular, transmits sets of ICs for further search in the lists of information security events. For systems of this type, contextual information about the found IC is provided. The integration module (135) also receives information security tools (hereinafter referred to as ISS) and / or requests the status of indicators of compromise on a specific ISS, as well as information on adding ICs to exclusive groups / lists, and allows you to search for information by specified ICs in the information event logs. security for the selected period of time.
Модуль аналитики (136) обеспечивает взаимодействие с обрабатываемыми данными киберугроз, в частности с помощью модуля (136) осуществляется анализ уязвимостей ИТ-инфраструктуры в подключенных к модулю интеграции (135) внутренних источниках данных (150), выявление и отображение неявных связей между информационными сущностями, относящимися к тому или иному типу киберугроз, с помощью анализа цепочек связей между сущностями и поиска их общих узлов. Модуль аналитики (136) позволяет выявлять взаимосвязи между накопленными ИК, в частности по данным, которые уже присутствуют в базе данных (140), происходит построение связей.The analytics module (136) provides interaction with the processed data of cyber threats, in particular, using the module (136), the analysis of IT infrastructure vulnerabilities in the internal data sources (150) connected to the integration module (135) is carried out, the identification and display of implicit relationships between information entities, related to a particular type of cyber threat, by analyzing chains of relationships between entities and finding their common nodes. The analytics module (136) makes it possible to identify the relationships between the accumulated IC, in particular, based on the data that are already present in the database (140), connections are built.
Сущности в системе могут быть связаны между собой как в ручном режиме, так и автоматически. На одну и ту же сущность может быть несколько ссылок/связей из разных мест системы, которые могут быть созданы в разные временные промежутки в рамках различных ситуаций/инцидентов/аналитических отчетов, при этом каждая связь имеет направление (от конкретной сущности к другой конкретной сущности). Таким образом на основании хранящейся в базе данных (140) информации можно визуализировать первый уровень связей для конкретной сущности (т.е. отобразить сущности, на которые ссылается выбранная сущность или сущности, которые ссылаются на выбранную сущность), далее с помощьюEntities in the system can be linked to each other either manually or automatically. The same entity can have several links / links from different places in the system, which can be created at different time intervals within different situations / incidents / analytical reports, with each link having a direction (from a specific entity to another specific entity) ... Thus, based on the information stored in the database (140), you can visualize the first level of relationships for a specific entity (i.e. display the entities referenced by the selected entity or entities that refer to the selected entity), then using
- 6 038063 функциональности модуля аналитики (136) можно для любой из визуализированных сущностей получить список связанных с ней сущностей и так далее, раскрывая любой из узлов до тех пор, пока в БД (140) существуют связанные сущности.- 6 038063 functionality of the analytics module (136), it is possible for any of the rendered entities to obtain a list of entities associated with it, and so on, expanding any of the nodes as long as there are related entities in the database (140).
После раскрытия N уровней связей система (130) может сделать вывод о том, что сущности могут быть связаны между собой не напрямую одной связью, а через другие сущности, находящиеся на расстоянии по меньшей мере одного ребра от каждой. Таким образом, два и более базовых узла после раскрытия связанных с ними сущностей на N уровней могут иметь общие узлы, и такая связь между базовыми узлами называется неявной. Поиск подобных неявных связей и раскрытия связей для каждой сущности выполняется автоматически с помощью модуля аналитики (136).After the disclosure of N levels of links, the system (130) can conclude that the entities can be linked to each other not directly by one link, but through other entities located at a distance of at least one edge from each. Thus, two or more base nodes, after the expansion of related entities to N levels, can have common nodes, and such a relationship between base nodes is called implicit. The search for such implicit relationships and the disclosure of relationships for each entity is performed automatically using the analytics module (136).
Модуль (136) также обеспечивает интерактивное взаимодействие между пользователем и системой (130) с целью проведения киберразведки. Взаимодействие может осуществляться с помощью графического интерфейса пользователя (GUI), реализуемого на соответствующем компьютерном устройстве. Модуль аналитики (136) обладает конструктором информационных панелей (дашборды) и обеспечивает следующую функциональность:The module (136) also provides an interactive interaction between the user and the system (130) for the purpose of conducting cyber intelligence. Interaction can be carried out using a graphical user interface (GUI) implemented on the appropriate computer device. The analytics module (136) has a dashboard designer (dashboards) and provides the following functionality:
создание пользовательских виджетов (Управление критериями отбора данных; Управление вариантами отображения данных);creation of custom widgets (Managing data selection criteria; Managing data display options);
настройка расположения виджетов;setting up the location of widgets;
настройка расписания обновления виджетов;setting up a schedule for updating widgets;
управление сортировкой;sorting management;
управление группировкой (в том числе поддерживается многоуровневая группировка, количество уровней ограничено количеством полей, которые существуют для конкретной сущности.grouping management (including multi-level grouping is supported, the number of levels is limited by the number of fields that exist for a specific entity.
Модуль (136) также содержит конструктор для работы с графом, в частности позволяет визуализировать объекты системы и связи между ними, позволяет найти неочевидные связи на разной глубине между исследуемыми объектами. Модуль аналитики (136) позволяет в автоматизированном режиме осуществлять анализ динамики запросов по тематике кибербезопасности (например, использование Google Trends). Модуль аналитики (136) обеспечивает также построение статистических срезов по заданному временному периоду, задаваемому по запросу пользователя, например неделя, месяц, год и т.п.Module (136) also contains a constructor for working with a graph, in particular, it allows you to visualize system objects and connections between them, allows you to find non-obvious connections at different depths between the objects under study. The analytics module (136) allows automated analysis of the dynamics of queries on cybersecurity topics (for example, using Google Trends). The analytics module (136) also provides the construction of statistical slices for a given time period, set at the user's request, for example, a week, month, year, etc.
Система (130) может содержать также модуль администрирования (137), который обеспечивает контроль прав доступа пользователей и журналирование процесса работы системы (130). Разграничение прав доступа может быть реализовано с помощью известных подходов, в частности, таких как учетные записи, аппаратные средства идентификации (смарт-карта, USB-токен и др.), электронная подпись и т.п. Каждому пользователю может быть присвоен доступ к соответствующей части системы (130) для работы с заданной функциональностью.The system (130) may also contain an administration module (137), which provides control of user access rights and logging of the system operation (130). Differentiation of access rights can be implemented using known approaches, in particular, such as accounts, hardware identification means (smart card, USB token, etc.), electronic signature, etc. Each user can be assigned access to the corresponding part of the system (130) to work with the specified functionality.
Далее рассмотрим на примере процесс работы системы (130) с данными при обогащении информации о киберугрозах с помощью анализа внешних источников (110), в частности новостных источников в сети Интернет.Next, let us consider, using an example, the process of operation of the system (130) with data when enriching information about cyber threats using the analysis of external sources (110), in particular news sources on the Internet.
Данные из внешних источников (110) собираются с помощью их опроса модулем получения данных (133), например, согласно заданному расписанию сбора информации. Далее поступившая информация от источников (110) преобразуется в единый формат представления и выполняется их дедуплекация, что в совокупности формирует входной поток данных для модуля аналитики (136).Data from external sources (110) are collected by polling them by the data acquisition module (133), for example, according to a given data collection schedule. Further, the information received from the sources (110) is converted into a single presentation format and deduplication is performed, which together forms the input data stream for the analytics module (136).
Модуль аналитики (136) на основании поступившего потока данных от модуля (133) осуществляет базовую приоритезацию полученных данных на основании заданных ключевых слов, что обеспечивает маркирование релевантной группы данных из большого потока поступающих данных, которые необходимо проанализировать в первую очередь. После анализа актуальности полученного потока задействуется функция ведения и учета сущностей. Первоначально формируется аналитический отчет в сущности CASE. Отчет содержит описательную часть полученного потока данных с возможностью задействовать иные сущности в рамках анализа, например добавить к CASE извлеченные ИК. После добавления ИК задействуются возможности модуля обогащения данных (134), который получает информацию от средств защиты информации инфраструктуры, например банка. В частности, такими параметрами могут выступать данные о статусе блокировок данного ИК во внутренней инфраструктуре. Модуль обогащения данных (134) выполняет также обращение к контекстным подпискам для получения возможных взаимосвязанных индикаторов. При этом сущность CASE линкуется (связывается) с новостью (и иными сущностями, в зависимости от содержимого новости), которая была обработана модулем аналитики (136) в системе (130) по сформированному потоку данных от внешних источников (110).The analytics module (136), based on the received data stream from the module (133), carries out a basic prioritization of the received data based on the specified keywords, which ensures the marking of a relevant group of data from a large flow of incoming data that needs to be analyzed first. After analyzing the relevance of the received stream, the function of maintaining and accounting for entities is activated. Initially, an analytical report is generated in the CASE entity. The report contains a descriptive part of the received data stream with the ability to use other entities within the analysis, for example, add extracted ICs to CASE. After adding the IC, the capabilities of the data enrichment module (134) are used, which receives information from the information protection means of the infrastructure, for example, a bank. In particular, such parameters can be data on the status of blocking of a given IC in the internal infrastructure. The data enrichment module (134) also accesses the contextual subscriptions to obtain possible related indicators. In this case, the CASE entity is linked (linked) with the news (and other entities, depending on the content of the news), which was processed by the analytics module (136) in the system (130) according to the generated data stream from external sources (110).
После того как сущность CASE из состояния Draft (проект) будет переведена в состояние Published (публикация), модуль интеграции (135) выполняет отправку внесенных ИК (в текущем контексте информация о киберугрозах, для определенных систем, представляется сущностью - индикатор компрометации) в систему мониторинга событий информационной безопасности. Модуль интеграции (135) также позволяет аналитику отправить запрос в систему мониторинга событий информационной безопасности с целью получения исторических сведений о наличии добавленных ИК в инфраструктуре за Nпериод. При получении данных о наличии ИК в инфраструктуре за прошедший N-период модуль обогащения данных (134) производит сбор информации об источнике. Например, определяется сетевая зонаAfter the CASE entity from the Draft state (project) is transferred to the Published state (publication), the integration module (135) sends the introduced ICs (in the current context, information about cyber threats, for certain systems, is represented by an entity - an indicator of compromise) to the monitoring system information security events. The integration module (135) also allows the analyst to send a request to the information security event monitoring system in order to obtain historical information about the presence of added ICs in the infrastructure for N period. Upon receiving data on the presence of IC in the infrastructure for the past N-period, the data enrichment module (134) collects information about the source. For example, the network zone is defined
- 7 038063 источника инцидента, принадлежность к учетной записи пользователя, а также полная информация о пользователе из иных систем ведения учета пользователей.- 7 038063 sources of the incident, belonging to the user account, as well as complete information about the user from other systems for keeping records of users.
По результатам публикации сущности CASE, если требуется блокировка ИК либо заведение какойлибо иной заявки в системе учета заявок (тикетинг), модуль интеграции (135) заполняет определенный набор полей заявки данными из сущности CASE и осуществляет ее регистрацию в системе учета заявок (тикетинг). Далее рассмотрим процесс обработки информации, связанной с уязвимостями. При работе с данным типом информации модуль получения данных (133), согласно заданному расписанию, осуществляет сбор данных из внешних источников (110), выполняет их преобразование в единый формат представления и осуществляет дедупликацию данных, что в совокупности формирует входной поток данных для модуля аналитики (136), при этом учитываются возможные агрегирования схожих потоков данных. Дедупликация данных выполняется, если информация собирается из разных источников, при отсутствии единого эталонного источника данных.Based on the results of the publication of the CASE entity, if it is required to block IC or to enter any other order in the order accounting system (ticketing), the integration module (135) fills a certain set of order fields with data from the CASE entity and registers it in the order accounting system (ticketing). Next, we will consider the process of processing information related to vulnerabilities. When working with this type of information, the data acquisition module (133), according to a given schedule, collects data from external sources (110), converts them into a single presentation format and performs data deduplication, which together forms an input data stream for the analytics module ( 136), taking into account possible aggregations of similar data streams. Data deduplication is performed when information is collected from different sources, in the absence of a single reference data source.
Модуль аналитики (136) на основании поступившего потока данных от модуля (133) осуществляет базовую приоритезацию полученных данных на основании заданных ключевых слов, что обеспечивает маркирование релевантной группы данных из большого потока поступающих данных, которые необходимо проанализировать в первую очередь. Модуль обогащения данных (134) совместно с модулем получения данных (133) осуществляет сбор дополнительной информации из сети Интернет, с учетом идентификатора уязвимости (CVE) следующего вида: наличие программного кода для эксплуатации обозначенной уязвимости (эксплоит), информация об обновлениях безопасности, в том числе замещающих/перекрестных (Microsoft), информация о пакетах безопасности (согласно менеджеру пакетов Unix/Linux систем), информация о версионности уязвимого объекта, информация об общей оценки уязвимости с учетом ее версионности (CVSS 2.0 или CVSS 3.0) и иные атрибуты, используемые в сущности Vulnerability (уязвимость).The analytics module (136), based on the received data stream from the module (133), carries out a basic prioritization of the received data based on the specified keywords, which ensures the marking of a relevant group of data from a large flow of incoming data that needs to be analyzed first. The data enrichment module (134), together with the data retrieval module (133), collects additional information from the Internet, taking into account the vulnerability identifier (CVE) of the following form: the presence of software code for exploiting the indicated vulnerability (exploit), information about security updates, including number of substitute / cross (Microsoft), information about security packages (according to the package manager of Unix / Linux systems), information about the versioning of the vulnerable object, information about the general vulnerability assessment taking into account its versioning (CVSS 2.0 or CVSS 3.0) and other attributes used in entities Vulnerability (vulnerability).
При этом модуль обогащения (134), согласно заданному расписанию, для сущностей типа Vulnerability осуществляет непрерывный процесс поиска дополнительной информации в сети Интернет на определенных ресурсах. В процессе обработки информации по той или иной уязвимости системой (130) задействуется функция ведения и учета сущностей. Первоначально система (130) в автоматизированном режиме формирует сущность Vulnerability, которая агрегирует результаты работы вышеописанных модулей. Агрегированная информация с учетом приоритезации передается для дальнейшего анализа в модуль аналитики (136).In this case, the enrichment module (134), according to a given schedule, for entities of the Vulnerability type carries out a continuous process of searching for additional information on the Internet on certain resources. In the process of processing information on a particular vulnerability, the system (130) uses the function of maintaining and accounting for entities. Initially, the system (130) automatically forms the Vulnerability entity, which aggregates the results of the work of the above modules. Aggregated information, taking into account prioritization, is transmitted for further analysis to the analytics module (136).
Во время обработки сущности Vulnerability с помощью модуля аналитики (136) также задействуется модуль интеграции (135) для выполнения оценки применимости найденной уязвимости к инфраструктуре. Модуль интеграции (135) позволяет отправить запрос в централизованные системы ведения ИТ-активов, например для определения наличия обновлений безопасности или иных атрибутов, используемых в сущности Vulnerability.During the processing of the Vulnerability entity using the analytics module (136), the integration module (135) is also used to assess the applicability of the found vulnerability to the infrastructure. The integration module (135) allows you to send a request to centralized IT asset management systems, for example, to determine if there are security updates or other attributes used in the Vulnerability entity.
Модуль аналитики (136) выполняет анализ полученных данных от модуля интеграции (135) согласно заложенным алгоритмам обработки информации. При этом, если тип уязвимости является сетевым, модуль аналитики (136) может осуществить повторный вызов модуля интеграции (135) для получения информации о сетевой достижимости конечных вычислительных узлов. В последующем эта информация может влиять на оценку применимости обрабатываемой уязвимости.The analytics module (136) analyzes the data received from the integration module (135) according to the embedded information processing algorithms. In this case, if the type of vulnerability is network, the analytics module (136) can re-invoke the integration module (135) to obtain information about the network reachability of the end computing nodes. Subsequently, this information can influence the assessment of the applicability of the vulnerability being processed.
После выполнения анализа (определение актуальности) полученного потока данных об уязвимости и применения ее в инфраструктуре повторно задействуется функция ведения и учета сущностей. По результатам анализа создается аналитический отчет в сущности CASE. По результатам публикации сущности CASE, если требуются шаги по устранению уязвимости, либо заведение какой-либо иной заявки в системе учета заявок (тикетинг), модуль интеграции (135) заполняет определенный набор полей заявки данными из сущности CASE и осуществляет ее регистрацию в системе учета заявок (тикетинг).After analyzing (determining the relevance) of the received data stream about the vulnerability and applying it in the infrastructure, the function of maintaining and accounting for entities is re-used. Based on the analysis results, an analytical report is generated in the CASE entity. According to the results of the publication of the CASE entity, if steps are required to eliminate the vulnerability, or the establishment of any other order in the order accounting system (ticketing), the integration module (135) fills a certain set of order fields with data from the CASE entity and registers it in the order accounting system (ticketing).
На фиг. 2 представлен пример общего вида вычислительного устройства (200), с помощью которого может быть реализована функциональность системы (130).FIG. 2 shows an example of a general view of a computing device (200), with the help of which the functionality of the system (130) can be implemented.
Устройство (200) может является частью компьютерной системы, например сервером, компьютером, облачной платформой и т.п.The device (200) can be part of a computer system such as a server, computer, cloud platform, or the like.
В общем случае вычислительное устройство (200) содержит объединенные общей шиной информационного обмена один или несколько процессоров (201), средства памяти, такие как ОЗУ (202) и ПЗУ (203), интерфейсы ввода/вывода (204), устройства ввода/вывода (205), устройство для сетевого взаимодействия (206).In the general case, the computing device (200) contains one or more processors (201) united by a common data exchange bus, memory means such as RAM (202) and ROM (203), input / output interfaces (204), input / output devices ( 205), a device for networking (206).
Процессор (201) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также может являться пригодным для выполнения требуемой функциональности по вычислительной обработке. При этом средством памяти также может выступать доступный объем памяти графической карты или графического процессора.The processor (201) (or multiple processors, multi-core processor) can be selected from a range of devices currently in widespread use, such as Intel ™, AMD ™, Apple ™, Samsung Exynos ™, MediaTEK ™, Qualcomm Snapdragon ™, etc. ... The processor also needs to consider a graphics processor such as an NVIDIA or ATI GPU, which may also be capable of performing the required computational functionality. In this case, the memory means can also be the available amount of memory of the graphics card or GPU.
- 8 038063- 8 038063
ОЗУ (202) представляет собой оперативную память и предназначено для хранения исполняемых процессором (201) машиночитаемых инструкций для выполнения необходимых операций по логической обработке данных. ОЗУ (202), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.).RAM (202) is a random access memory and is intended for storing machine-readable instructions executed by the processor (201) for performing the necessary operations for logical data processing. RAM (202), as a rule, contains executable instructions of the operating system and corresponding software components (applications, software modules, etc.).
ПЗУ (203) представляет собой одно или более устройств постоянного хранения данных, например жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш-память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD-R/RW, BlueRay Disc, MD) и др.ROM (203) is one or more persistent storage devices such as a hard disk drive (HDD), solid state data storage device (SSD), flash memory (EEPROM, NAND, etc.), optical storage media (CD-R / RW, DVD-R / RW, BlueRay Disc, MD), etc.
Для организации работы компонентов устройства (200) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (204). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, cOm, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п. Для обеспечения взаимодействия пользователя с вычислительным устройством (200) применяются различные средства (205) В/В информации, например клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.Various types of I / O interfaces (204) are used to organize the operation of the device components (200) and to organize the operation of external connected devices. The choice of appropriate interfaces depends on the specific design of the computing device, which can be, but are not limited to: PCI, AGP, PS / 2, IrDa, FireWire, LPT, com, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS / Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc. To ensure user interaction with the computing device (200), various means (205) of I / O information are used, for example, a keyboard, display (monitor), touch display, touch pad, joystick, mouse manipulator, light pen, stylus, touch panel, trackball , speakers, microphone, augmented reality, optical sensors, tablet, light indicators, projector, camera, biometric identification (retina scanner, fingerprint scanner, voice recognition module), etc.
Средство сетевого взаимодействия (206) обеспечивает передачу данных устройством (200) посредством внутренней или внешней вычислительной сети, например Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (206) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.The means of networking (206) allows the device (200) to transmit data via an internal or external computer network, for example, Intranet, Internet, LAN, etc. One or more means (206) may be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and / or BLE module, Wi-Fi module, and dr.
Дополнительно могут применяться также средства спутниковой навигации в составе устройства (200), например GPS, ГЛОНАСС, BeiDou, Galileo. Представленные материалы раскрывают предпочтительные примеры реализации изобретения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники.Additionally, satellite navigation aids can be used as part of the device (200), for example, GPS, GLONASS, BeiDou, Galileo. The presented materials disclose preferred examples of implementation of the invention and should not be construed as limiting other, particular examples of its implementation that do not go beyond the scope of the claimed legal protection, which are obvious to specialists in the relevant field of technology.
Claims (9)
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019117226A RU2702269C1 (en) | 2019-06-04 | 2019-06-04 | Intelligent control system for cyberthreats |
Publications (2)
Publication Number | Publication Date |
---|---|
EA201991278A1 EA201991278A1 (en) | 2020-12-30 |
EA038063B1 true EA038063B1 (en) | 2021-06-30 |
Family
ID=68170889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EA201991278A EA038063B1 (en) | 2019-06-04 | 2019-06-24 | Intelligent control system for cyberthreats |
Country Status (3)
Country | Link |
---|---|
EA (1) | EA038063B1 (en) |
RU (1) | RU2702269C1 (en) |
WO (1) | WO2020246905A1 (en) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2680736C1 (en) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Malware files in network traffic detection server and method |
RU2728498C1 (en) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for determining software belonging by its source code |
RU2728497C1 (en) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for determining belonging of software by its machine code |
RU2747476C1 (en) * | 2020-08-04 | 2021-05-05 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Intelligent risk and vulnerability management system for infrastructure elements |
RU2743619C1 (en) * | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for generating the list of compromise indicators |
TR202101120A2 (en) * | 2021-01-26 | 2021-04-21 | Turkcell Technology Research And Development Co | A SYSTEM THAT DETECTS FRAUD CONDITIONS IN THE DATA FLOW |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
CN113726826B (en) * | 2021-11-04 | 2022-06-17 | 北京微步在线科技有限公司 | Threat information generation method and device |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110039237A1 (en) * | 2008-04-17 | 2011-02-17 | Skare Paul M | Method and system for cyber security management of industrial control systems |
KR101039717B1 (en) * | 2009-07-07 | 2011-06-09 | 한국전자통신연구원 | Cyber Threat Forecasting Engine System for Predicting Cyber Threats and Method for Predicting Cyber Threats Using the Same System |
EP2882159A1 (en) * | 2013-12-06 | 2015-06-10 | Cyberlytic Limited | Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment |
US9118702B2 (en) * | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
US20170230391A1 (en) * | 2016-02-09 | 2017-08-10 | Darktrace Limited | Cyber security |
RU2675900C1 (en) * | 2018-01-31 | 2018-12-25 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | METHOD OF PROTECTING NODES OF VIRTUAL PRIVATE COMMUNICATION NETWORK FROM DDoS-ATTACKS WITH METHOD OF MANAGING QUANTITY OF RENDERED COMMUNICATION SERVICES TO SUBSCRIBERS |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10135855B2 (en) * | 2016-01-19 | 2018-11-20 | Honeywell International Inc. | Near-real-time export of cyber-security risk information |
-
2019
- 2019-06-04 RU RU2019117226A patent/RU2702269C1/en active
- 2019-06-04 WO PCT/RU2019/000400 patent/WO2020246905A1/en active Application Filing
- 2019-06-24 EA EA201991278A patent/EA038063B1/en unknown
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110039237A1 (en) * | 2008-04-17 | 2011-02-17 | Skare Paul M | Method and system for cyber security management of industrial control systems |
KR101039717B1 (en) * | 2009-07-07 | 2011-06-09 | 한국전자통신연구원 | Cyber Threat Forecasting Engine System for Predicting Cyber Threats and Method for Predicting Cyber Threats Using the Same System |
US9118702B2 (en) * | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
EP2882159A1 (en) * | 2013-12-06 | 2015-06-10 | Cyberlytic Limited | Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment |
US20170230391A1 (en) * | 2016-02-09 | 2017-08-10 | Darktrace Limited | Cyber security |
RU2675900C1 (en) * | 2018-01-31 | 2018-12-25 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | METHOD OF PROTECTING NODES OF VIRTUAL PRIVATE COMMUNICATION NETWORK FROM DDoS-ATTACKS WITH METHOD OF MANAGING QUANTITY OF RENDERED COMMUNICATION SERVICES TO SUBSCRIBERS |
Also Published As
Publication number | Publication date |
---|---|
WO2020246905A1 (en) | 2020-12-10 |
RU2702269C1 (en) | 2019-10-07 |
EA201991278A1 (en) | 2020-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2702269C1 (en) | Intelligent control system for cyberthreats | |
US20240259434A1 (en) | Small-footprint endpoint data loss prevention | |
US10885393B1 (en) | Scalable incident-response and forensics toolkit | |
US11188657B2 (en) | Method and system for managing electronic documents based on sensitivity of information | |
RU2444056C1 (en) | System and method of speeding up problem solving by accumulating statistical information | |
US7996374B1 (en) | Method and apparatus for automatically correlating related incidents of policy violations | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
JP7120350B2 (en) | SECURITY INFORMATION ANALYSIS METHOD, SECURITY INFORMATION ANALYSIS SYSTEM AND PROGRAM | |
WO2022174759A1 (en) | Alarm processing method and apparatus, electronic device, computer program product, and computer readable storage medium | |
EP2560120B1 (en) | Systems and methods for identifying associations between malware samples | |
US11416631B2 (en) | Dynamic monitoring of movement of data | |
US11687650B2 (en) | Utilization of deceptive decoy elements to identify data leakage processes invoked by suspicious entities | |
US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
CN108234392B (en) | Website monitoring method and device | |
Fatemi et al. | Threat hunting in windows using big security log data | |
US20240232420A9 (en) | System and method of dynamic search result permission checking | |
CN103414735A (en) | Website content classified inspection system | |
Liu et al. | A research and analysis method of open source threat intelligence data | |
Gupta et al. | Big data security challenges and preventive solutions | |
JP2022162162A (en) | Storage and structured search of historical security data | |
Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
JP7408530B2 (en) | Security management system and security management method | |
Ural et al. | Automatic Detection of Cyber Security Events from Turkish Twitter Stream and Newspaper Data. | |
CN116647412B (en) | Security defense method and system of Web server | |
RU2825973C1 (en) | Method of generating requests to large language model when monitoring security and responding to incidents |