Исследователи из Технологического института Джорджии обнаружили, что цепочка поставок данных о киберугрозах подвержена враждебным действиям, и предложили метод улучшения обмена данными, который, по их мнению, сделает эту цепочку более устойчивой.
Бренден Кербис, научный сотрудник Школы государственной политики Технологического института Джорджии, изложил это предложение в понедельник, отметив, что в январе 2026 года Китай, по-видимому, запретил программное обеспечение в области безопасности, разработанное некоторыми американскими и израильскими фирмами, вероятно, из опасений утечки данных, если местные компании будут использовать иностранное ПО.
«Этот шаг — не просто очередной залп в продолжающейся технологической напряженности между двумя правительствами», — написал он. «Он угрожает расколоть основополагающую практику интернет-кибербезопасности: глобальную экосистему разведданных об угрозах, которая позволяет защитникам по всему миру собирать, анализировать и обмениваться информацией о возникающих атаках и мерах реагирования на киберугрозы, не знающие границ».
По словам других исследователей из этого же учреждения, экосистема уже была слаба до действий Китая.
Они обсудят свою работу на Симпозиуме по сетевым и распределенным системам безопасности (NDSS) в Сан-Диего, где представят доклад под названием «Активное понимание динамики и рисков экосистемы разведданных об угрозах».
Исследователи выделили трех основных участников экосистемы:
- Платформы разведданных об угрозах, такие как VirusTotal и MalwareBazaar;
- Антивирусные компании, которые создают собственные данные об угрозах и инструменты для их использования;
- Сервисы песочниц для вредоносного ПО, предлагающие анализ как услугу (analysis-as-a-service) всем, кто пытается понять поведение бинарного файла.
В докладе отмечается, что разведданные об угрозах — это крупный бизнес, но качество доступной информации невелико, поскольку различные заинтересованные стороны публикуют разные данные.
К такому выводу они пришли, создав «безвредные, но подозрительные бинарные файлы» и передав их 30 поставщикам услуг безопасности. Бинарные файлы содержали код, который позволил исследователям отслеживать, как поставщики делятся этими пакетами.
Этот эксперимент выявил, что 67 процентов поставщиков инфосек проводят анализ недавно обнаруженного вредоносного ПО в песочницах, но только 17 процентов делятся какими-либо собранными с помощью этой методики данными об угрозах. Они также обнаружили, что многие исследователи делятся индикаторами компрометации, но немногие делятся бинарными файлами, которые позволили бы другим исследователям и защитникам лучше понять атаки.
Еще один вывод заключается в том, что небольшое число «связующих поставщиков» (nexus vendors) делятся данными об угрозах больше, чем другие. Хотя эти поставщики очень полезны, другие узкие места в обмене информацией среди участников цепочки поставок замедляют распространение информации — часто на «часы или дни» — и, следовательно, увеличивают время, необходимое для принятия защитниками мер против атак.
Исследователи считают, что не все исследователи данных об угрозах работают одинаково хорошо.
«Наше исследование показало, что, хотя немногие поставщики тщательно анализируют вредоносное ПО, большинство проводят поверхностный анализ и игнорируют файлы, сброшенные исходным бинарным файлом», — написали они, предполагая, что более комплексные методы анализа улучшат цепочку поставок данных об угрозах.
Еще один вывод заключается в том, что некоторые исследователи в области безопасности размещают свою инфраструктуру на одних и тех же IP-адресах в течение многих лет, что помогает враждебным акторам обходить песочницы.
Поэтому исследователи предлагают систему, которая безопасно кодирует данные о происхождении разведданных об угрозах, чтобы заинтересованные стороны чувствовали себя увереннее при их передаче.
Кербис считает, что метод, описанный в статье, предполагает, что сетевые операторы смогут «использовать или фильтровать разведданные об угрозах, соответствующие политике, без необходимости полагаться на страну происхождения».
Если он прав, это может означать, что Китаю нечего бояться иностранных источников разведданных об угрозах — и, возможно, остальным из нас удастся наладить отношения с такими компаниями, как «Лаборатория Касперского».
«Сейчас необходимы структуры управления, которые позволят операторам, поставщикам и исследователям продолжать глобальное сотрудничество, соблюдая при этом несовместимые представления различных правительств о юрисдикционно-связанной идентичности, суверенитете и соблюдении нормативных требований», — написал он.
«Китайские, американские и другие участники (как государственные, так и частные) будут заинтересованы в использовании одной и той же системы происхождения не из альтруизма, а потому, что исключение из проверяемого пула TI операционно затратно в среде угроз, которая остается упрямо глобальной», — написал он, отметив, что реальная проблема носит институциональный, а не технический характер.
«Безопасное происхождение требует транснациональных структур управления, воспринимаемых как легитимные участниками, действующими в рамках конфликтующих государственных мандатов — без этого разведданные об угрозах рискуют превратиться в геополитическую игру с нулевой суммой». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Simon Sharwood
