Проактивна інженерія виявлення: можливості платформи Censys

Діючі правила всередині платформ безпеки суттєво відрізняються від тих, які потрібні конкретній організації. Вендори змушені балансувати: надто вузькі налаштування можуть пропустити цілеспрямовану атаку, тоді як надто широкі генерують величезний обсяг інформаційних сповіщень. Це призводить до надмірного споживання ресурсів SIEM-систем та швидкого вичерпання лімітів білінгу, перекладаючи етап триажу на внутрішні команди. Крім того, компанії-розробники рідко розкривають повну інформацію про своє покриття, захищаючи інтелектуальну власність. У таких умовах організації повинні самостійно створювати логіку виявлення, яка охоплює їхні унікальні поверхні зовнішнього впливу.

Чекати моменту виконання шкідливого коду на кінцевій точці часто буває запізно. Сучасна інженерія виявлення вимагає перехоплення загрози на етапах підготовки: у системах керування обліковими записами, DNS-запитах, проксі-серверах, хмарному середовищі та відкритій інфраструктурі Інтернету.

Компанія Censys пропонує інструментарій, який дозволяє виявляти контрольовану зловмисниками інфраструктуру ще до її контакту з корпоративною мережею. Інтеграція даних платформи у робочі процеси перетворює одноразові індикатори (наприклад, IP-адресу чи невідомий сертифікат) на багаторазові, надійні патерни виявлення.

Для ефективного масштабування правил виявлення платформа Censys надає фахівцям кілька ключових можливостей. Функція аналітичного розвороту дозволяє взяти один домен із логів і знайти пов’язані спільні сертифікати, повторювані відбитки сервісів або специфічні залежності між доменами та хостами. Інструмент Live Rescan допомагає підтвердити, чи активна загроза в поточний момент, запобігаючи створенню правил на основі неактуальних даних щодо відкритої інфраструктури.

Паралельно Collections забезпечує безперервний моніторинг інфраструктурних змін, автоматизуючи відстеження активів кіберзлочинців та генеруючи готові потоки даних для SOC-аналітиків.

Різницю між базовим блокуванням та справжньою інженерією виявлення ілюструє приклад фішингової Adversary-in-the-Middle (AiTM) кампанії OLUOMO. Замість того щоб просто заблокувати один виявлений домен, дослідники проаналізували шаблон зловмисників. Було зафіксовано специфічні HTML-заголовки, CSS-змінні порталу безпечних документів та ключі збереження даних, а також використання проксі-інфраструктури на базі Azure Web Apps.

Створення правила на основі цих артефактів дозволило платформі Censys виявити не один домен, а 999 унікальних вебресурсів з аналогічним шаблоном. Це і є переходом від роботи із крихкими індикаторами до розробки довговічної логіки виявлення.

Аналітика та зовнішня телеметрія мають оброблятися там, де командам безпеки найзручніше ухвалювати рішення. У SIEM-системах створюються правила кореляції, які перевіряють, чи звертається внутрішня телеметрія до IP-адрес із виявленої шкідливої бази. Для SOAR-платформ налаштовуються роботизовані сценарії розширення контексту: під час надходження алерта система автоматично перевіряє історичні записи DNS або приналежність URL до відомої C2-інфраструктури. Для рішень класу Threat Intelligence генеруються списки спостереження, що включають шляхи сервісних скриптів та специфічні текстові артефакти цільових сторінок.

Найкраще правило виявлення — це не блокування одиничного посилання, а створення аналітичної моделі, яка миттєво реагує на будь-які зовнішні прояви ворожої інфраструктури. Інженерія виявлення передбачає створення відповідальної стратегії захисту власного унікального середовища, де високоякісні розвіддані перетворюють базові індикатори на довговічну і рентабельну оборону.

Компанія iIT Distribution як дистриб’ютор рішень Censys надає експертну підтримку на всіх етапах розвитку інфраструктурної безпеки підприємства. Команда iIT Distribution забезпечує технічні консультації, допомогу у проєктуванні безпекових процесів та повний супровід проєктів, інтегруючись як надійний партнер для підвищення ефективності SOC та впровадження передових практик кіберзахисту.