R-Vision опубликовала на GitHub исходный код скоринговой модели для ранжирования индикаторов компрометации, реализованной на базе исследования Амстердамского университета. Модель предназначена для решения одной из ключевых задач в области управления данными киберразведки — выделения наиболее опасных индикаторов компрометации для сужения фокуса поиска киберугроз.
Для расчета рейтинга индикаторов компрометации в модели используется три основных параметра: количество взаимосвязей между индикаторами и контекстом, скорость предоставления данных источником по сравнению с другими, полнота данных в источнике относительно общей совокупности данных всех источников. Помимо этого, в модели есть ряд дополнительных коэффициентов. Например, один из них позволяет учитывать при расчетах присутствие индикаторов компрометации в списках известных невредоносных ресурсов, другой дает возможность регулировать скорость устаревания рейтинга. Для каждого коэффициента в модели можно задать необходимый вес, чтобы адаптировать ее под решение конкретной задачи. При этом модель обладает гибкостью и может быть расширена дополнительными коэффициентами.
«Для эффективного противостояния киберпреступности необходимо обмениваться информацией о киберугрозах. Обладая широкой экспертизой в обработке и анализе индикаторов компрометации, мы стремимся вносить вклад в развитие ИБ-сообщества и делиться полезными наработками. Представленную модель можно рассматривать как академический проект или встроить в собственную систему управления данными Threat Intelligence для расчета репутации индикаторов компрометации и принятия решений о дальнейших действиях с ними на основе полученных оценок», — прокомментировал Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.
Модель R-Vision для ранжирования индикаторов компрометации распространяется по лицензии Apache License v2.0.