В команде экспертного центра безопасности Positive Technologies (PT Expert Security Center) есть отдельная группа специалистов, которая разрабатывает правила обнаружения кибератак для средств защиты сети. На основе этой экспертизы был запущен проект PT Rules с открытым исходным кодом. Его задача — делиться с сообществом по ИБ нашими сигнатурами для Suricata[1] и помогать вовремя выявлять активность злоумышленников. На портале проекта размещен набор правил Suricata, который будет постоянно обновляться.
Positive Technologies активно делится с мировым сообществом передовой экспертизой в области ИБ, используя разные форматы. Так, компания регулярно публикует исследования по кибербезопасности, принимает активное участие в зарубежных отраслевых конференциях и организует собственные мероприятия (например, международный киберфестиваль Positive Hack Days, киберучения Standoff, практикумы для иностранных студентов и другие). PT Rules — это еще один формат обмена опытом с глобальным сообществом по ИБ, поэтому проект ведется на английском языке.
«Мы верим в силу международного сообщества по ИБ, которое разрабатывает проекты с открытым исходным кодом и общими усилиями делает цифровой мир безопаснее. У нас такая же цель, поэтому мы создали собственную площадку, на которой будем делиться инструментами для защиты от новейших киберугроз, — комментирует Кирилл Шипулин, руководитель группы обнаружения атак в сети продукта PT NAD экспертного центра безопасности Positive Technologies. — Приглашаем наших коллег по всему миру присоединиться к PT Rules, чтобы использовать актуальную экспертизу и вместе с нами дополнять ее полезными находками. Объединившись, мы сможем быстрее выявлять и устранять угрозы, способные причинить неприемлемый ущерб обществу, корпорациям и государствам».
Недавно команда PT Expert Security Center выложила на портал PT Rules правила для обнаружения новых уязвимостей и популярных среди киберпреступников инструментов, а также сигнатуры для выявления перемещения внутри периметра в службе каталогов Active Directory. Для своевременного обновления правил эксперты рекомендуют использовать утилиту suricata-update, включив в ней репозиторий ptrules/open, который вошел в список официально поддерживаемых репозиториев сигнатур.
[1] Программное обеспечение с открытым исходным кодом, предназначенное для систем обнаружения и предотвращения вторжений в сети — intrusion detection system (IDS) и intrusion prevention system (IPS).
