Трекер киберугроз — решение от Лаборатории Касперского и VAS Experts

18 ноября 2022
Мероприятия Телеком
Трекер киберугроз — решение от Лаборатории Касперского и VAS Experts
17 ноября прошел совместный митап двух известных IT-вендоров — Лаборатории Касперского и VAS Experts, участие в котором приняли Интернет-провайдеры из Петербурга и городов Ленобласти.

Объединив свой опыт в анализе трафика и выявлении уязвимостей, эксперты компаний рассказали о трендах в мире сетевых угроз и борьбы с ними, об актуальных проблемах на тему стабильной работы сетей и монетизации дополнительных услуг.

На мероприятии мы представили операторам новинку — решение, созданное в коллаборации Kaspersky и VAS Experts, благодаря которому операторы смогут:

  • выявлять абонентов с вирусной активностью
  • видеть ботнеты на ранней стадии
  • осуществлять превентивную техническую поддержку
  • адресно предлагать абонентам современные решения для защиты конечных устройств
  • работать с безопасностью устройств IoT.

Ландшафт угроз

Ландшафт угроз. Статистика

Исследованием киберугроз в Лаборатории Касперского занимается команда GReAT — Global Research & Analysis Team. Ведущий исследователь угроз безопасности Виктор Чебышев поделился с нами наработанной статистикой:

  • каждый день появляется 360 000 новых угроз безопасности в Интернете
  • средний ущерб от успешной кибератаки составляет 105 тысяч долларов для среднего и малого бизнеса и около 1 миллиона долларов для Enterprise
  • атакам подвержены все операционные системы
  • у физических лиц ботнеты воруют учетные данные, данные банковских карт и криптокошельков, у компаний — доступ к критически важным элементам инфраструктуры и данным (для последующей продажи и промышленного шпионажа)
  • DDoS атаки в 2022 году ставят рекорды по количеству и продолжительности
  • для DDoS атак и построения ботнет-сети активно используются уязвимости в IoT — любое устройство от роутера до радионяни может стать источником заражения соседних девайсов в той же сети.

Трекер киберугроз: состав решения

 
Архитектура решения Касперский и VAS Experts
 
Для реализации threat-intelligence решения мы объединили возможности инструмента Kaspersky Threat Data Feeds, агрегирующего данные о цифровых угрозах во всем мире, и модуля аналитики и полисинга трафика от СКАТ.

Kaspersky Threat Data Feeds — это структурированная, постоянно обновляемая и очень объемная база данных о DDoS-атаках, фишинговых сайтах, распространении ботнет-сетей, спаме и прочих видах вредоносного воздействия. Существует 16 типов фидов, СКАТ работает с 7 из них:

  1. Malicious URL
  2. Phishing URL
  3. Botnet C&C
  4. Mobile Botnet
  5. IP Reputation
  6. Ransomware URL
  7. IoT URL Data

При помощи собственных краулеров, спам-ловушек и систем мониторинга бот-сетей, Kaspersky Threat Data Feeds как “вирусологическая лаборатория” тестирует, анализирует и собирает в единый справочник данные обо всех известных киберугрозах.

Для совместного решения Kaspersky + VAS Experts мы размещаем синхронизированную копию базы данных об угрозах на сервер со статистикой поведения абонентов.

Затем статистика поведения абонентов на СКАТ сопоставляется с базой угроз.

На основе сопоставления делается вывод о потенциальных угрозах внутри операторской сети:

  • появляются количественные характеристики (насколько сеть заражена — количество абонентов и устройств)
  • и список выявленных угроз и логинов зараженных абонентов — для работы администратора сети с конкретными абонентами.

Как использовать?

Варианты реакции оператора на угрозы

Определив степень зараженности сети, сетевой администратор может решить возникшие проблемы при помощи СКАТ.

Варианты решения:

  1. ограничение или более радикальная блокировка абонентов при помощи политик на BRAS
  2. уведомление абонента о подозрительной активности его устройств с последующим предложением покупки антивируса
  3. выгрузка данных о зараженных абонентах для отработки специалистами технической поддержки — также с возможностью допродажи.

Второй и третий варианты дают возможность дополнительной монетизации услуг Интернет-провайдера.

Для внедрения трекера угроз в архитектуру сети оператора не требуется покупка новых аппаратных компонентов и дополнительная настройка, если уже установлен модуль абонентской статистики.

Дальнейшее развитие

В данный момент трекер угроз пилотируется в сети нескольких провайдеров. Мы совершенствуем точность определения угроз и прорабатываем варианты реакции провайдера на них. Также в разработке находится удобный графический интерфейс решения.

Уже сейчас система показывает, что по данным фидов не менее 10% домохозяйств имеют проблемы с безопасностью.

Особое внимание мы уделяем ботнетам и IoT. В фидах содержатся адреса бот-ферм. С их помощью вычисляется абонент, устройства которого стали частью ботнет-сети. Решение Лаборатории Касперсого и VAS Experts позволит, как минимум, определить его наличие в конкретном домохозяйстве, а как максимум — назвать зараженное физическое устройство, даже если это кофемашина.

Мы рассчитываем, что наше threat Intelligence решение поможет Интернет-провайдерам одновременно решить две задачи: обеспечения безопасности сети и дополнительной монетизации своих услуг.

За подробностями о реализации общайтесь к нам по адресу dpi@vas.expert.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.