Отправной точкой в TI является сбор информации о новых угрозах и атаках. На этом этапе важно сформировать эффективный набор тех источников, которые будут обеспечивать регулярно обновляемый поток данных киберразведки, наиболее релевантный профилю защищаемой организации. Сегодня доступно множество источников, содержащих те или иные признаки активности злоумышленников, включая открытые базы данных, сетевой трафик, форумы, отчеты и другие ресурсы. Помимо открытых источников, данные можно получать от специализированных вендоров, которые формируют их на базе собственных экспертных центров.
Для агрегации данных от различных источников используются платформенные решения Threat Intelligence Platform (TIP), которые не только позволяют собирать информацию от разных поставщиков, но и приводят ее к общему формату, исключают дублирование данных, обогащают их через внешние сервисы, предоставляют широкий спектр инструментов для анализа взаимосвязей вредоносных сущностей. Но самое важное – платформы позволяют интегрировать Threat Intelligence в другие системы ИБ для обнаружения атак на ранних стадиях и превентивной защиты от потенциальных угроз.
Ключевые данные, на которых строится киберразведка, – это индикаторы компрометации (IoC), или артефакты активности злоумышленников, которыми могут быть IP-адреса C&C-серверов, адреса электронной почты, используемые для фишинга, хеш-суммы вредоносных файлов и т.д.
Для формирования потока надежных и эффективных данных в платформе TIP реализованы инструменты не только сбора IoC от различных поставщиков, но и сравнения источников по уникальности и пересечению данных, количеству предоставляемых индикаторов компрометации и других сущностей угроз. Анализ источников выполняется платформой автоматически, а на выходе генерируется отчет, с помощью которого аналитик может сделать выводы и отобрать наиболее релевантные источники для профиля его организации и инфраструктуры, а также исключить похожие друг на друга.
Если говорить про TIP, то это продукт для зрелого с точки зрения ИБ заказчика. Должны быть внедрены средства мониторинга, обнаружения, предотвращения инцидентов и другие СЗИ. И конечно, для TIP необходимы разные источники фидов, в этом случае эффективность кратно возрастет.
Для менее зрелых заказчиков можно рассмотреть вариант покупки TI Feeds и обогащать фидами непосредственно те средства, которые имеются в арсенале. Это в том числе предлагаем и мы.
Как правило, TI становится актуальным с момента построения процесса реагирования на инциденты либо при построении собственного SOC в тех компаниях, где критично понимать текущие угрозы и их влияние на организацию. Со временем объем данных TI становится очень большим, появляется необходимость в хранении и обогащении собственных IoC. Если процессы сбора, обогащения, мониторинга и анализа данных TI не систематизированы и не автоматизированы, они становятся очень ресурсоемкими и снижают эффективность. В таких случаях стоит рассмотреть внедрение платформы TIP, которая позволит оптимизировать эти процессы, а также ресурсы для их обеспечения и тем самым внесет весомый вклад в обнаружение сложных атак и общий уровень защиты организации.
Если компания только начинает собирать TI из доступных открытых источников и своих собственных расследований инцидентов, можно это делать в электронной таблице или бесплатной TI-платформе с открытым исходным кодом. Когда компания начинает использовать коммерческие фиды, это обычно означает, что либо ИБ-риски стали выше, либо появилась возможность их более эффективно закрывать. На данном этапе уже целесообразно использование более зрелой коммерческой платформы Threat Intelligence, поскольку она, как правило, более приспособлена к большим объемам индикаторов и имеет хорошие интеграционные возможности с другими СЗИ, в частности с SIEM-системами.
Компании стоит задуматься о приобретении TIP, когда у нее появляются сотрудники, которые занимаются кибербезопасностью, и есть хотя бы минимальный набор средств защиты. Данные, содержащиеся в TIP, позволяют руководителю и специалистам понять ландшафт угроз, ускорить работу с выявленными инцидентами и обогащать СЗИ данными технического уровня.
Учитывая беспрецедентный рост кибератак, утечек, повышение активности хактивистов и проправительственных групп, а также уход из России иностранных вендоров, задуматься необходимо было еще вчера. Данные Threat Intelligence помогают заранее узнавать о готовящихся кибератаках, оперативно получать индикаторы компрометации и фиды, чтобы превентивно защититься от актуальных киберугроз. Клиентом TIP может быть уже достаточно зрелая компания, которая проектирует или уже использует свою систему защиты, умеет правильно обрабатывать и процессить данные с Threat Intelligence, понимает, как эти знания помогут предотвратить инциденты ИБ.
В первую очередь в компании должна быть реализована система защиты, позволяющая успешно выявлять и предотвращать атаки на основании информации из TIP. К таким решениям можно отнести SIEM, SOAR, XDR/EDR, прокси и песочницы. Не менее важным является наличие и зрелость процесса управления киберинцидентами, а также документированная процедура обработки обнаружений IoC.
Когда компания четко осознает нехватку тактической, оперативной и стратегической информации об атаках/акторах, которые релевантны ее ландшафту киберугроз. Когда руководство понимает, зачем нужен TI в целом и хочет интегрировать его в уже существующие процессы – как минимум Incident Response и как максимум – Threat Hunting. Когда есть штат аналитиков, которые будут наполнять базу TIP свежими разведданными, поступивших из разных источников.
С учетом изменений конъюнктуры рынка ИБ в России можно прогнозировать развитие возможностей интеграции с отечественными вендорами систем ИБ. При этом постоянная борьба за ресурсы специалистов будет стимулировать развитие автоматизации сценариев работы с данными TI. Тренд на внедрение технологий ML уже можно наблюдать в разных элементах платформ. В целом же в TIP будут появляться новые источники данных киберразведки, улучшаться элементы анализа и обмена данными, совершенствоваться общий пользовательский опыт эксплуатации.
Уже сейчас заметен тренд на применение технологий машинного обучения и искусственного интеллекта для выявления аномалий, проактивного обнаружения и реагирования на киберугрозы в TIP-решениях. Не исключен отход от классических IoC (хеши, домены, URL, IP) в сторону выявления индикаторов атак (IoA) с автоматическим реагированием при их обнаружении.
Перспективными направлениями развития можно считать технологии машинного обучения для работы с большими объемами данных, интеграцию с системами SIEM (управление информацией о безопасности и управление событиями безопасности), SOAR (оркестрация систем безопасности), интеграцию с DRPS (защита от цифровых рисков) и EASM (управление поверхностью внешней атаки).
Платформы должны развиваться в первую очередь в сторону обеспечения качества данных. К сожалению, сейчас многие ограничиваются лишь сбором данных из открытых источников, которые зачастую содержат небольшое количество релевантной информации. Кроме того, многие вендоры будут внедрять свои данные Threat Intelligence в собственные продукты, например EDR.
Название решения |
Kaspersky CyberTrace |
R-Vision TIP |
Security Vision TIP |
BI.ZONE Threat Intelligence |
---|---|---|---|---|
Компания-разработчик |
АО "Лаборатория Касперского", Россия |
R-Vision, Россия |
ООО "Интеллектуальная безопасность", Россия |
ООО "БИЗон", Россия |
Компания, предоставившая информацию |
АО "Лаборатория Касперского" |
R-Vision |
ООО "Интеллектуальная безопасность" |
BI.ZONE |
Год появления на российском рынке |
2019 |
2019 |
2022 |
2017 |
Поддержка интерфейса на русском языке |
В планах |
Да |
Да |
Да |
Поддержка интерфейса на других языках |
Английский |
Английский |
Мультиязычность (возможность добавления любых языков) |
Английский |
Сертификаты, патенты и лицензии |
Реестр российского ПО |
Реестр российского ПО, сертификат ФСТЭК России |
Реестр российского ПО, сертификат ФСТЭК России, сертификат соответствия ОАЦ при Президенте Республики Беларусь |
Реестр российского ПО |
Позиционирование |
TIP-платформа для управления данными о киберугрозах, агрегирующая фиды для автоматической проверки событий SIEM на наличие IoC |
Платформа анализа информации об угрозах |
Автоматизированная платформа TIP: на основании данных об угрозах генерирует в реальном времени обнаружения подозрительной активности в инфраструктуре, проводит обогащение индикаторов и инцидентов, интегрируется со средствами защиты, обеспечивает ситуационную осведомленность |
Платформа киберразведки для получения оперативной информации о новых угрозах |
Актуальная версия |
4.3 |
3.14 |
5.0.1694417270 |
1.0 |
Актуальная сертифицированная версия |
|
2.11 |
5.х |
|
Централизованный сбор данных |
||||
Единый интерфейс для управления фидами |
Да |
Да |
Да |
Да |
Количество настроенных фидов из коробки |
Доступны 3 демофида "Лаборатории Касперского", 7 OSINT-фидов, 13 коммерческих фидов "Лаборатории Касперского" включаются при наличии купленной лицензии |
24 опенсорсных канала, 16 вендорских и отраслевых фидов, для некоторых необходимо отдельное приобретение ключа для использования |
Более 40 источников фидов и IoC/IoA из коробки RST Cloud, BI.ZONE, F.A.C.C.T., Kaspersky, AlienVault, MISP, URLhaus, Digi- talSide, Feodo Tracker, Shodan, FinCERT LOLBAS, CSV, STIX (AnyRun, GetIP), CIRSL |
50 |
Автоматическая загрузка фидов по расписанию |
Да |
Да, с возможностью управлять расписанием для каждого канала в фидах |
Да, с расширенными возможностями |
Да |
Статистика использования фидов |
Да |
Да |
Да |
Да |
Поддерживаемые протоколы и форматы для фидов |
STIX, XML, JSON, CSV, POP3/IMAP, MISP, PDF, REST API |
STIX, JSON, CSV, TXT |
STIX, JSON, XML, CSV, Syslog, REST API, SQL, MISP, CEF, LEEF, EMBLEM, ELFF, Windows Event Log, Kafka |
STIX 1.2, JSON, CSV, REST API |
Анализ данных |
||||
Автоматическая нормализация и обогащение |
Да |
Да |
Да |
Да |
Сервисы, используемые для обогащения |
Kaspersky Threat Lookup, VirusTotal |
Hybrid Analysis, GeoIP: ipgeolocation.io, OPSWAT Metadefender, Kaspersky Threat Lookup (KTL), Alien Labs OTX, Shodan, ThreatMiner, VirusTotal, UrlHaus, Whois, Cisco Umbrella, DomCop, Majestic Million, GeoIP: MaxMind, Alien Labs Reputation |
IPgeolocation.io, KasperskyOpenTip, IPInfo.io, Hybrid Analysis, MaxMind Geo-IP, Whoisxmlapi, VirusTotal, Shodan, HaveiBeen- Pwned, Security- Trails, Urlscan.io, ThreatMiner, Alien Labs, Censys, MXToolBox, Scamalytics, PassiveDNS, RiskIQ, WhoIsXMLAPI, RSTCloud, any.run, censys, DomainTools, FOFA, Intezer, MXTools, Netlas.io, Scamalytics, SourceForge, Lolbas, Kaspersky Threat Lookup, Opswat Metadefender |
GeoIP, WHOIS, PassiveDNS, VirusTotal |
Дедупликация индикаторов |
Да |
Да |
Да |
Да |
Приоритизация угроз |
Да |
Да |
Да |
Да |
Применение данных |
||||
Автоматическое обновление конфигурации на СЗИ |
Да |
Да |
Да |
Да |
Ретроспективное выявление IoC в архиве событий |
Да |
Да |
Да, с расширенными возможностями |
Да |
Отчеты и дашборды |
||||
Встроенные отчеты и дашборды |
Да |
Да |
Да, с расширенными возможностями |
Да |
Конструктор отчетов и дашбордов |
В планах |
Да |
Да, с расширенными возможностями |
Да |
Рассылка отчетов по расписанию |
В планах |
Да |
Да, с расширенными возможностями |
Да |
Интеграция |
||||
Интеграция с MITRE ATT&CK |
MITRE TTP присутствуют в контексте фидов "Лаборатории Касперского", более полная интеграция в планах |
Да |
Да, с расширенными возможностями |
Да |
Подтвержденная коробочная интеграция с ИБ-системами |
SIEM: Kaspersky KUMA, MicroFocus ArcSight, Splunk, IBM Qradar, LogRhythm SIEM, RSA NetWitness, McAfee ESM, FortiSIEM, AT&T AlienVault OSSIM, Elastic Stack SOAR: DFLabs IncMan SOAR Apache Kafka / ArcSight Event Broker |
SIEM, SOAR, СЗИ, API для интеграции с другими ИБ-системами |
Более 200 интеграций с СЗИ. ServiceDesk: Jira, Naumen Service Desk, MicroFocus Service Manager, BPM Online, OTRS IRP/SOAR: Security Vision SOAR, R-Vision IRP Sandbox: Kaspersky KATA, PT Sandbox, TrendMicro DDA, VirusTotal SIEM: MaxPatrol SIEM, Kaspersky KUMA, ArcSight, IBM QRadar, Fortinet FortiSIEM, Splunk, RuSIEM, Pangeo Radar NGFW: Cisco ASA, CheckPoint, FortiGate, Ideco UTM, Juniper, UserGate, VipNet, Континент Прокси-серверы: Squid, Blue Coat SG Big Data: Kafka, Hadoop, Elasticsearch |
SIEM: ArcSight, QRadar, MaxPatrol SIEM,Splunk SOAR: SecurityVision, R- Vision NGFW: Palo Alto, Forti- gate Sandbox: собственное решение BI.ZONE другие платформы: MISP |
Другая важная функциональность TIP |
Добавление любых фидов, дедупликация IoC. Импорт IoC из PDF-бюллетеней, e-mail. Сравнение фидов, статистика детектов. База IoC с полным контекстом, поиском, сохранением запросов. База событий детектов, поиск. Проверка входящих событий, деобфускация IoC. Ретроскан. Гибкая настройка RegExp парсинга событий. Граф расследования. Обогащение IoC. Автоматический экспорт IoC. Ручная проверка лога на IoC. Мультитенантность. Ролевой доступ. Публичный REST API. Поддержка LDAP. Под- держка установки в изолированной сети |
Обнаружение IoC в потоке событий SIEM в режиме реального времени и исторических данных. Работа с территориально распределенными SIEM. Возможность подключить поставщиков данных Open Source без ограничения по количеству. Поддержка списка исключений угроз. Собственная скоринговая модель для оценки рейтинга IoC с пресетами и пользовательской настройкой. Автоматическое построение графа взаимосвязей для десятка сущностей угроз. Поддержка правил автоматизации для обнаружения, обогащения, экспорта и оповещения |
Базируется на единой платформе Security Vision, доступны широкие возможности кастомизации с подходом low- code/no-code. Автоматический расчет (скоринг) уровней критичности и доверия IoC. Выявление DGA- и фишинговых доменов. Работа в изолированных от Интернета сетях. Интеграция с СЗИ в режимах Push и Pull. API для работы с решением. Загрузка бюллетеней безопасности и получение IoC из ЛК ФинЦЕРТ, ГосСОПКА через API. Вывод информации на графе со связями IoC другими объектами. Использование преднастроенных и обученных моделей машинного обучения с возможностью переобучения. Возможность создания своих модулей и контента low code / no code программирование |
Содержит данные киберразведки всех уровней, от технического до стратегического, при этом приоритет отдается угрозам, актуальным для России и СНГ |
Архитектура и сопровождение |
||||
Поддерживаемые ОС для серверной части решения |
Windows Server, Linux (CentOS, RHEL, Ubuntu, Astra) |
CentOS, Astra Linux, Ред ОС, Red Hat |
CentOS, Red Hat Ent. Linux, Ubuntu, Debian, Astra Linux, Альт, Oracle Linux, РЕД ОС, РОСА, AlmaLinux, AlterOS и др. |
Linux x64 |
Поддерживаемые СУБД для серверной части решения |
Elastic |
Postgres Pro, PostgreSQL |
PostgreSQL, Postgres Pro, Jatoba, Microsoft SQL Server и др. |
PostgreSQL |
Необходимость приобретения лицензий сторонних вендо- ров (кроме ОС и СУБД) |
Нет |
Нет |
Нет |
Нет |
Возможности резервирования |
Active-Active |
Active-Passive, Active-Active |
Active-Passive, Active-Active |
Резервируется на уровне кластера, где размещаются компоненты |
Журналирование изменений объектов в системе |
От системы |
От пользователей |
От пользователей и от системы |
От пользователей и от системы |
Дополнительные модули системы
|
Интеграционные пакеты к различным SIEM |
Механизм отчетов для анализа качества поставщиков данных об индикаторах компрометации и других сущностях, а также для сравнения поставщиков между собой. Конструктор бюллетеней об угрозах и уязвимостях для информирования уполномоченных сотрудников. Автоматизация рутинных действий пользователя с помощью механизма правил. Можно автоматизировать операции получения данных, обогащения, экспорта индикаторов компрометации в СЗИ, поиска индикаторов компрометации в потоке данных из SIEM, оповещения целевых систем об инцидентах нарушения безопасности |
Конструкторы объектов, коннекторов, рабочих процессов, меню и ролей, отчетов, виджетов и дашбордов AM (Asset Management), VM (Vulnerability Management), SOAR, NG SOAR, BCP, КИИ, ORM (управление операционными риска- ми), RM (управление рисками кибербезопасности), UEBA, AD+ML (Anomaly Detection with Machine Learning), FinCERT, ГосСОПКА, SIEM, VM (включая сканер), работа с бюллетенями об угрозах и уязвимостях, MSSP-модели для опера- торов безопасности. Возможность создания своих модулей и контента с Low Code /No Code программированием |
Retrospect-модуль позволяет осуществлять ретропоиск по событиям |
Поддержка мультиарендности |
Да |
Да, частично |
Да, с расширенными возможностями |
Нет |
SLA техподдержки |
24х7 |
24х7 |
24х7 |
24х7 |
Формат техподдержки |
Телефон, е-mail, онлайн |
Телефон, e-mail, онлайн |
Телефон, е-mail, мессенджеры, ServiceDesk |
Телефон, е-mail, Telegram |
Приобретение |
||||
Модель тарификации |
Приобретение, подписная модель в планах |
Приобретение или подписная модель |
Приобретение или подписная модель |
Подписная модель |
Факторы влияющие на стоимость |
Community-версия предоставляется бесплатно. Базовая версия предостав- ляется бесплатно при покупке фидов "Лаборатории Касперского". Полная версия доступна по фиксированной стоимости, но предоставляется со скидкой при покупке пакетов фидов "Лаборатории Касперского" |
Функциональная наполненность решения |
Предусмотрены временные и бессрочные лицензии. Метрики лицензирования: продукты, количество обрабатываемых событий в секунду, количество дополнительных нод, мультиарендность |
Фиксированная стоимость |
Пробный период или пилот |
14 дней |
По согласованию в рамках пилотного проекта |
1–3 месяца, при сопровождении сертифицированными инженерами по работе с Security Vision TIP |
14 дней |
Сайт с подробностями решения |
Представленные в таблице данные предоставлены соответствующими компаниями. Редакция выполнила работу по сбору данных, но не проверяла их соответствие действительности.
ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ
115280, Москва, ул. Ленинская Слобода, 26, стр. 2, этаж 4
Тел.: +7 (495) 803-3660
E-mail: sales@securityvision.ru
www.securityvision.ru
POSITIVE TECHNOLOGIES
107061, Москва, Преображенская пл., 8
Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com
www.ptsecurity.com/ru-ru/
R-VISION
109544, Москва, бульвар Энтузиастов, 2
Тел.: +7 (499) 322-8040
E-mail: sales@rvision.pro
www.rvision.pro
Copyright © 2024, ООО "ГРОТЕК"