Мы проанализировали мировой и российский рынок сервисов и платформ Threat Intelligence, приведя краткую характеристику коммерческих продуктов от ведущих вендоров, а также популярных решений с открытым исходным кодом.
- Введение
- Данные об угрозах, или фиды (Threat Intelligence Feeds)
- Что такое киберразведка (Threat Intelligence)?
- Мировой рынок платформ Threat Intelligence
- Российский рынок платформ Threat Intelligence
- Обзор отечественного рынка коммерческих решений и сервисов Threat Intelligence
- 6.1. Group-IB Threat Intelligence
- 6.2. Kaspersky Threat Intelligence
- 6.3. PT Cybersecurity Intelligence
- 6.4. R-Vision Threat Intelligence Platform
- Обзор зарубежного рынка коммерческих решений и сервисов Threat Intelligence
- 7.1. Anomali Threat Intelligence Platform
- 7.2. Cisco Threat Intelligence Director
- 7.3. Cisco Threat Response
- 7.4. ESET Threat Intelligence
- 7.5. GOSINT
- 7.6. EclecticIQ Threat Intelligence Platform
- 7.7. Fujitsu Cyber Threat Intelligence (Threat 360)
- 7.8. IBM X-Force Threat Intelligence
- 7.9. Palo Alto Networks AutoFocus Threat Intelligence Service
- 7.10. ThreatConnect Threat Intelligence Platform
- 7.11. ThreatQuotient Threat Intelligence Platform
- Обзор решений и сервисов Threat Intelligence с открытым исходным кодом
- Выводы
Введение
Согласно статистике, количество киберкриминальных угроз постоянно растёт. Например, компания The Herjavec Group предсказывает в отчёте «2019 Official Annual Cybercrime Report», что в конце 2020 — начале 2021 года каждые 11 секунд какая-нибудь организация будет подвергаться атакам вымогателей (ransomware). По этим оценкам можно судить и о вредоносных программах в целом. Угроз, которым следует уделить внимание, становится настолько много, что большинство из них остаётся без внимания. Другой проблемой является наличие сложных и целевых атак, которые обходят традиционные средства защиты, но могут быть обнаружены по некоторым прямым и косвенным признакам, таким как взаимодействие с известными серверами ботнетов.
В итоге оказывается, что государственные и частные организации остро нуждаются в актуальных знаниях о существующих или новых угрозах. В состав этих знаний должны входить контекст, механизмы, индикаторы компрометации, последствия и рекомендации, которые могут быть использованы при принятии решений по реагированию.
Платформа киберразведки (Threat Intelligence ) способна в режиме реального времени накапливать вышеуказанную информацию о возможных угрозах из различных источников (коммерческих и бесплатных, закрытых и открытых, государственных и частных), классифицировать её и производить с ней различные операции, включая выгрузку в средства защиты и SIEM-системы. В случае возникновения инцидента платформа предоставляет полный контекст происходящего, что позволяет уменьшить время реакции на инцидент и блокировать источник атаки.
Какова главная причина, по которой организации отдают предпочтение платформам Threat Intelligence, а не обрабатывают знания об угрозах вручную? Дело в том, что использование платформы обеспечивает им квалифицированный, объективный и стратегический взгляд на угрозы (APT-группировки, инциденты и многое другое), а также позволяет собрать воедино индикаторы компрометации и распространить полученную информацию на имеющиеся средства защиты.
Стоит отметить, что процесс Threat Intelligence неразрывно связан с процессом Threat Hunting — проактивной деятельности по поиску, обнаружению и локализации угроз, которые обходят существующие средства защиты. Threat Hunting представляет собой преимущественно ручной процесс, в рамках которого аналитик обрабатывает большие объёмы сведений в поисках признаков компрометации. Это отличает «охоту на угрозы» от обычных средств защиты, которые работают в соответствии с известными шаблонами. Threat Hunting нацелен на поиск в тех же самых источниках данных того, что ещё неизвестно, но могло произойти согласно гипотезе аналитика. Платформа для Threat Hunting является набором разнородных решений и технологий, в состав которого помимо прочего входит и киберразведка.
Формат Threat Intelligence активно обсуждается в течение последних пяти лет, и на рынке уже сформировалось заметное количество предложений. Соответствующие инструменты в том или ином виде предлагают традиционные вендоры, занимающиеся информационной безопасностью в целом, а также узкоспециализированные компании, сферу деятельности которых составляют только решения класса Threat Intelligence.
Данные об угрозах, или фиды (Threat Intelligence Feeds)
Главным элементом платформы Threat Intelligence являются потоки данных, представленные в виде индикаторов компрометации (Indicators of Compromise, IoC). Они представляют собой признаки, по которым можно обнаружить угрозу безопасности: IP- и URL-адреса, связанные с вредоносной активностью, хеш-суммы вредоносных файлов и т. д. Последовательность индикаторов компрометации из одного источника принято называть «фидом» (от англ. feed — «подача материала, питание»). На данный момент доступны как бесплатные, так и платные базы фидов; обычно их распространением (продажами) и занимаются вендоры.
Вместе с тем очевидным недостатком фидов является отсутствие контекста, ведь «сырые» данные не позволяют получить ответы на главные вопросы: какова связь индикаторов компрометации с конкретными атаками? какое значение они имеют в рамках инфраструктуры злоумышленника? можно ли их отнести к конкретному типу вредоносных файлов? Для этого нужно проводить анализ связей между получаемыми и имеющимися данными, что вследствие больших объёмов сведений является весьма трудозатратной работой — которая к тому же часто выполняется вручную, то есть об эффективности не может быть и речи.
С подобного рода задачами могут справиться платформы Threat Intelligence, предназначенные для анализа и обработки данных об угрозах и позволяющие в автоматическом режиме получать фиды и обогащать их контекстом. Они помогают специалистам по ИБ предотвращать атаки на ранних стадиях (например, выявляя сетевое взаимодействие с известными серверами бот-сетей или блокируя адреса фишинговых доменов на почтовом сервере организации), а также извлекать максимальную пользу из получаемых сведений.
Зачастую зрелые в плане информационной безопасности организации склонны к покупке фидов у конкретного поставщика (Group-IB, Palo Alto, ESET, Kaspersky, FireEye и др.), ведь это позволяет получить более специфичные данные, релевантные для конкретной инфраструктуры. Другим вариантом является использование платформы Threat Intelligence, которая не только применяет «свои» фиды, но и взаимодействует со множеством других источников, в совокупности составляющих релевантную и актуальную картину угроз для конкретной организации.
Что такое киберразведка (Threat Intelligence)?
Threat Intelligence, или Cyber Threat Intelligence (разведка в области киберугроз), если описать это явление простыми словами, представляет собой строго структурированную информацию и знания, благодаря которым организация имеет чёткое представление о киберугрозах, с которыми она может столкнуться.
Threat Intelligence можно классифицировать следующим образом: по способу получения (например, из открытых источников или путём обмена информацией между специалистами), по типу данных (фиды, представленные в виде хешей вредоносных файлов, DDoS-фиды, C&C-фиды, отчёты о деятельности APT-группировок и др.), а также по влиянию на уровень принятия решений (тактические, технические и стратегические).
На последнем способе классификации стоит остановиться подробнее, ведь зачастую процесс Threat Intelligence воспринимается как сбор фидов различных типов и интеграция их в имеющиеся платформы Threat Hunting, Incident Response, SIEM-системы и т.д. — в то время как более приоритетным вопросом являются решения, принимаемые на основе данных киберразведки.
Рисунок 1. Классификация Threat Intelligence по влиянию на уровень принятия решений
Как видно из рисунка, решения тесно взаимосвязаны между собой и каждое предыдущее влияет на последующее.
Стратегический уровень в большей степени связан с решениями, принимаемыми руководством. На данном уровне рассматриваются отчёты, предоставляемые подразделением информационной безопасности, формируются цели и стратегии, а также новые задачи и нужды (люди, процессы и инструменты).
На уровне тактических решений необходимо оперировать тактиками, техниками и процедурами (TTP), которые можно получать из MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) — базы знаний или матрицы, описывающей поведение злоумышленников.
Операционный уровень представляет собой конкретные технические меры, которые принимаются на основе входящих данных (индикаторов компрометации). На рисунке 2 можно увидеть десять самых распространённых индикаторов, используемых для обнаружения вредоносной активности.
Рисунок 2. Десять самых распространённых индикаторов компрометации
Самыми распространёнными они являются потому, что с ними просто работать и их легко получать: достаточно подписаться на бесплатные фиды и подгружать их в SOC и системы анализа. На рисунке 3 можно увидеть пирамиду, которая отображает уровни в зависимости от сложности получения информации (верхний уровень — сложнее всего; нижний — просто).
Рисунок 3. Пирамида индикаторов компрометации в зависимости от сложности получения данных
Сам процесс Threat Intelligence был подробно рассмотрен здесь. Стоит лишь напомнить, что типичный цикл, как правило, состоит из пяти ключевых этапов: планирование, сбор, обработка, подготовка и распространение.
Рисунок 4. Цикл Threat Intelligence
Итак, Threat Intelligence — это в первую очередь осведомлённость специалистов по информационной безопасности, позволяющая внедрять и реализовывать качественные, актуальные защитные приёмы и меры по реагированию на инциденты. Если отталкиваться от термина «киберразведка», то можно легко провести параллель с обычной разведкой — происходит сбор данных из большого количества источников, а затем ранжирование и оценка релевантности помогают принять ключевое решение.
Ценность и эффективность Threat Intelligence измеряется непосредственно через использующие её процессы, а качество киберразведки прямо влияет на скорость и точность принятия решений по информационной безопасности.
Мировой рынок платформ Threat Intelligence
Как уже говорилось, основным компонентом платформы Threat Intelligence (помимо возможности анализа и выявления корреляций с внутренними данными организации) является перечень фидов, которыми она обладает. При внедрении платформы необходимо провести исследование по выбору подходящих поставщиков фидов, которые отличаются способом предоставления данных, категорией поступающей информации, ценой, релевантностью сведений применительно к конкретной организации, а также объёмом и форматом материалов.
Типичная платформа Threat Intelligence позволяет в автоматическом режиме производить весь цикл работ с фидами: разбор, сортировку, сравнение и хранение. Она также помогает приоритизировать источники данных, сопоставлять сведения об угрозах со внутренней телеметрией и формировать события информационной безопасности.
Одни платформы Threat Intelligence просто принимают, хранят и разбирают фиды, другие — более развитые и функциональные — предоставляют расширенные возможности по интеграции, реагированию, работе с источниками данных, расширенному поиску, а также дополнительным запросам во внешние системы.
На основании данных об исследовании рынка платформ Global Threat Intelligence ожидается, что в течение прогнозируемого периода (с 2019 по 2024 год) мировой рынок платформ Threat Intelligence в среднем будет расти на 21,4% в год и достигнет объёма в 6,6 млрд долларов США. Неуклонный рост рынка платформ спровоцирован активным внедрением информационных технологий как в корпоративную, так и в личную жизнь (что провоцирует разрастание угроз безопасности), а также требованиями со стороны регуляторов.
Рисунок 5. Прогноз роста международного рынка платформ Threat Intelligence от компании Market Research Future
Хотя рынок платформ Threat Intelligence ещё молод, за последние пять-семь лет он вырос до таких размеров, каких никто не мог предположить. Появилась серьёзная конкуренция, и стало понятно, что предлагаемые решения могут иметь различную форму в зависимости от требований потребителя. Впрочем, точнее будет сказать, что потребитель выбирает предпочтительную платформу исходя из своих собственных характеристик: зрелости процессов информационной безопасности, количества сотрудников, отвечающих за киберзащиту организации, наличия или отсутствия средств наподобие SIEM- или IRP-системы, размера инфраструктуры и многого другого.
Темп развития мирового рынка коммерческих платформ Threat Intelligence диктуют как известные крупные вендоры, выпускающие решения в области информационной безопасности (IBM, Palo Alto Networks, FireEye, AT&T, Cisco и другие), так и компании, которые специализируются на разработке и развитии платформ Threat Intelligence и сопутствующих средств (Recorded Future, ThreatQuotient, Anomali и прочие). Лидерами в сегменте являются такие вендоры, как LogRhythm, AT&T, ReversingLabs, FireEye, IBM X-Force и Anomali. В рамках обзора описаны не все представленные на рынке продукты класса Threat Intelligence, т. к. многие из них объединяют в себе целый класс решений.
Российский рынок платформ Threat Intelligence
На российском рынке платформ Threat Intelligence ситуация схожа с зарубежной, но в уменьшенных масштабах, если судить по количеству представленных решений. Сам рынок находится на стадии развития, и ряд крупных вендоров, имеющих сильные компетенции в исследовании и обнаружении угроз, уже представил свои разработки:
- Group-IB Threat Intelligence (Group-IB);
- Kaspersky Threat Intelligence («Лаборатория Касперского»);
- PT Cybersecurity Intelligence (Positive Technologies);
- R-Vision Threat Intelligence (R-Vision).
Обзор отечественного рынка коммерческих решений и сервисов Threat Intelligence
Group-IB Threat Intelligence
Решение Group-IB Threat Intelligence предоставляется в виде сервиса по подписке и реализует мониторинг, анализ и прогнозирование угроз для организации, её партнёров и клиентов. С помощью сформированной базы данных о злоумышленниках и системы слежения за ними можно узнать о будущих атаках на этапе их подготовки. Наряду с потоком данных об угрозах решение предоставляет карту активности атакующих и инструменты для атрибуции рисков. Обрабатывая и анализируя данные из множества источников, Group-IB Threat Intelligence предоставляет персонализированную информацию, необходимую для отражения актуальных угроз, ранжируя предоставляемые сведения по уровню значимости: стратегические, оперативные, тактические.
Стратегическая информация включает, как правило, общие глобальные исследования и обзоры трендов, атак, APT-групп и применяемых ими инструментов, а также может содержать аналитику по запросу. Оперативные данные — это целевые исследования о новом программном обеспечении и сервисах, применяемых злоумышленниками, о выявлении новых APT-групп, информация об утечках и т.д. Тактические данные представляют собой сведения о скомпрометированных учётных записях, банковских картах, атакованных мобильных телефонах, а также файлы настроек вредоносных программ, подозрительные IP-адреса и многое другое.
Group-IB Threat Intelligence позиционируется как решение, которое основано не на управлении индикаторами компрометации, а на информации о тех, кто стоит за каждой атакой.
Рисунок 6. Интерфейс Group-IB Threat Intelligence
Основные преимущества:
- обнаружение угроз, которые были пропущены существующими решениями,
- ранжирование рисков и атакующих по релевантности и уровню значимости,
- атрибуция и обогащение «сырых» данных об угрозах,
- тестирование и улучшение существующей системы безопасности для защиты от реальных угроз,
- интеграция с существующими решениями и системами с помощью STIX / TAXII / API.
Kaspersky Threat Intelligence
Портал Kaspersky Threat Intelligence (далее — «Kaspersky TI») является сервисом информирования об угрозах и предназначен для оперативного реагирования на инциденты и их эффективного расследования. Его пользователям предоставляются постоянно обновляемые данные по файлам, URL- и IP-адресам, доменам, контрольным суммам, названиям угроз, статистике и активности. Благодаря этому специалисты по реагированию на инциденты могут оперативно расставлять приоритеты, отслеживать хронологию, находить объекты инфраструктуры, являющиеся целями злоумышленников, а также изучать тактику и методы киберпреступников для определения контрмер.
Kaspersky TI решает вышеуказанные задачи посредством совокупности сервисов: потоки данных об угрозах, индивидуализированные отчёты (для конкретных компаний, для конкретных стран, для финансовых организаций, а также об APT-угрозах), Threat Lookup, Cloud Sandbox и CyberTrace. На основе единого портала специалист по реагированию на инциденты получает не только актуальную информацию об угрозах, но и результаты глобальных исследований источников целевых атак, что позволяет приоритизировать сигналы внутренних систем, уменьшать время реагирования на инциденты, предотвращать компрометацию объектов инфраструктуры и повышать качество расследования инцидентов.
Рисунок 7. Интерфейс Kaspersky Threat Intelligence Portal
Основные преимущества:
- глубокий поиск индикаторов компрометации, позволяющий приоритизировать атаки, распределять ресурсы и устранять в первую очередь наиболее значимые угрозы,
- актуальные данные, предоставляющие возможность адаптировать средства защиты и стратегию безопасности для противодействия конкретным рискам и целевым атакам,
- единый портал, обеспечивающий централизованное хранение данных об угрозах, а следовательно — эффективное реагирование на инциденты и их расследование.
Подробно о Kaspersky TI рассказано в нашей статье «Обзор сервисов Kaspersky Threat Intelligence для SOC».
PT Cybersecurity Intelligence
Платформа PT Cybersecurity Intelligence (далее — «PT CybSI») предназначена для управления знаниями об угрозах информационной безопасности на основе бесплатных и коммерческих фидов, а также собственных данных вендора. PT CybSI позволяет автоматически накапливать, приводить к требуемому виду и обогащать индикаторы компрометации, поступающие из внешних источников и из внутренних средств защиты. Для выявления массовых, целенаправленных и отраслевых атак платформа способна самостоятельно передавать обработанные данные на имеющиеся средства защиты и реагирования.
За счёт интеграции с продуктами компании Positive Technologies и других вендоров с помощью API, а также благодаря автоматической выгрузке данных об угрозах на имеющиеся средства защиты платформа PT CybSI способна решить проблемы, связанные с пропуском атак, ложными срабатываниями, ручным разбором фидов.
Основные преимущества:
- получение актуальных общедоступных и релевантных для конкретной организации сведений об угрозах,
- повышение эффективности используемых средств защиты,
- выявление неизвестных и современных угроз за счёт постоянного пополнения фидов Positive Technologies, полученных исходя из результатов расследований инцидентов и ретроспективного анализа событий информационной безопасности,
- наличие API для интеграции с решениями компании Positive Technologies и других вендоров, а также с внутренними средствами защиты.
R-Vision Threat Intelligence Platform
R-Vision Threat Intelligence Platform (далее — «R-Vision TIP») представляет собой централизованную платформу для аналитической работы с данными киберразведки, обеспечивающую сбор, обработку, хранение и анализ данных об угрозах, а также использование этих знаний для выявления и блокировки угроз, реагирования на инциденты и проведения расследований. R-Vision TIP поддерживает работу с коммерческими и бесплатными источниками, а также с данными от ФинЦЕРТ. Продукт в автоматическом режиме собирает данные из подключённых источников, осуществляет их нормализацию и дедупликацию, приводит к единой модели представления.
Рисунок 8. Схема работы R-Vision Threat Intelligence Platform
Помимо самих индикаторов R-Vision TIP также подгружает связанные с ними отчёты, информацию об уязвимостях и вредоносных программах, анализирует взаимосвязи индикаторов, позволяя аналитику получить целостное представление об угрозе. За счёт интеграции с внешними сервисами осуществляется обогащение индикаторов дополнительным контекстом (поддерживаются такие сервисы, как VirusTotal, Shodan, RiskIQ, Whois и пр.). Обработанные и отсортированные данные можно автоматически выгрузить на внутренние средства защиты для оперативной блокировки угроз; поддерживается оборудование Cisco, Palo Alto Networks, Check Point и других производителей. Также продукт обеспечивает текущий и ретроспективный мониторинг индикаторов в событиях SIEM с помощью соответствующих сенсоров (QRadar и ArcSight), создавая оповещение в случае «детекта». Наконец, в платформе R-Vision TIP предусмотрена возможность выполнения в автоматическом режиме всей последовательности операций с индикаторами компрометации — от сбора до блокировки средствами защиты.
Рисунок 9. Интерфейс R-Vision Threat Intelligence Platform
Основные преимущества:
- агрегация и хранение данных об угрозах из множества источников в единой структурированной базе,
- поддержка интеграции с широким набором сервисов для обогащения данных непосредственно из интерфейса платформы,
- автоматизация рутинных операций с индикаторами компрометации и сценариев работы (сбор, обогащение, мониторинг, оповещение, распространение на средства защиты),
- интеграция с SIEM и средствами обеспечения безопасности для автоматического мониторинга, обнаружения и блокировки угроз,
- интеграция с платформой R-Vision IRP для обогащения поступающих инцидентов контекстом.
Узнать больше об R-Vision TIP можно из нашей статьи «Обзор платформы управления данными киберразведки R-Vision Threat Intelligence Platform».
Обзор зарубежного рынка коммерческих решений и сервисов Threat Intelligence
Anomali Threat Intelligence Platform
Anomali Threat Intelligence Platform позволяет организациям создавать единую централизованную среду для сбора, интеграции и анализа всей информации об угрозах, а также для управления и обмена ею. Платформа состоит из двух основных компонентов — ThreatStream и Match.
Anomali ThreatStream является своего рода пунктом управления для аналитика информационной безопасности и важным инструментом в SOC. ThreatStream накапливает аналитические данные об угрозах как из бесплатных источников, так и из премиум-каналов сторонних поставщиков через Anomali APP Store, а затем обрабатывает эти сведения, обогащает их, добавляет контекст и сопоставляет с ними индикаторы компрометации. Компонент поддерживает интеграцию с другими системами (SIEM, NGFW и др.) для мониторинга угроз и блокирования вредоносной активности, а также предоставляет ряд инструментов для реагирования на угрозы: песочницу, извлечение индикаторов из подозрительных сообщений электронной почты для борьбы с фишингом, обнаружение злоупотребления брендом.
Рисунок 10. Интерфейс Anomali ThreatStream
Anomali Match получает данные об угрозах от ThreatStream, интегрируется с источниками журналов (Syslog, SIEM, AWS S3, NetFlow / sFlow) и другими системами для обмена информацией и сохраняет записи протоколов за последний год или более, не допуская дублирования. Компонент постоянно анализирует исторические данные на предмет новых и существующих угроз безопасности, выявляя уязвимости. При обнаружении представляющих интерес индикаторов Anomali Match может автоматически отправлять уведомления в SIEM или IRP для соответствующего реагирования.
Рисунок 11. Интерфейс Anomali Match
Основные преимущества:
- централизованный сбор, оптимизация, интеграция и передача данных об угрозах,
- определение существующих проблем безопасности и поиск новых угроз с помощью постоянного сопоставления с индикаторами компрометации,
- поддержка алгоритмов генерирования доменов (DGA) при обнаружении вредоносной активности,
- стратегический анализ рисков за счёт выявления инициаторов угроз и проводимых злоумышленниками кампаний.
На текущий момент Cisco не является классическим игроком рынка платформ Threat Intelligence (скорее — генератором данных для них за счёт своих сервисов Talos, Threat Grid, Umbrella, Spamcop, PhishTank и т.п.), однако имеет в своём портфолио ряд решений, которые могут быть использованы в качестве квази-TIP. Это — надстройка Threat Intelligence Director над платформой Cisco Firepower, система расследования инцидентов Cisco Threat Response и разработанное службой ИБ Cisco решение с открытым исходным кодом GOSINT.
Cisco Threat Intelligence Director
Cisco Threat Intelligence Director (далее — «Cisco TID») принимает решение о возникновении новой угрозы или аномалии на основе как сведений из внешних источников, так и данных, получаемых от сенсоров системы безопасности Cisco. Роль внешних поставщиков информации могут играть сторонние платформы Threat Intelligence, различные источники фидов и отраслевые организации. В качестве сенсоров могут выступать Cisco Firepower NGFW (межсетевой экран нового поколения), Cisco Firepower NGIPS (система предотвращения атак нового поколения), Cisco AMP (система борьбы с вредоносным кодом).
Рисунок 12. Схема работы Cisco Threat Intelligence Director
Cisco TID работает полностью в автоматическом режиме, накапливая данные об угрозах в форматах STIX, TAXII или CSV. Его необходимо один раз настроить, а дальше он сам будет подгружать новые данные об угрозах и сравнивать их с событиями, получаемыми от сенсоров. Продукт позволяет работать со следующими типами индикаторов компрометации: IP- и URL-адреса, хеши файлов, адреса доменов и электронной почты. Также можно устанавливать срок их жизни (TTL), который определяет актуальность индикаторов в днях. В случае обнаружения признаков нелегитимной активности на основе индикаторов компрометации, полученных от внешних источников, Cisco TID добавляет соответствующие записи об инцидентах, по которым уже проводится расследование.
Рисунок 13. Внешние источники данных об угрозах для Cisco Threat Intelligence Director
Основные преимущества:
- бесплатное решение, являющееся расширением возможностей системы управления Cisco Firepower Management Center (версия 6.2.1 и далее),
- автоматическое обнаружение угроз безопасности и аномалий,
- анализ и корреляция большого объёма данных в режиме реального времени без участия других систем безопасности,
- автоматизация рутинных задач специалистов по безопасности,
- обмен информацией об угрозах на основе открытых стандартов STIX, TAXII или CSV,
- взаимодействие со множеством различных внешних источников данных об угрозах, позволяющее расширить возможности средств защиты Cisco.
Cisco Threat Response
Threat Response — это ещё одно бесплатное решение Cisco, которое позволяет проводить расследования инцидентов в инфраструктуре, построенной преимущественно на решениях этого ИБ-вендора. В то же время оно также выполняет и функции TI-платформы, обогащая события безопасности за счёт доступа к различным источникам, их визуализации и выстраивания взаимосвязей между ними с целью проведения экспресс-анализа инцидента, обогащения собранных артефактов и отображения пострадавших узлов корпоративной сети.
Рисунок 14. Пример взаимосвязей в Cisco Threat Response
ESET Threat Intelligence
ESET Threat Intelligence восполняет пробелы в знаниях о киберугрозах, которые специалисты по безопасности получают из собственных сетей компании. Сервис открывает доступ к информации о киберпространстве, которую ESET собирает по всему миру.
Решение использует данные, собранные с более чем ста миллионов датчиков, и отправляет их в облачную систему защиты ESET через ESET LiveGrid. Далее информация передается в центры исследований и разработок ESET, которые действуют по всему миру и специализируются исключительно на кибербезопасности.
Основные источники данных ESET Threat Intelligence:
- Свыше ста миллионов датчиков
- Облачная система ESET LiveGrid
- Песочницы ESET
- База данных ДНК сигнатур ESET
- Трекер ботнетов
- Внешние источники (VirusTotal и пр.)
Из плюсов:
- Ранее оповещение о целевых атаках и вирусных кампаниях
- Отслеживание ботнетов для оперативного реагирования
- Автоматический анализ подозрительных файлов
- Поставка данных в SIEM-систему
- Доступ к API
Рисунок 15. Дашборд ESET Threat Intelligence
GOSINT
GOSINT — это один из многочисленных open source-проектов Cisco, который был инициирован её внутренней службой безопасности. Он предназначен для сбора и унификации структурированной и неструктурированной информации об угрозах. GOSINT собирает индикаторы компрометации из различных источников, проверяет их, очищает от «мусора» и затем подаёт на вход используемых в организации решений по управлению Threat Intelligence. Это могут быть как коммерческие разработки, так и свободно распространяемые. Среди поддерживаемых источников — OpenPhish, AlienVault OTX, Abuse.ch, Emerging Threats, malc0de, SANS ICS, Cisco Talos, pastebin и многие другие.
Рисунок 16. Собранные GOSINT индикаторы
EclecticIQ Threat Intelligence Platform
В платформе EclecticIQ Threat Intelligence основной акцент сделан на кооперации аналитиков информационной безопасности с помощью набора процессов в рамках единого рабочего пространства. Таким образом специалисты подразделений по реагированию на инциденты (SOC, CERT и т.д.) могут быстро получать полезные и релевантные сведения об угрозах, взаимодействовать с другими аналитиками, обновлять средства управления безопасностью организации и обмениваться информацией.
EclecticIQ Threat Intelligence Platform содержит следующие компоненты: функциональный API, позволяющий производить интеграцию исходящих и входящих данных; систему оповещений на основе политик, логики расширенного поиска и матриц корреляции сетевых графиков; модули для генерации различных отчётов; инструменты поиска и визуализации, позволяющие обнаружить скрытые корреляции между большими наборами данных. Платформа может быть представлена в реализации on-premise (в локальной инфраструктуре заказчика), в виде облачного решения или в гибридном исполнении.
Рисунок 17. Построение графов связей в EclecticIQ Threat Intelligence Platform
Основные преимущества:
- расширение возможностей аналитиков информационной безопасности и повышение эффективности их действий за счёт единого рабочего пространства, позволяющего проводить анализ угроз в режиме реального времени,
- обмен информацией об угрозах между заинтересованными сторонами и существующими средствами безопасности посредством API,
- обмен данными между различными участниками Threat Intelligence на основе форматов STIX и TAXII,
- релевантная сортировка данных для фокусировки на наиболее актуальных угрозах,
- возможность строить графы связей индикаторов компрометации и внутренних артефактов, позволяющие просматривать связи между сущностями на основе их общих характеристик, помогая поместить каждый фрагмент информации в правильный контекст.
Fujitsu Cyber Threat Intelligence (Threat 360)
Threat 360 работает в проактивном режиме, чтобы заблаговременно предупреждать организации о новых угрозах и сохранять непрерывность бизнеса, а эксперты Fujitsu помогают принимать контрмеры для снижения риска нарушения ИБ, в том числе — путём круглосуточного мониторинга инфраструктуры организации.
Отслеживание и оценка имеющихся угроз, проводимые экспертами вендора, а также подготовка аналитических данных из многих источников (собственные ресурсы организации-заказчика и стратегические технологические партнёрства, лидирующие на рынке инструменты сторонних разработчиков и специализированные форумы) позволяют определить возможные последствия инцидентов, после чего организация получает сведения об уровнях своих рисков и рекомендуемых контрмерах. Также в рамках Threat 360 предоставляются система ранних предупреждений, ежедневные сводные записи, еженедельные информационные сообщения и ежемесячные звонки, что создаёт целый набор каналов распространения данных о возможных угрозах.
Рисунок 18. Взаимодействие средств защиты от компании Fujitsu
Основные преимущества:
- объединение аналитических данных с целью определения уровня угроз информационной безопасности,
- широкий набор каналов распространения информации об угрозах,
- получение рекомендаций и комплексных результатов исследований в виде системы ранних предупреждений.
IBM X-Force Threat Intelligence
IBM X-Force Threat Intelligence (далее — «IBM X-Force») базируется на облачной платформе IBM X-Force Exchange, которая позволяет оперативно исследовать актуальные проблемы ИБ, накапливать аналитические данные и взаимодействовать с профессиональным сообществом. Платформа оперирует предоставляемыми исследовательской группой IBM X-Force результатами работы специалистов и автоматических средств анализа с ежеминутными обновлениями. Благодаря этому клиенты могут действовать опережающе и блокировать новые угрозы.
С помощью платформы IBM X-Force специалисты по информационной безопасности получают возможность общаться с сотрудниками компаний со всего мира, обмениваясь индикаторами компрометации, поддерживая судебные разбирательства, добавляя контекст к угрозам. Она легко интегрируется с решениями независимых поставщиков посредством поддержки STIX и TAXII, а также позволяет интегрировать продукты линейки IBM Security с полезными аналитическими данными, полученными из X-Force Exchange.
Рисунок 19. Сводная панель платформы X-Force Threat Intelligence
Основные преимущества:
- быстрое получение и распространение данных об угрозах,
- единая платформа с инструментами совместной работы для обмена данными об угрозах в рамках профессионального сообщества,
- удобный интерфейс для структурирования информации о найденных угрозах,
- возможность подключения к аналитической информации об угрозах посредством API,
- интеграция с решениями IBM и независимых поставщиков за счет поддержки STIX и TAXII,
- получение актуальных результатов исследования угроз от IBM X-Force в режиме реального времени.
Palo Alto Networks AutoFocus Threat Intelligence Service
С помощью Palo Alto Networks AutoFocus Threat Intelligence Service (далее — «Palo Alto AutoFocus») аналитики могут быстро исследовать, сопоставлять и отслеживать первопричины атак посредством поиска по множеству готовых или конфигурируемых запросов. Palo Alto AutoFocus предоставляет профессиональный инструментарий для своевременного реагирования на инциденты.
Сервис обеспечивает оперативный доступ ко множеству актуальных образцов и артефактов, собранных из службы WildFire, и использует опыт собственной исследовательской команды вендора, специалисты которой накапливают и обрабатывают актуальную информацию о вредоносных программах, злоумышленниках и их инструментах, APT-группировках и т. д. Решение позволяет автоматически обеспечить защиту межсетевым экраном нового поколения в режиме реального времени, а также организовать сторонние каналы аналитики и обмена индикаторами компрометации с помощью MineMeld — бесплатной утилиты Palo Alto Networks.
Рисунок 20. Архитектура Palo Alto Networks AutoFocus Threat Intelligence
Основные преимущества:
- открытый API для интеграции со сторонними системами,
- готовый набор инструментов для реагирования на инциденты и их дальнейшего расследования,
- наличие собственной команды компетентных специалистов, предоставляющих актуальную информацию,
- одновременное использование локальной, отраслевой и глобальной информации о вредоносных программах для ускорения анализа, экспертизы и профилактики.
ThreatConnect Threat Intelligence Platform
Платформа ThreatConnect Threat Intelligence обеспечивает возможность централизованно агрегировать фиды и управлять ими независимо от их источника, будь то открытые каналы OSINT, блоги, RSS или коммерческие поставщики индикаторов компрометации.
Надёжная интеграция с такими инструментами, как SIEM-системы и EDR, позволяет извлекать сгенерированные ими журналы для дальнейшего обогащения и распространения информации среди других инструментов безопасности. Платформа способна определять решения и инструменты, применяемые в инфраструктуре организации, и обмениваться с ними актуальной информацией об угрозах на основе гибких сценариев реагирования (playbooks). Клиент может использовать предустановленные шаблоны или создать собственные с помощью языка моделирования UML (Unified Modeling Language).
Рисунок 21. Панель мониторинга (дашборд) ThreatConnect Threat Intelligence Platform
Основные преимущества:
- централизованное объединение и хранение данных об угрозах для выявления корреляций и получения необходимых сведений,
- определение релевантности индикаторов компрометации для конкретной компании за счёт таких функций, как тегирование и настройка атрибутов,
- распространение информации среди других структурных подразделений и инструментов посредством интеграции со всеми основными SIEM-системами и другими поставщиками средств защиты,
- наличие API, позволяющего специалистам по безопасности упростить получение данных из платформы,
- поддержка интеграции с инструментами обмена информацией (корпоративный мессенджер и др.),
- графическое представление данных для понимания взаимосвязи между индикаторами компрометации,
- использование плейбуков, позволяющих задавать пользовательские шаблоны реагирования на инциденты, настройки обмена информацией и оповещения о возникновении угроз безопасности.
ThreatQuotient Threat Intelligence Platform
Платформа ThreatQuotient Threat Intelligence автоматически оценивает и определяет приоритеты внутренних и внешних угроз на основе заданных параметров, автоматизирует агрегацию, внедрение и использование аналитики угроз во всех системах и структурных подразделениях организации, интегрирует инструменты и рабочие процессы, повышая тем самым эффективность существующей инфраструктуры, а также обеспечивает централизованный обмен информацией об угрозах вкупе с их анализом и исследованием.
Отличительной особенностью платформы является то, что она изначально содержит инструменты для управления фидами, поиска угроз, реагирования на инциденты, защиты от фишинга, а также управления уведомлениями и уязвимостями. Продукт может быть развёрнут по модели on-premise, в виде облачного решения или виртуально.
Рисунок 22. Схема работы ThreatQuotient Threat Intelligence Platform
Основные преимущества:
- библиотека угроз, которая автоматически оценивает и устанавливает приоритеты анализа на основе заданных параметров,
- настраиваемый рабочий процесс и обогащение данных об угрозах сведениями из внешних и внутренних источников,
- отлаженный процесс взаимодействия специалистов по безопасности, когда руководитель команды может направлять действия, назначать задачи и видеть результаты в режиме реального времени,
- открытая и расширяемая архитектура, позволяющая импортировать и объединять внешние и внутренние источники данных, интегрировать их с существующими инструментами обогащения и анализа, а также экспортировать необходимые сведения через архитектуру Open Exchange с комплектом разработки программного обеспечения (SDK) и API,
- поддержка импорта и экспорта данных в форматах STIX/TAXII, XML, JSON, PDF, равно как и с помощью электронной почты.
Обзор решений и сервисов Threat Intelligence с открытым исходным кодом
Malware Information Sharing Platform (MISP)
MISP — платформа Threat Intelligence, помогающая обмениваться информацией об угрозах и предназначенная для сбора, передачи, хранения и сопоставления индикаторов целевых атак, сведений о финансовом мошенничестве, уязвимостях или даже о борьбе с терроризмом, а также для анализа рисков. Она содержит базу данных индикаторов и атрибутов, где может храниться различная информация об образцах вредоносных программ, инцидентах и злоумышленниках. Автоматическая корреляция данных позволяет находить связи между разными параметрами.
В интуитивно понятном пользовательском интерфейсе можно создавать и обновлять события, атрибуты и индикаторы, а также совместно работать над ними. MISP поддерживает экспорт данных в различные форматы, в том числе — в виде правил для IDS (Suricata, Snort и Bro поддерживаются по умолчанию), OpenIOC, простого текста, CSV, MISP XML или JSON для интеграции с другими системами. Доступен, конечно, и импорт — массовый, пакетный, свободный текстовый, из OpenIOC, песочницы, ThreatConnect CSV или самого MISP.
MISP поставляется с Python-библиотекой для извлечения, добавления или обновления параметров событий, обработки образцов вредоносных программ или поиска атрибутов, т. е. предоставляет API. Поддерживается обмен данными об угрозах в формате STIX (XML и JSON), включая экспорт / импорт в формате STIX 2.0; при этом все уведомления и передаваемые материалы подлежат встроенному шифрованию или подтверждению при помощи электронной подписи (PGP, S/MIME) в зависимости от предпочтений пользователя. Кроме того, платформа поддерживает интеграцию с IRP-системой TheHive, с помощью которой можно реализовать гибкий механизм реагирования на инциденты.
Рисунок 23. Интерфейс Malware Information Sharing Platform
Основные преимущества:
- встроенные возможности совместного использования для упрощения обмена данными,
- построение графа событий для создания и просмотра отношений между индикаторами компрометации и атрибутами,
- возможность автоматического обмена и синхронизации с другими сторонами и группами доверия,
- импорт и экспорт данных об угрозах с поддержкой всех известных форматов,
- большое количество обучающих материалов по работе с платформой и крупное сообщество профессионалов, поддерживающих её.
Your Everyday Threat Intelligence (YETI)
YETI предназначена для сбора, централизованного хранения и обогащения данных об угрозах и индикаторах компрометации из различных источников. Она позволяет аналитикам информационной безопасности сосредоточиться на работе с инцидентами (реагирование, расследование и т.д.), поскольку берёт на себя весь цикл поиска информации об угрозах и визуализации отношений между ними.
Платформа предоставляет API для автоматизации запросов и для обогащения сведений, который может быть полезен, например, системе управления инцидентами и песочнице соответственно, а также позволяет экспортировать данные в определяемые пользователем форматы для дальнейшей передачи другим инструментам наподобие SIEM.
Рисунок 24. Интерфейс платформы Your Everyday Threat Intelligence
Стоит отметить, что YETI способна обеспечить быстрое и эффективное реагирование на инциденты — в связке с другими проектами с открытым исходным кодом: платформой Fast Incident Response (FIR) и системой анализа вредоносных программ FAME, которую разрабатывает французская команда CERT Société Générale. YETI поддерживает интеграцию с платформой MISP, о которой мы только что говорили, и с IRP-системой TheHive.
Рисунок 25. Схема работы YETI
Основные преимущества:
- простота установки и развёртывания с помощью bash-скрипта или docker-образа,
- визуализация отношений между различными угрозами безопасности и индикаторами компрометации,
- возможность реагирования на инциденты посредством интеграции с FIR и FAME.
Выводы
Объединение усилий против злоумышленников, использование общих знаний и обмен данными об угрозах — то, ради чего создаются и внедряются платформы Threat Intelligence. С их помощью выстраивается процесс, позволяющий грамотно распоряжаться как информацией о способе возможной атаки, так и имеющимся временем для подготовки к ней, обеспечивая при этом полноту сведений об угрозе. Платформа киберразведки отвечает за сбор, первичную обработку и централизованное хранение таких данных, за детектирование индикаторов компрометации и ретроспективную проверку, являясь помощником аналитика ИБ при принятии решений.
Рынок платформ Threat Intelligence ещё молод, но развивается (и будет развиваться) стремительными темпами. В настоящее время на зарубежном рынке представлено множество решений как от компаний, давно специализирующихся на разработках в области информационной безопасности, так и от молодых участников рынка, специализирующихся на киберразведке. Что касается российского рынка платформ Threat Intelligence, то представленные на нём в настоящее время решения ничем не уступают зарубежным.
Предпочтительно выбирать ту платформу, которая подходит организации с точки зрения категории получаемой информации, способов предоставления данных, их релевантности, объёма и формата. Также важны удобство для пользователей, практичность администрирования, эффективность встраивания в бизнес-процессы и операционную деятельность по обеспечению информационной безопасности.
Кроме этого при выборе платформы необходимо учитывать актуальные для организации дополнительные функциональные возможности — например, потребность в интеграции с НКЦКИ или планируемое развёртывание системы для автоматизации расследования инцидентов и реагирования на них. Это может сократить спектр возможных вариантов.
Бесплатных баз данных и фидов может быть достаточно для построения простой платформы Threat Intelligence или дополнения к платформе с открытым исходным кодом. Для выявления более сложных и комплексных угроз необходимо рассмотреть приобретение подписок у ведущих вендоров в отрасли.
В любом случае, какую бы платформу Threat Intelligence организация ни выбрала, необходимо тщательно подходить к выбору поставщиков фидов, настройке взаимодействия между платформой и средствами защиты, внимательно относиться к заданию пороговых значений для недопущения ложных срабатываний и т. д.