Отделить зерна от плевел: наши наработки по ранжированию индикаторов компрометации
Время от времени при исследовании продуктовых идей и гипотез наша команда разрабатывает прототипы. У нас есть мнение, что некоторые из них могут быть полезными ИБ-сообществу. Сегодня мы хотим поделиться моделью для ранжирования индикаторов компрометации, которую реализовали на основе исследования «Scoring model for IoCs by combining open intelligence feeds to reduce false positives» Амстердамского университета. Эта модель решает одну из ключевых задач threat intelligence: ранжирование индикаторов компрометации по ряду параметров для того, чтобы выделить из них наиболее опасные и сузить фокус поиска угроз.
Модель оперирует достаточно понятными параметрами (коэффициентами), которые используются при расчете:
Extensiveness — мера количества взаимосвязей индикаторов компрометации с иными индикаторами и контекстом.
Timeliness — мера скорости предоставления данных источником по сравнению с другими источниками.
Completeness — полнота данных в источнике относительно общей совокупности данных всех источников.
Помимо этих параметров, есть дополнительный коэффициент, позволяющий учитывать вхождение индикаторов компрометации в списки известных невредоносных ресурсов, коэффициент затухания для регулирования скорости устаревания рейтинга и веса коэффициентов, с помощью которых можно адаптировать модель под свои нужды. Модель видится весьма гибкой и расширяемой — ее достаточно легко дополнить своими коэффициентами.
Модель можно рассматривать как академический проект, а можно прикрутить к собственной системе управления TI для того, чтобы рассчитывать в ней репутацию индикаторов компрометации и на основании оценок принимать решения о дальнейших действиях с IoC.
Репозиторий с исходным кодом доступен на GitHub. Мы будем рады вашим PR.