Проактивная инженерия обнаружения: возможности платформы Censys

Разработчики продуктов безопасности создают правила обнаружения для десятков тысяч клиентов одновременно. Их цель — обеспечить широкое покрытие, избежать ложных срабатываний и сохранить безопасные настройки по умолчанию. Однако ни один внешний поставщик не знает специфики конкретной ИТ-инфраструктуры, её критических активов и моделей поведения целевых киберпреступников. С учетом этого инженерия обнаружения (Detection Engineering) эволюционирует в отдельную и фундаментальную дисциплину SecOps, требующую перехода от реактивных действий к проактивному внешнему мониторингу.

ПРОБЛЕМАТИКА

Действующие правила внутри платформ безопасности существенно отличаются от тех, которые необходимы конкретной организации. Вендоры вынуждены балансировать: слишком узкие настройки могут пропустить целенаправленную атаку, в то время как слишком широкие генерируют огромный объем информационных уведомлений. Это приводит к чрезмерному потреблению ресурсов SIEM-систем и быстрому исчерпанию лимитов биллинга, перекладывая этап реагирования на внутренние команды. Кроме того, компании-разработчики редко раскрывают полную информацию о своём покрытии, защищая интеллектуальную собственность. В таких условиях организации должны самостоятельно создавать логику обнаружения, которая охватывает их уникальные поверхности внешнего воздействия.

СТРАТЕГИЯ

Ждать момента выполнения вредоносного кода на конечной точке часто бывает слишком поздно. Современная инженерия обнаружения требует перехвата угрозы на этапах подготовки: в системах управления учетными записями, DNS-запросах, прокси-серверах, облачной среде и открытой инфраструктуре Интернета.

Компания Censys предлагает инструментарий, который позволяет выявлять контролируемую злоумышленниками инфраструктуру ещё до её контакта с корпоративной сетью. Интеграция данных платформы в рабочие процессы превращает одноразовые индикаторы (например, IP-адрес или неизвестный сертификат) в многократные, надежные паттерны обнаружения.

ИНСТРУМЕНТАРИЙ

Для эффективного масштабирования правил обнаружения платформа Censys предоставляет специалистам несколько ключевых возможностей. Функция аналитического разворота позволяет взять один домен из логов и найти связанные общие сертификаты, повторяющиеся отпечатки сервисов или специфические зависимости между доменами и хостами. Инструмент Live Rescan помогает подтвердить, активна ли угроза в текущий момент, предотвращая создание правил на основе неактуальных данных об открытой инфраструктуре.

Параллельно Collections обеспечивает непрерывный мониторинг инфраструктурных изменений, автоматизируя отслеживание активов киберпреступников и генерируя готовые потоки данных для SOC-аналитиков.

ПРАКТИКА

Разницу между базовым блокированием и настоящей инженерией обнаружения иллюстрирует пример фишинговой Adversary-in-the-Middle (AiTM) кампании OLUOMO. Вместо того чтобы просто заблокировать один обнаруженный домен, исследователи проанализировали шаблон злоумышленников. Были зафиксированы специфические HTML-заголовки, CSS-переменные портала безопасных документов и ключи сохранения данных, а также использование прокси-инфраструктуры на базе Azure Web Apps.

Создание правила на основе этих артефактов позволило платформе Censys обнаружить не один домен, а 999 уникальных веб-ресурсов с аналогичным шаблоном. Это и есть переход от работы с хрупкими индикаторами к разработке долговечной логики обнаружения.

ИНТЕГРАЦИЯ

Аналитика и внешняя телеметрия должны обрабатываться там, где командам безопасности наиболее удобно принимать решения. В SIEM-системах создаются правила корреляции, которые проверяют, обращается ли внутренняя телеметрия к IP-адресам из обнаруженной вредоносной базы. Для SOAR-платформ настраиваются роботизированные сценарии расширения контекста: при поступлении алерта система автоматически проверяет исторические записи DNS или принадлежность URL к известной C2-инфраструктуре. Для решений класса Threat Intelligence генерируются списки наблюдения, включающие пути сервисных скриптов и специфические текстовые артефакты целевых страниц.

Лучшее правило обнаружения — это не блокирование единичной ссылки, а создание аналитической модели, которая мгновенно реагирует на любые внешние проявления враждебной инфраструктуры. Инженерия обнаружения предполагает создание ответственной стратегии защиты собственной уникальной среды, где высококачественные разведданные превращают базовые индикаторы в долговечную и рентабельную оборону.

Компания iIT Distribution как дистрибьютор решений Censys предоставляет экспертную поддержку на всех этапах развития инфраструктурной безопасности предприятия. Команда iIT Distribution обеспечивает технические консультации, помощь в проектировании безопасных процессов и полный сопровождение проектов, интегрируясь как надежный партнер для повышения эффективности SOC и внедрения передовых практик киберзащиты.

НОВОСТИ