Автор: Александр Голубчиков, руководитель по продуктам кибербезопасности «МегаФона»
В этой статье мы рассмотрим подходы к реализации Threat Intelligence Platform (TIP) от зарубежного вендора Anomali и отечественного вендора Security Vision, чтобы сравнить набор функциональности, способы и подходы к реализации сбора и анализа угроз, что интересно с точки зрения отображения специфики зарубежного и отечественного рынка в том числе.
Anomali TIP поддерживает загрузку неограниченного количества разнообразных TI-источников (фидов) на основе наиболее распространенных форматов описания IoC (MISP, STIX 2 и др.), в том числе система поддерживает загрузку кастомных фидов на основе собственной экспертизы. В базовой поставке уже реализована интеграция с наиболее популярными мировыми сервисами, предоставляющими различные индикаторы компрометации.
Ценность Anomali TIP заключается в том, что платформа позволяет эффективнее собирать IoC за счет инструмента обработки естественного языка (NLP), который автоматически сканирует и преобразует неструктурированные данные с веб-страниц и отчетов в ценную аналитическую информацию.
Возможности языка (NLP) обработки неструктурированных данных:
Security Vision TIP поддерживает загрузку неограниченного количества разнообразных TI-источников (фидов), например:
В базовой поставке уже реализована интеграция с наиболее популярными сервисами, предоставляющими различные индикаторы компрометации. В их числе есть российские поставщики фидов (Kaspersky, Group-IB, BI.ZONE, RST Cloud), публичные платформы (Alien Vault, MISP, GitHub), популярные Open Source фиды (Feodo Tracker, Digital Side, URL Haus и др.), универсальные коннекторы к STIX 2 и другим распространенным форматам.
Кроме индикаторов компрометации, в систему загружаются индикаторы атак, источники угроз и другие дополнительные атрибуты, получаемые как от поставщиков фидов, так и от специализированных внешних сервисов.
Система позволяет самостоятельно добавить любой источник индикаторов как в одном из стандартных форматов описания IOC (MISP, STIX 2 и др.), так и в уникальном проприетарном формате. Для каждого источника и фида пользователь может задать произвольный фильтр для отбора загружаемых данных. Для каждой загрузки данных можно настроить индивидуальное расписание как по поставщику фидов, так и по каждому фиду в отдельности.
Основной компонент Anomali TIP — это платформа ThreatStream, позволяющая аналитикам собирать, курировать и анализировать миллионы индикаторов из сотен фидов киберразведки. Система предоставляет возможности: работать с операционными и стратегическими данными по угрозам, совместно расследовать инциденты безопасности, распространять отчеты, а также экспортировать полученные результаты во внешние системы ИБ, такие как SIEM, NGFW, EDR и другие.
В качестве одного из основных представлений рабочего пространства технология Threat Intelligence предполагает графовое представление индикаторов компрометации, связанных контекстом анализируемой угрозы. ThreatStream предоставляет достаточно удобный и визуально приятный граф связей между индикаторами и сведениями об угрозах, один нюанс — он не интерактивен, то есть не предполагает действия над объектом непосредственно из графа.
Security Vision TIP предполагает два основных представления рабочего окружения:
Одним из главных инструментов аналитика киберразведки является карточка обнаружения, в которой накапливается информация, полученная от источников событий, индикаторов и «движка» системы (по результатам выявленных сработок). Пользователь может проводить на графе анализ связей, выполнять действия над активами и индикаторами, открывать карточки объектов.
Граф как рабочее пространство аналитика киберразведки
Есть возможность настройки выполнения действий как в ручном, так и в автоматическом режиме. Набор действий можно расширить через конструктор поставляемый с платформой, работающий в режиме no-code.
Одним из главных достоинств и составляющих Threat Intelligence Platform являются интеграции с распространенными СЗИ для анализа сырых событий на предмет обнаружения индикаторов компрометации: системами обнаружения и предотвращения вторжений (IDS и IPS), межсетевыми экранами нового поколения (NGFW), платформами управления информацией и событиями безопасности (SIEM) и многими другими источниками. Эти СЗИ могут отдавать сырой сетевой или хостовой трафик, на основе которого TIP быстро выдает данные об угрозах, тем самым выстраивая защиту от актуальных видов атак и злоумышленников еще до того, как они проникнут или освоятся в инфраструктуре.
Платформа Anomali позволяет интегрироваться с ведущими мировыми защитными решениями, такими как Splunk, LogRhythm, CrowdStrike, IBM Resilient, IBM QRadar и Microsoft Azure Sentinel, что дает широкие возможности для анализа данных и проведения киберразведки.
Также в Anomali представлены два варианта песочницы:
Платформа Security Vision TIP также позволяет интегрироваться с ведущими мировыми средствами защиты информации, такими как Splunk, LogRhythm, CrowdStrike, IBM Resilient, IBM QRadar и Microsoft Azure Sentinel, а также с распространенными российским СЗИ (MP SIEM, RUSIEM, KUMA, UserGate NGFW, VipNet NIDS/HIDS/FW и др).
Готовые тематические дашборды позволяют аналитикам быстро фокусироваться на актуальных данных киберразведки по важным метрикам и аналитическим срезам внутри организации. Тематические дашборды, доступные на платформе киберразведки Anomali ThreatStream, показывают индикаторы компрометации (IoC), актуальные данные об активности злоумышленников по всему миру, а также уязвимости и эксплойты, которые они используют для компрометации систем и данных.
Пример дашборда с индикаторами компрометации
Для наглядного отслеживания в реальном времени географии обнаружений в Anomali ThreatStream реализована макет Земли, на котором отображаются сработавшие индикаторы в привязке к геолокации индикатора.
В платформу Security Vision TIP так же включен ряд преднастроенных дашбордов, отображающих ключевую информацию по обнаружениям, индикаторам и другим данным системы в операционном, аналитическом и стратегическом срезах. При разработке дашбордов команда аналитиков Securuty Vision использовала опыт внедрения систем расследования инцидентов и экспертные знания в области анализа угроз. Все дашборды интерактивны: пользователь может «провалиться» в необходимой срез и увидеть набор данных, на основе которых построен виджет.
Аналитический дашборд по актуальным индикаторам компрометации
Картография обнаружений в Security Vision TIP отображает:
Карта киберугроз с обнаружениями в режиме реальном времени
Вся информация интерактивна: карта обновляется в режиме реального времени, а при клике на IoC/обнаружение открывается карточка с детализацией.
Дополнительное преимущество платформы Security Vision TIP — встроенный редактор дашбордов и отображаемых виджетов, который не требует навыков программирования и работает в режиме no-code.
Конструктор создания дашбордов в режиме no-code
Через интерфейс системы пользователь может создавать и редактировать источники данных с возможностями: сложной фильтрации различных типов объектов и данных, применяя при этом различные преобразования и формулы. Можно выбрать форму отображение данных (круговая диаграмма, столбчатая диаграмма, линейный график, таблица и многие другие), стили, действия вида drill-down и др.
Данная функция позволяет аналитикам указать уровень способности организации реагировать на технику злоумышленников по фреймворку MITRE ATT&CK (другими словами, качество покрытия матрицы MITRE ИБ службами и критичность техники атаки для деятельности организации). Это дает возможность более точно выстраивать приоритеты и процесс реагирование на обнаруженный индикатор в соответствии со стратегией реагирования: если данная техника атаки критична для организации — приоритет к расследованию обнаружения значительно повышается.
Уровни критичности угроз по каждой технике MITRE ATT&CK
Функционал Security Vision TIP также обеспечивает работу с базой знаний техник MITRE ATT&CK, ее автоматическую поддержку в актуальном состоянии по всем основным разделам: описание тактик, техник и субтехник, атак, хакерского инструментария и хакерских группировок, способов противодействия несанкционированному доступу к данным. Стратегическая атрибуция атак связаны c техническими индикаторами компрометации через данные MITRE ATT&CK, что позволяет более эффективно расследовать инциденты, связанные с обнаружением угроз.
Отображение техник атак для индикаторов компрометации по матрице MITRE ATT&CK
На платформе Anomali ThreatStream доступно множество шаблонов для создания отчетов после завершения расследования. В них можно добавить символику организации, а затем отправить готовые отчеты всем заинтересованным сторонам прямо из ThreatStream. Благодаря этой функции можно просто, быстро и интуитивно скомпоновать и разослать отчет с аналитикой и полученными результатами.
Визард создания отчетов Anomali ThreatStream
В продукте также присутствует минималистичный редактор отчетов для создания кастомных документов. Готовые шаблоны для создания и рассылки отчетов ускоряют процесс отчётности по актуальным угрозам и проведенным расследованиям обнаружений индикаторов компрометации.
В решение TIP от Security Vision включены преднастроенные отчеты, позволяющие выгружать данные как по отдельным объектам системы — индикаторам, обнаружениям, уязвимостям и др., так и сводные отчеты, которые содержат консолидированную информацию по всем данным за период и отдельно по каждому разрезу платформы TIP.
Пример отчета по индикаторам компрометации от Security Vision TIP
Консолидированные отчеты могут быть выгружены пользователем как вручную через раздел интерфейса платформы, где можно выбрать формат выгружаемого отчета (Docx, Pdf, Xlsx, Ods, Odt, Txt), так и в виде автоматической рассылки отчетов по расписанию по разным каналам и адресатам: электронная почта, Telegram, файл-сервер, базы данных, внешние API и др.
Преимуществом продукта TIP Security Vision является полноценный конструктор отчетов, с помощью которого пользователи могут самостоятельно создавать новые шаблоны отчетов. Функционал конструктора аналогичен редактору дашбордов (с дополнительными специфичными настройками для разных форматов выгружаемых файлов), не требующий навыков программирования и работающий в режиме no-code.
Конструктор создания кастомных отчетов
Это набор функциональности, которые являются наиболее интересными с точки зрения применения технологии Threat Intelligence и получения от нее максимального профита.
Обе системы имеют ряд преимуществ и свои интересные особенности. Система Anomali ThreatStream уже достаточно давно на рынке и является одной из ведущих в своем классе на международном уровне. Система Security Vision TIP еще достаточно нова, но уже имеет внушительный набор функционала и интересных архитектурных решений за счет зрелости платформы, на которой разработана. Продукт обладает большим потенциалом дальнейшего развития.