Компания R-Vision опубликовала на GitHub исходный код скоринговой модели для ранжирования индикаторов компрометации, реализованной на базе исследования Амстердамского университета. Модель предназначена для решения одной из ключевых задач в области управления данными киберразведки — выделения наиболее опасных индикаторов компрометации из их внешнего потока (фида) для сужения фокуса поиска киберугроз. Опубликованная модель распространяется по лицензии Apache License v2.0.
Взаимосвязи, скорость и полнота
Для расчета рейтинга индикаторов компрометации в модели используется три основных параметра: количество взаимосвязей между индикаторами и контекстом, скорость предоставления данных источником по сравнению с другими, полнота данных в источнике относительно общей совокупности данных всех источников.
Помимо этого, в модели есть ряд дополнительных коэффициентов. Например, один из них позволяет учитывать при расчетах присутствие индикаторов компрометации в списках известных невредоносных ресурсов, другой дает возможность регулировать скорость устаревания рейтинга. Для каждого коэффициента в модели можно задать необходимый вес, чтобы адаптировать ее под решение конкретной задачи. При этом модель обладает гибкостью и может быть расширена дополнительными коэффициентами.
«Для эффективного противостояния киберпреступности необходимо обмениваться информацией о киберугрозах, — пояснил менеджер продукта R-Vision Threat Intelligence Platform Антон Соловей. — Обладая широкой экспертизой в обработке и анализе индикаторов компрометации, мы стремимся вносить вклад в развитие ИБ-сообщества и делиться полезными наработками. Представленную модель можно рассматривать как академический проект или встроить в собственную систему управления данными Threat Intelligence для расчета репутации индикаторов компрометации и принятия решений о дальнейших действиях с ними на основе полученных оценок».
Приоретизация фидов
Для работы модели нужен один или более фид, сгенерированный или приведенный к единому формату. При запуске модели, она проверяет, есть ли уже рассчитанные статистики для каждого фида. Если статистик нет, то они рассчитываются. После расчета, записывается хэш всех фидов, чтобы в дальнейшем пересчитывать статистики каждый раз, когда содержимое фидов изменяется. Далее, для каждого индикатора компрометации начинает расчитываться рейтинг, который зависит от взаимосвязей с другими индикаторами, скоростью предоставления информации и полнотой представленных сведений. Этот рейтинг доверия к конкретной записи из фида и является основной целью скоринговой модели
Поделиться:
