2023/09/07 10:59:14

Threat intelligence (TI)
Киберразведка


Содержание

2023

В России набирает популярность киберразведка

Российские компании стали проявлять больше интереса к услугам киберразведки, которые включают в себя мониторинг теневых форумов для выявления готовящихся хакерских атак и анализ произошедших инцидентов. Согласно данным F.A.C.C.T. (ранее Group-IB), только в первом полугодии 2023 года спрос на такие услуги вырос почти на 30%. В компании Positive Technologies также отмечают рост спроса на 40%, в «Информзащите» — на 25%. «РТК Солар» также зафиксировал двухкратный рост спроса на услуги по мониторингу внешних угроз год к году. Об этом 6 сентября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Растет интерес к киберразведке и у госсектора. Так, 28 июля департамент информационных технологий (ДИТ) Москвы опубликовал тендер на 250 млн руб. на «оказание комплексной услуги по киберразведке и расследованию инцидентов информационной безопасности».

Как отметили в самом ДИТ, киберразведка — «важнейший элемент обеспечения информбезопасности в любой крупной организации, занимающейся созданием цифровых продуктов».

«
Эта работа позволяет заранее понять, с какими угрозами может столкнуться организация в ближайшее время. Для ДИТ она крайне важна, поскольку город должен проактивно реагировать на постоянно появляющиеся киберугрозы и понимать, как злоумышленники могут действовать в отношении информсистем. Это плановая работа, которую департамент ведет регулярно. А техническое расследование позволяет понять, как действовал злоумышленник, чтобы усилить защиту от аналогичных кибератак в будущем, - рассказали «Коммерсанту» в департаменте.
»

Специалисты, которые оказывают услуги киберразведки, должны в том числе проверять наличие в сети компрометирующей информации о внешних ресурсах организации и их уязвимостях, отслеживать размещение заказов на хакерские атаки на компанию, а также на продажу точек доступа в инфраструктуру или конфиденциальных данных. При этом спектр клиентов, которым требуется такая разведка, значительно расширился после начала специальной военной операции. Как отмечают в F.A.C.C.T., поступают запросы не только на защиту, но и получение данных об организаторах киберинцидентов, их инструментах, инфраструктуре.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft 2.1 т

Российским компаниям крайне важно уделять внимание не только соблюдению общих правил информационной безопасности и устранению последствий киберинцидентов, но также принятию серьезных мер по их предотвращению в будущем, чтобы сохранять конкурентоспособную позицию на рынке, считает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

«
Цифровой след в сети оставляют не только обычные пользователи, но и мошенники, и это обстоятельство можно смело использовать в свою пользу. Уверен, что в ближайшие годы спрос на специалистов киберразведки только продолжит расти, так как, к сожалению, продолжает увеличиваться и число угроз в сети, злоумышленники совершенствуют свои методы, у них появляются новые технологические возможности. Многие ответственные российские компании уже осознали, что вкладывать средства в превентивную защиту от цифровых инцидентов намного выгоднее, чем потом бороться с их серьезными последствиями, и это очень хорошая тенденция, - отметил депутат.
»

Как действует хакер при целевой атаке и как ему помешать? Обзор возможностей сервисов Threat intelligence

В те далекие времена, когда антивирусы только появились и начали массово распространяться на рынках, важной задачей было получение актуальных экземпляров вредоносных программ в "дикой природе". Хотя любой специалист тогда мог взять и прислать экземпляр вируса в лабораторию, но для антивирусных компаний было важно максимально быстро получать новые варианты вредоносного кода. Тогда они расположили у клиентов (по соглашению) и в открытом интернете сеть датчиков, которые собирали сведения о подозрительной активности в приложениях или сетевых протоколах. Это были первые ростки сервисов, которые сейчас принято называть Threat intelligence (TI) или киберразведка. С тех пор TI-сервисы значительно развились и стали незаменимым инструментом для понимания того, как действуют хакеры при целенаправленных атаках, а также для предотвращения таких атак.

Знать в лицо

Изначально антивирусные компании с помощью сервисов технического обслуживания занимались только обновлением сигнатур вредоносных программ, однако стало понятно, что этого недостаточно. Для полноценной защиты корпоративных сетей необходимо также контролировать установку исправлений различных компонент информационных систем, настройки сетевого оборудования и межсетевых экранов, прав доступа и многие другие параметры средств защиты. При этом было понятно, что хакеры различных группировок используют примерно одинаковые приемы и методы проникновения программы для закрепления в системе и проведения своей вредоносной деятельности. Одними антивирусными сигнатурами защититься от всего многообразия вредоносной деятельности было невозможно.

Подходы изменились, когда возникла концепция непрерывных целенаправленных атак (advanced persistent threat - APT). Стало понятно, что защита должна опираться на знания о методах вредоносной деятельности киберпреступных группировок.

Именно тогда и возникла концепция киберразведки, то есть TI-сервиса, владелец которого следит за преступной деятельностью хакерских группировок, анализирует из методы предварительного анализа информации, внедрения и закрепления в информационных системах, а также перемещения внутри взломанной инфраструктуры и совершения вредоносной активности, которая часто связана с воровством данных, нарушением работы информационных систем жертвы или запуском шифровальщика-вымогателя.

Ключевой концепцией TI являются индикаторы компрометации (Indicator of Compromise - IoC), то есть сочетание признаков того, что в информационной системе присутствует хакерская активность одной из известных APT-группировок. Описания IoC готовятся по результатам анализа вредоносной деятельности хакерских групп в других инфраструктурах - для этого используются результаты расследования аналогичных случаев атак. Именно подготовкой таких описаний признаков и занимаются TI-операторы.

Поток IoC обычно поставляется в виде сервиса рассылки предупреждений о вредоносной активности с описанием результатов расследования в виде набора признаков присутствия этой же группировки в инфраструктуре заказчика. Такой поток предупреждений называется TI-фидом, который должен быть подробно разобран и рекомендации которого по защите желательно немедленно выполнить, чтобы либо обезопасить инфраструктуру от атак той же группировки, либо обнаружить следы ее присутствия в системе и приступить к противодействию.

Понятно, что для обработки получаемых от TI-оператора сообщений, необходимо иметь собственную ИБ-службу или центр реагирования на инциденты (security operations center - SOC), которые и будут исполнять рекомендации сервиса и противодействовать хакерам, если признаки их будут обнаружены в информационной системе. Если же такой службы нет, то и TI-сервисы никак не смогут помочь защититься от злоумышленников. В этом случае лучше воспользоваться услугами коммерческих SOC - их специалисты уже сами будут разбираться с TI-фидами для получения актуальной информации о хакерской активности.

Западные аналитики давно следят за развитием рынка TI-сервисов. Компания NTT DATA Americas ежегодно выпускает отчет под названием Global Threat Intelligence Report, в котором как раз и публикует свои представления как о ландшафте существующих угроз, так и о рынке TI-сервисов. Так в 2019 году она опубликовала прогноз, который предусматривал ежегодное увеличение рынка TI-сервисов в мире в среднем на 21,4% в год, а к 2024 году этот рынок во всем мире должен был достигнуть объёма в 6,6 млрд долл. Правда, по состоянию на 2023 год подобные оценки компания уже не приводит - ее аналитики сконцентрировали внимание на развитии ландшафта угроз и рекомендациях клиентам, как от них защититься. В этих рекомендациях использование сервисов киберразведки занимает центральное место, поскольку именно они позволяют защитникам информационных систем знать врага в лицо, чтобы гнать его в шею.

Прогноз компании NTT DATA Americas развития мирового рынка TI-сервисов (2019 г.)

Анатомия атаки

Для описания вредоносной активности хакеров появилась концепция цепочки взлома (Kill Chain), которая определяет этапы проникновения хакеров в информационную систему жертвы. Наибольшую популярность получила матрица американской корпорации MITRE под названием ATT&CK, которая для каждого этапа проникновения в систему предлагала целый набор методов защиты. В ней цепочка взлома определялась следующими этапами:

  • Разведка (Reconnaissance). На этом этапе злоумышленники просто изучают доступные им ресурсы жертвы, их программное обеспечение и методы защиты. На этом этапе для злоумышленников важно получить максимум информации об используемом ПО и уязвимостях в нем. Как только уязвимость будет обнаружена, атака переходит на следующий этап.
  • Проработка (Resource Development). На этом этапе хакеры разрабатывают инструменты для эксплуатации найденных на первом этапе уязвимостей - рассылают фишинговые сообщения, проводят DDoS-атаки или покупают и эксплуатируют инструменты для использования уязвимостей - эксплойты. Цель этой деятельности - перейти на следующий этап.
  • Первичный доступ (Initial Access). Это уже этап вредоносной активности, поскольку могут быть использованы разрушительные эксплойты, выводящие информационные системы из строя. Впрочем, чаще всего первичный доступ для средств защиты проходит незаметно - вход по ворованным учетным данным, исполнение хакерского JavaScript в контексте клиентского браузера или исполнение PHP-инъекции в составе веб-сервера. Для хакера важно добиться незаметного перехода на следующий этап, поэтому разрушительные эксплойты используются редко.
  • Исполнение программы (Execution). Это собственно взлом, в результате которого в контексте атакованной системы выполняется набор команд или специальное приложение, которое и позволяет хакеру взаимодействовать с информационной системой жертвы. Дальше хакер может уже выполнять одно из несколько действий, перечисленных ниже в зависимости от целей его деятельности.
  • Закрепление в системе (Persistence). Это действие по сокрытию своего присутствия в системе с одной стороны и внедрения закладок для последующего входа без прохождения предыдущих этапов - с другой. Не всегда этот этап необходимо выполнять. Например, при входе по ворованным учетным данным сразу закрепиться в системе обычно не получается - нужен следующий этап.
  • Поднятие привилегий (Privilege Escalation). Часто от имени простого пользователя невозможно выполнить закрепление в системе, поэтому хакерам приходится получать права системы, локального администратора или администратора домена. Для этого обычно используются дополнительные эксплойты в зависимости от наличной операционной системы и ее уязвимостей. После получения привилегированных прав хакеры переходят на следующий этап.
  • Отключение защиты (Defense Evasion). Для дальнейшего развития атаки часто требуется выключить используемые инструменты защиты. В некоторых случаях хакерам приходится отключать те самые антивирусные средства, перенастраивать межсетевые экраны и фильтровать сообщения в системных журналах, чтобы его действия оставались незаметными. Однако чаще всего все сводится к следующему этапу.
  • Доступ к учетной информации (Credential Access). Перенастройка прав доступа и заведение собственного пользователя с достаточно высокими полномочиями как правило и позволяет хакерам выполнить закрепление в системе и отключение защиты. Также в этот момент хакер получает возможность устанавливать собственные хакерские (и не очень) инструменты для проникновения в другие элементы инфраструктуры жертвы, такие как контроллер домена или критические для бизнеса системы. Атака переходит на новый этап.
  • Изучение внутренней инфраструктуры (Discovery). Хакер изучает устройство внутренней сети, стараясь найти наиболее ценные для него ресурсы и наметить цели для дальнейшего распространения. Действия на этом этапе сильно зависят от цели проникновения хакера. Если он проник для воровства электронных денег, то он будет искать компьютер бухгалтера, если за данными, то соответствующую базу, если для вымогательства, то ценный актив. Установка внутренних ловушек, которые создают виртуальные машины для каждой из этих целей, позволяет лучше понять задачи хакера.
  • Горизонтальное перемещение (Lateral Movement). На этом этапе хакер уже начинает постепенно захватывать другие внутренние ресурсы компании, чтобы добиться поставленной цели. Этот этап может длиться уже достаточно долго и состоять из нескольких циклов. Именно поэтому важно очень быстро обнаружить подобную деятельность, которая может быть сильно растянута по времени для обеспечения незаметности, проанализировать цель действий хакера и локализовать его.
  • Сбор информации (Collection). Хакер занимается сбором информации, как и во время разведки или изучения внутренней инфраструктуры, однако это уже другая информация - те самые цифровые активы, за которыми хакер и проник в систему: персональные данные, промышленные секреты, учетные записи, конфиденциальная переписка и многое другое. Для хакера важно сначала собрать все данные в единый файл, чтобы быстро его передать на собственные ресурсы. Были случаи, когда для сбора ценных данных хакеры использовали взломанные DLP-системы, установленные у жертвы.
  • Дистанционное управление (Command and Control). Это альтернатива предыдущего пункта для того случая, когда целью хакера является не воровство данных, но вмешательство в работу корпоративной сети. Хакер постепенно получает полный доступ к ресурсам информационной системы жертвы, устанавливая внутрь приложение для скрытого контроля внутренних событий и передачи данных телеметрии в командный центр. На этом этапе обычно атака может находиться достаточно долго - построенная хакером система вообще может перейти в спящий режим или постоянно взаимодействовать с командными серверами хакерской группировки, пересылая минимальный набор наиболее оперативных данных. Тем не менее, возможен и переход на следующие, финальные этапы.
  • Воровство данных (Exfiltration). Это уже финальный этап операции по воровству данных - собранный на предыдущих этапах архив данных передается во-вне, на сервера злоумышленника. Для хакера важно, чтобы факт воровства замечен не был, поэтому он постарается к этому времени максимально отключить системы защиты, чтобы передача во вне ценной информации не была замечена сотрудниками службы информационной безопасности.
  • Воздействие (Impact). Если же целью хакеров является вымогательство или вывод из строя информационной системы, то на этом этапе он как раз и запускает подготовленные для достижения целей вредоносные программы - шифровальщики или логические бомбы. Это уже финальная стадия нападения, после которой ее можно считать завершенной, правда, не без последствий для жертвы.

Не всегда в хакерской атаке присутствуют все перечисленные этапы - это зависит от целей хакеров. Однако современные APT-группировки стараются придерживаться лучших практик и реализуют все - и воровство конфиденциальных данные, и продажу учетных записей, и вмешательство в работу веб-серверов, и под конец шифрование с вымогательством. Это происходит потому, что в мире построена целая индустрия вредоносной киберактивности - каждый из участников группировки занимается своим этапом атаки и заинтересован в его полнейшей реализации и качестве сервиса.

Операторы же TI-сервисов могут для каждого из этапов определить свои признаки компрометации, что позволяет ИБ-отделу клиента выяснить, на каком этапе находится та или иная атака, какие группировки пользуются именно этими методами нападения и какие они обычно преследуют при этом цели. Это информация позволяет более качественно локализовать хакера, а, возможно, даже и деанонимизировать его, то есть помочь обнаружить его и в физическом мире.

Области применения

Следует отметить, что TI-сервисы необходимы только тем компаниям, у которых уже есть служба информационной безопасности или хотя бы ИБ-специалисты, которые смогут получить информацию от оператора и применить её для защиты собственной инфраструктуры: проверить IoC, провести локализацию атаки и восстановление после неё в случае положительного срабатывания IoC, а также перенастроить защиту для отражения дальнейших атак данного типа, причем для каждого полученного индикатора компрометации. С учетом этого и стоит оценивать потребность в приобретении подписки на TI-фиды.

С учетом вышеуказанных оговорок потребность в TI-сервисах сейчас испытают следующие категории потребителей:

  • Субъекты КИИ. Крупнейшим в России сервисом TI является ГосСОПКА. Причем, использование его стало практически обязательным на законодательном уровне для владельцев информационных систем, подпадающих под действие закона №187-ФЗ "О критической информационной инфраструктуре РФ". Отсутствие подключения может привести к юридическим последствиям вплоть до уголовного преследования. Сервис является двусторонним - НКЦКИ, который является корнем иерархической ГосСОПКА, не только сам публикует предупреждения об атаках и рекомендации по защите от них, но и требует присылать в систему сведения об инцидентах. Особенностью сервиса является то, что в случае серьезной атаки специалисты ФСБ, частью которой является НКЦКИ, оставляют за собой право выехать на объект атаки, отразить ее и провести самостоятельное расследование. Причем с использованием средств ОРД и других государственных реестров именно эта система имеет все шансы не только минимизировать последствия атаки, но и обнаружить и наказать виновных.
  • Владельцы информационных систем персональных данных (ИСПДн). В соответствии с изменениями в закон №152-ФЗ "О защите персональных данных граждан РФ", которые вступили в силу 1 сентября 2022 года, операторам персональных данных (а это практически все компании России) необходимо передавать в ГосСОПКА данные об ИБ-инцидентах, происходящих в их ИТ-инфраструктуре. Конечно, это не предполагает использование TI-сервисов НКЦКИ, однако странной кажется такая модель: отправлять в НКЦКИ сведения о своих инцидентах и не получать предупреждения из Центра реагирования по новым атакам. Практически как обмануть таксиста - заплатить и не поехать. К счастью, для небольших компаний, которые все-таки владеют ИСПДн, взаимодействие с ГосСОПКА можно организовать как через коммерческие центры ГосСОПКА, так и через отраслевые - их создание ожидается в ближайшее время, правда, пока только в сферах действия закона №187-ФЗ.
  • Промышленные сети (операционные технологии - ОТ). Есть компании, которые все-таки имеют ОТ-инфраструктуры, но не относятся к КИИ. Например, предприятия пищевой промышленности или ЖКХ. Тем не менее для них сейчас важно обеспечить защиту от современных угроз, чтобы не потерять бизнес или не получить уголовное преследование, например, за диверсию в случае, если хакерам удастся нарушить рецептуру водоподготовки или пищевых продуктов, что приведет к отравлениям людей. Сейчас подобные компании не подпадают под действие закона №187-ФЗ, однако в случае серьезных жертв руководителю вряд ли удастся избежать наказания по другим законам. Регулярно возникают предложения расширить список ключевых промышленных сфер в законе №187-ФЗ, поэтому владельцам таких предприятий стоит заранее построить службы ИБ и подготовиться к подключению сервисов TI.
  • Международный бизнес. Компании, которые имеют представительства по всему миру, в том числе и в России, обычно уже имеют службы ИБ и выполняют требования по защите своих информационных ресурсов, которые предъявляют к ним правительства различных стран. Раньше представительства таких компаний, скорее всего, были подключены к какому-нибудь TI-сервису на международном уровне и даже не знали об этом, получая сведения из штаб-квартиры. Однако сейчас международные операторы TI-сервисов не поддерживают российских клиентов, в то время как атаки на подобные представительства продолжаются. Поэтому филиалам международных компаний логично воспользоваться услугами отечественных TI-сервисов, благо такие предложения есть в достаточном количестве.
  • Малый и средний бизнес. Как уже было сказано, для бизнеса, который не имеет собственной службы ИБ, подключение к TI-сервисам не имеет смысла. Однако им также требуется защищать свои информационные системы. Для этого стоит воспользоваться услугами коммерческих центров реагирования на инциденты (SOC), которые и будут выступать своеобразной внешней (арендованной) службой обеспечения информационной безопасности. При выборе оператора для подобного подключения как раз и стоит обращать внимание на список TI-сервисов, услугами которых пользуется такой SOC. Они должны быть отечественными и адекватными тем вызовам, которые могут возникнуть на предприятии в связи с хакерской атакой.

В целом, можно отметить, что услуги киберразведки нужны практически всем компаниям, просто некоторым - через посредников в виде коммерческих SOC. У нас основным двигателем развития этого рынка является государство, выпуская и ужесточая законодательство в области защиты персональных данных и критической информационной инфраструктуры. В некоторых странах модель развития этого рынка может быть другой - через страховые компании. В этом случае подписка на TI-сервисы и наличие службы ИБ, которая эти сервисы заказывает, является фактором скидки на страхование от киберрисков. В России подобная модель пока не прижилась, хотя регулярно возникают проекты у страховых компаний по страхованию киберрисков.

Отечественные киберразведчики

Сейчас рынок TI-сервисов в России сильно изменился - с него ушли международные игроки, которые занимали на нем подавляющую долю. Рынок освободился, и теперь существующие игроки могут чувствовать себя более свободно. Хотя следует помнить, что крупнейшим игроком здесь является государство в виде ГосСОПКА. С учетом этого фактора можно выделить следующие компании, которые предлагают услуги коммерческих TI-сервисов:

  • BI.Zone ThreatVision. BI.Zone — компания по управлению цифровыми рисками, которая помогает организациям по всему миру безопасно развивать бизнес в цифровую эпоху. Специализируется на подготовке индивидуальных стратегий для сложных проектов на основе более чем 40 собственных продуктов и услуг, а также предлагает простые автоматизированные решения и аутсорсинг для Малый бизнес России|небольших компаний. Компания имеет собственный центр реагирования на киберугрозы BI.Zone-CERT, который также занимается мониторингом вредоносной активности в интернете. Сам же ИТ-сервис BI.Zone ThreatVision предоставляет оперативную аналитическую информацию о новейших угрозах и тенденциях, собранную из множества источников. Все данные обработаны и приведены в удобный формат, который призван помочь клиентам вовремя отреагировать на потенциальные угрозы и подготовиться к отражению нападений.
  • Group-IB Threat Intelligence. Компания Group-IB традиционно занималась помощью в расследовании компьютерных преступлений в банковской сфере. В определенный момент ее специалистами был накоплен достаточно большой опыт в контроле за APT-группировками, который позволил ей составить собственный сервис предупреждения об атаках. Сервис предоставляется в виде подписки и реализует мониторинг, анализ и прогнозирование угроз для организации, её партнёров и клиентов. С помощью сформированной базы данных по APT-группировкам и построенной системы слежения за ними клиенты Group-IB Threat Intelligence могут узнать об атаках на всех этапах цепочки взлома.
  • Kaspersky Threat Intelligence. Сервис является результатом деятельности сети обнаружения вредоносной активности KSN (Kaspersky Security Network). Это один из старых инструментов антивирусной компании, который до сих пор позволяет собирать данные о вредоносной активности в интернете и по результатам ее анализа генерировать предупреждения в виде TI-фида. Сейчас портал Kaspersky Threat Intelligence является сервисом информирования об угрозах и предназначен для оперативного реагирования на инциденты и их эффективного расследования, тем не менее информация, которая на нем содержится, может использоваться в средствах защиты компании при построении сложной корпоративной системы защиты.
  • PT Cybersecurity Intelligence. Компания Positive Technologies специализировалась на создании инструментов для оценки системы защищенности предприятий, и поэтому ее специалисты также изучали методы атаки, который используют хакеры при взломе информационных систем. В результате, сведения, получаемые при помощи анализа вредоносной активности в сети, легли в основу не только инструмента для анализа защищенности, но и соответствующего TI-сервиса. Платформа PT Cybersecurity Intelligence предназначена для управления знаниями об угрозах информационной безопасности на основе бесплатных и коммерческих фидов, а также собственных данных Positive Technologies. Для выявления массовых, целенаправленных и отраслевых атак платформа способна самостоятельно передавать обработанные данные на имеющиеся средства защиты и реагирования.
  • R-Vision Threat Intelligence Platform (TIP). Компания R-Vision c 2011 года занялась разработкой решений и сервисов для построения комплексных систем безопасности предприятий. Её TI-сервис является компиляцией фидов других коммерческих и открытых источников, а также данных из отраслевого центра реагирования ФинЦЕРТ. Он представляет собой централизованную платформу для аналитической работы с данными киберразведки, обеспечивающую сбор, обработку, хранение и анализ данных об угрозах, а также использование этих знаний для выявления и блокировки угроз, реагирования на инциденты и проведения расследований.
  • Securtiy Vision Threat Intelligence Platform (TIP). Компания Security Vision занимается разработкой комплексной платформы обеспечения безопасности для различных предприятий под одноименным названием. В состав этой комплексной системы защиты может быть включен и TI-модуль - Securtiy Vision TIP. Его функционал обеспечивает автоматический сбор IoC из внешних источников, нормализацию полученных данных, обогащение дополнительной информацией, а также постобработку полученных сведений – добавление исключений в настройки средств защиты, выявление индикаторов в инфраструктуре клиента, оповещение заинтересованных лиц и дальнейшее распространение информации.

Таким образом, на рынке TI-сервисов присутствуют самые разнообразные компании - от старейшей антивирусной до новых ИБ-интеграторов. Качество предлагаемых сервисов у них различное, однако практически все они собирают данные из различных коммерческих и открытых источников по уязвимостям, вредоносным программам и методам APT-атак, которые потом предлагают службам ИБ в компаниях для оперативного реагирования и перестройки защиты. Сервисы помогают как выстроить политики обновлений корпоративного программного обеспечения, так и вовремя перестраивать настройки корпоративной сети для отражения актуальных атак.

Заключение

Рисунок 2. Хайп-цикл компании Gartner (2022 г.)

Рынок отечественных сервисов киберразведки уже достаточно развит и будет дальше только совершенствоваться, поскольку основным фактором на нем является государственная политика в области информационной безопасности, которая будет только ужесточаться. При этом сейчас он избавился от жесткой конкуренции со стороны международных сервисов, что в моменте вызвало проблемы у некоторых клиентов, однако это очистило рынок от международного влияния - фактически TI-сервисы были полностью разделены вплоть до блокировки получения информации из международных источников информации о хакерской активности. Впрочем, в России на текущий момент уже построено достаточно собственных центров реагирования на сетевые угрозы, которые обеспечивают хорошую базу для дальнейшего развития рынка сервисов киберразведки.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT