Новый модуль SIEM-системы RuSIEM позволяет выявить угрозы для корпоративных устройств с помощью индикаторов компрометации.
Москва, 28 ноября 2022 года. — Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, выпустила новый модуль RuSIEM IoC (Indicators of Compromise), который позволяет выявить угрозу для корпоративных устройств в виде попыток связаться с вредоносной инфраструктурой злоумышленника. Модуль подгружает в систему информацию об IP-адресах, доменах, url, хэшах вредоносного ПО (ВПО). Это и есть индикаторы компрометации – признаки, позволяющие выявлять вредоносные коммуникации и зараженные устройства.
Индикатор компрометации срабатывает, когда злоумышленники используют устройство ИТ-инфраструктуры (рабочую станцию, оргтехнику или иное оборудование, имеющее выход в Интернет) в качестве элементов botnet-сетей, а также когда устройство устанавливает связь с сайтами или командными серверами преступников.
Новый модуль позволяет заказчикам компании RuSIEM выявлять следующие угрозы:
загрузка вредоносных файлов с зараженных ресурсов сети Интернет;
автоматические запросы с компьютеров к инфраструктуре злоумышленников;
обращение компонентов клиентской инфраструктуры на вредоносные узлы;
запросы и обращения с инфраструктуры злоумышленников либо зараженных узлов;
идентификация конкретного ВПО либо хакерской группировки.
Модуль RuSIEM IoC настраивается автоматически. Когда Firewall или иное СЗИ фиксирует факт взаимодействия устройства с внешним узлом, оно передает данные в SIEM-систему RuSIEM. Система, в свою очередь, анализирует их с помощью правил корреляции и устанавливает, является ли IP или домен, с которым взаимодействовало устройство, вредоносным. После того, как установлена угроза, в системе создается инцидент.
«На текущий момент RuSIEMIoC анализирует данные из более чем 260 открытых источников, сбор индикаторов происходит из социальных сетей (Telegram, Twitter), репозиториев Github, а также данных публичных TI-отчетов, а сама система насчитывает более 250 тысяч уникальных индикаторов в сутки, при этом 30 тысяч из которых имеют наивысший уровень опасности», - отметил Максим Степченков, совладелец компании RuSIEM.