Компания Facebook, обладающая массивной инфраструктурой и опытом отражения кибератак, создала платформу для обмена информацией, которая, как она надеется, побудит другие крупные компании поделиться информацией об угрозах.

Эта платформа, названная ThreatExchange, уже имеет в качестве партнеров такие компании, как Pinterest, Yahoo, Tumblr, Twitter, Bitly и Dropbox. Партнерство бесплатно, и большая часть нагрузки ложится на инфраструктуру самой Facebook. Разработчики платформы также учли ряд тонких моментов, связанных с конкурентоспособностью и оценкой рисков, которые обычно сопутствуют обмену информацией об угрозах. В ThreatExchange встроены опции по контролю приватности, которые позволяют не только санировать информацию, предоставляемую участниками проекта, но и делиться данными со всем сообществом, а не только с избранными группами.

В дополнение к информации об угрозах, предоставляемой участниками, платформа также собирает информацию из открытых источников. Марк Хеммель (Mark Hammell), руководитель отдела развития защитной инфраструктуры Facebook, не раскрыл ни одного такого источника, сославшись на временные юридические ограничения. В дальнейшем Facebook гомогенизирует форматы данных, поступающих из этих источников, и сделает их доступными через ThreatExchange.

«Мы сможем воспользоваться помощью огромного сообщества независимых ИБ-исследователей, предоставив им доступ к нашей платформе», — заявил Хеммель.

Эксперт надеется, что к числу партнеров платформы скоро присоединятся и другие крупные компании. К примеру, Microsoft разработала свою информационную платформу Interflow, а ФБР год назад заявило о выпуске рассекреченной версии своего депозитария зловредов в надежде стимулировать обмен данными об угрозах между госорганами и частными компаниями.

«Если бы большинство крупнейших интернет-гигантов делилось информацией об обнаруженных и отраженных ими атаках, Интернет в целом стал бы гораздо безопаснее, — заявил Хеммель. — Мы хотим привлечь больше крупных компаний в качестве участников платформы, а в дальнейшем надеемся сотрудничать также с малыми предприятиями и с отдельными исследователями. Мы планируем создать форум, на котором можно будет с легкостью делиться данными об атаках и угрозах со всеми, кто захочет их получить».

«Мы понимаем, что любая проблема, затрагивающая Интернет, в итоге затрагивает и наши продукты, — добавил Хеммель. — Суть в том, что чем больше наш вклад в решение больших проблем Интернета, тем безопаснее он станет, да и на качестве наших продуктов это скажется положительно».

ThreatExchange поддерживает обмен посредством API; IT-специалисты могут получать данные об угрозах через API и на их основе создавать сигнатуры и другие защитные решения. Участникам проекта предоставлена возможность делиться сэмплами зловредов, списками вредоносных URL и другими индикаторами компрометации. При этом они смогут видеть лишь данные, но не информацию об источнике, хотя всем будет доступен список участников обмена.

«Вы сможете увидеть списки вредоносных URL или метаданные, но вы не сможете определить, откуда они взяты; данные лишены всех признаков принадлежности», — пояснил Хеммель. Опции контроля приватности позволяют участникам публиковать такую информацию об утечках, как список доменов, задействованных в атаке, или же хэши зловредов, ограничивая при этом круг посвященных. Одна из этих опций, по словам представителя Facebook, предусматривает индивидуальный запрет на распространение информации за рамками списка конкретных организаций.

«Классическим примером является расследование атаки, направленной лишь против вас и пары других компаний, — поясняет Хеммель. — Вы можете вести расследование совместными усилиями и делиться данными, но не считаете нужным привлекать других участников, так как это может привлечь к ним внимание атакующего или же повредить расследованию, потому что стороннее вмешательство в инфраструктуру может нарушить весь ход работ. Для таких сценариев и была предусмотрена подобная опция».

Хеммель добавил, что платформа бесплатна и таковой ее и планируют оставить.

«Мы хотим, чтобы платформа дала людям возможность делиться тем, чем они хотят поделиться», — подытожил эксперт.

Категории: Кибероборона