Открыть сервис

Обнаружение угроз

Обнаружение угроз — это процесс выявления, идентификации и оценки потенциальных или активных опасностей, направленных на информационные системы, физические объекты, персонал или общественную безопасность. В контексте информационной безопасности обнаружение угроз представляет собой совокупность методов и инструментов, направленных на своевременное выявление несанкционированных действий, вредоносного программного обеспечения, аномалий в сетевом трафике и других индикаторов компрометации. В более широком смысле термин охватывает также физическую безопасность (обнаружение вторжений, наблюдение) и анализ разведывательных данных (киберразведка, threat intelligence). Основная цель обнаружения угроз — минимизировать время между возникновением угрозы и её нейтрализацией, снижая потенциальный ущерб.

История развития

Первые подходы к обнаружению угроз в вычислительных системах возникли в 1970-х годах с появлением антивирусных программ, основанных на сигнатурном анализе. Сигнатурный метод предполагает сравнение файлов или кода с базой известных вредоносных образцов (сигнатур). В 1980-е годы, с развитием локальных сетей, появились системы обнаружения вторжений (IDS), которые анализировали сетевой трафик на предмет аномалий. В 1990-е годы, после распространения интернета, стали применяться межсетевые экраны с функциями обнаружения атак.

В 2000-х годах, в связи с ростом сложности атак (например, полиморфные вирусы, атаки нулевого дня), сигнатурные методы показали ограниченную эффективность. Это привело к развитию поведенческого анализа и эвристических алгоритмов. В 2010-е годы сформировалась концепция «обнаружения угроз на основе поведения» (UEBA — User and Entity Behavior Analytics), а также внедрение машинного обучения для выявления аномалий. В 2020-е годы ключевыми трендами стали автоматизация реагирования (SOAR — Security Orchestration, Automation and Response), использование искусственного интеллекта и облачных платформ для сбора и анализа данных о угрозах (Threat Intelligence Platforms).

Классификация методов обнаружения угроз

Методы обнаружения угроз делятся на несколько категорий в зависимости от подхода, источника данных и цели.

По способу анализа

  • Сигнатурный анализ — сравнение с известными шаблонами (сигнатурами) вредоносного кода, атак или аномалий. Эффективен против известных угроз, но бесполезен против новых (zero-day).
  • Поведенческий анализ — выявление отклонений от нормального поведения системы, пользователя или сети. Использует профилирование и машинное обучение.
  • Эвристический анализ — применение правил и эмпирических алгоритмов для обнаружения подозрительных действий, характерных для вредоносного ПО (например, попытки самошифрования, изменения реестра).
  • Анализ на основе аномалий — статистическое или машинное обучение для выявления выбросов в данных (например, резкий рост трафика, нехарактерные логины).
  • Анализ на основе репутации — оценка объектов (файлов, IP-адресов, URL) по их репутации в базах данных угроз.

По источнику данных

  • Сетевой уровень — анализ трафика (пакетов, потоков, протоколов) с помощью систем обнаружения вторжений (NIDS), межсетевых экранов, систем анализа сетевых аномалий.
  • Хостовой уровень — анализ событий на конечных устройствах (серверах, рабочих станциях) с помощью антивирусов, систем обнаружения вторжений на хосте (HIDS), систем мониторинга целостности файлов.
  • Прикладной уровень — анализ логов приложений, баз данных, веб-серверов.
  • Облачный уровеньанализ данных из облачных сред (SaaS, IaaS, PaaS) с помощью облачных систем безопасности (CASB, CSPM).
  • Физический уровень — обнаружение вторжений на объекты (датчики движения, видеонаблюдение, системы контроля доступа).

По времени обнаружения

  • Реактивное обнаружение — после того, как угроза уже проявилась (например, анализ логов после инцидента).
  • Проактивное обнаружение — поиск угроз до их активации (например, анализ уязвимостей, threat hunting).
  • Обнаружение в реальном времени — непрерывный мониторинг и оповещение при возникновении подозрительных событий.

Технологии и инструменты

Системы обнаружения вторжений (IDS)

Системы обнаружения вторжений (Intrusion Detection System) делятся на сетевые (NIDS) и хостовые (HIDS). NIDS анализируют сетевой трафик, выявляя атаки (например, сканирование портов, SQL-инъекции, DoS-атаки). HIDS работают на уровне операционной системы, отслеживая системные вызовы, файловые операции и процессы. Примеры: Snort (NIDS), OSSEC (HIDS).

Системы предотвращения вторжений (IPS)

IPS — это расширение IDS, которое не только обнаруживает, но и блокирует угрозы в реальном времени (например, сбрасывает подозрительные соединения, блокирует IP-адреса). Встроены в современные межсетевые экраны (NGFW).

Платформы анализа угроз (Threat Intelligence Platforms)

Собирают, агрегируют и анализируют данные о угрозах из внешних и внутренних источников (фиды угроз, открытые базы данных, отчёты CERT). Позволяют сопоставлять индикаторы компрометации (IoC) с событиями в инфраструктуре. Примеры: MISP, OpenCTI.

Системы управления информацией и событиями безопасности (SIEM)

SIEM-системы централизованно собирают логи и события из различных источников (серверы, сети, приложения), коррелируют их и генерируют оповещения. Используют правила корреляции и машинное обучение. Примеры: Splunk, ELK Stack, MaxPatrol (разработка «Positive Technologies», Россия).

Решения для обнаружения и реагирования на конечных точках (EDR)

EDR-системы (Endpoint Detection and Response) устанавливаются на конечные устройства и обеспечивают мониторинг, анализ поведения, сбор телеметрии и автоматическое реагирование (изоляция устройства, удаление вредоносного ПО). Примеры: CrowdStrike, Kaspersky Endpoint Detection and Response (Россия).

Системы анализа поведения пользователей и сущностей (UEBA)

UEBA анализируют поведение пользователей, устройств и приложений, выявляя аномалии (например, нехарактерное время входа, доступ к конфиденциальным данным). Используют машинное обучение для построения профилей.

Threat Hunting

Threat Hunting — это проактивный поиск угроз, которые могли быть пропущены автоматическими системами. Осуществляется аналитиками на основе гипотез, данных телеметрии и индикаторов компрометации. Включает ручной анализ и использование специализированных инструментов (например, YARA, osquery).

Применение в различных сферах

Информационная безопасность предприятий

Обнаружение угроз является основой корпоративной защиты. Внедряются SIEM, EDR, NGFW, системы анализа трафика. Используются для защиты от вредоносного ПО, фишинга, атак на веб-приложения, утечек данных. В России с 2019 года действует закон о защите критической информационной инфраструктуры (КИИ), который обязывает организации использовать сертифицированные средства обнаружения вторжений.

Кибербезопасность государственных структур

Государственные органы применяют системы обнаружения угроз для защиты от кибератак, шпионажа и террористических угроз. В России функционирует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), координируемая ФСБ России. В рамках ГосСОПКА созданы центры мониторинга и реагирования на инциденты.

Физическая безопасность

В физической безопасности обнаружение угроз включает системы видеонаблюдения с аналитикой (распознавание лиц, детекция движения), датчики открытия дверей, системы контроля доступа, а также системы обнаружения проникновения на периметр (радары, инфракрасные барьеры). Используется на охраняемых объектах, в аэропортах, на режимных предприятиях.

Критическая инфраструктура

Объекты энергетики, транспорта, связи, водоснабжения требуют специализированных решений для обнаружения угроз в промышленных сетях (SCADA, АСУ ТП). Используются системы обнаружения вторжений для промышленных протоколов (например, Modbus, IEC 61850), а также системы мониторинга физической безопасности.

Проблемы и ограничения

  • Ложные срабатывания — высокая частота ложных тревог снижает доверие к системам и требует ручной верификации.
  • Недостаток данных — для эффективного машинного обучения необходимы большие объёмы размеченных данных, что не всегда доступно.
  • Сложность атак — современные угрозы (APT-атаки, полиморфные вирусы, атаки через легитимные инструменты) могут обходить традиционные методы обнаружения.
  • Ресурсоёмкость — анализ больших объёмов данных требует значительных вычислительных мощностей и памяти.
  • Юридические аспекты — сбор и анализ данных о пользователях может нарушать законы о персональных данных (например, 152-ФЗ в России).
  • Необходимость квалифицированного персонала — для настройки, администрирования и реагирования требуются специалисты по кибербезопасности.

Перспективы развития

Будущее обнаружения угроз связано с развитием искусственного интеллекта, особенно глубокого обучения, для анализа больших данных и выявления сложных аномалий. Ожидается внедрение автоматизированных систем реагирования (SOAR), которые будут не только обнаруживать, но и самостоятельно блокировать угрозы. Также развивается концепция «нулевого доверия» (Zero Trust), где обнаружение угроз встроено в каждый элемент инфраструктуры. В России активно развиваются отечественные решения в области кибербезопасности, в том числе в рамках импортозамещения.

Источники

  1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Указ Президента РФ от 15.01.2013 № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
  3. Методические рекомендации ФСТЭК России по обнаружению компьютерных атак (утверждены ФСТЭК России).
  4. Стандарт ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности».
  5. Книга «Сетевая безопасность: системы обнаружения вторжений» (авторы: С. Норткатт, Дж. Новак, 2002).
  6. Документация по системам SIEM, EDR, IDS/IPS (например, Splunk, Snort, OSSEC, MaxPatrol, Kaspersky EDR).
  7. Отчёты по киберугрозам (CERT-GIB, Positive Technologies, Kaspersky, Group-IB).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →