- Вступ
- Комерційні Threat Intelligence Platform
- Anomali
- ThreatConnect
- ThreatQuotinet
- EclecticIQ
- Open source Threat Intelligence Platform
- Your Everyday Threat Intelligence (YETI)
- Malware Information Sharing Platform (MISP)
- Висновки
У статті коротко описуються платформи кіберрозвідку (Threat Intelligence) - ThreatConnect, ThreatQuotinet, EclecticIQ, Anomali, MISP, YETI, наводяться їх конкурентні переваги і ключові технологічні особливості кожної платформи.
- Вступ
- Комерційні Threat Intelligence Platform
- 2.1. Anomali
- 2.2. ThreatConnect
- 2.3. ThreatQuotinet
- 2.4. EclecticIQ
- Open source Threat Intelligence Platform
- 3.1. Your Everyday Threat Intelligence (YETI)
- 3.2. Malware Information Sharing Platform (MISP)
- висновки
Вступ
В даний час експоненціальне зростання обсягу оброблюваної інформації і постійно зростаюча складність здійснюваних кібератак змушують компанії впроваджувати все більше рішень щодо забезпечення інформаційної безпеки (ІБ). Зростає кількість постачальників послуг, джерел даних про кіберзагрози, з'являються нові класи рішень, що неминуче призводить до збільшення трудомісткості процесів забезпечення ІБ і, як наслідок, до збільшення сукупної вартості володіння ІБ для бізнесу. Найбільш гостро цю проблему відчувають на собі великі диверсифіковані компанії, в яких обмін інформацією про загрози та інциденти ІБ ускладнений територіальної розрізненістю філій і дочірніх підприємств.
Швидке виявлення компрометації є ключовим фактором мінімізації фінансового, репутаційного збитку і втрати даних, адже чим довше успішна кібератака залишається непоміченою, тим дорожче вона обійдеться бізнесу в майбутньому.
Класичні механізми обміну даними про погрози і інциденти, такі як корпоративна пошта, месенджери, портали SharePoint і таблиці Excel, не проходять перевірку часом і в міру зростання бізнесу не можуть своєчасно і гнучко масштабироваться, внаслідок чого навантаження на фахівців і аналітиків ІБ неминуче зростає, а якість роботи погіршується. Для вирішення такої проблеми компанії все частіше впроваджують процес кіберрозвідку (англ. Threat Intelligence). Gartner дає наступне визначення Threat Intelligence: сукупність знань, побудованих на спостереженнях, що включає в себе контекст, механізми, індикатори, наслідки та практичні рекомендації про існуючу або можливу загрозу.
Згідно з даними опитування SANS, проведеного в березні 2017 року, 60% організацій використовують Threat Intelligence, а ще 25% планують використовувати. З тих, хто використовує Threat Intelligence, 78% вважають, що це допомогло поліпшити показники в області безпеки і реагування. Це на 14% більше, ніж в дослідженні, проведеному SANS в минулому році.
Згідно з даними аналітики Google Trends, популярність Threat Intelligence виросла в 4 рази з 2013 року, і в даний момент кіберрозвідку є світовим трендом.
Малюнок 1. Динаміка зростання популярності Threat Intelligence
Сам процес кіберрозвідку можна відобразити у формі циклу, який включає в себе 5 ключових етапів:
- На етапі планування встановлюються цілі, вимоги до одержуваної інформації і розставляються пріоритети.
- Етап збору включає в себе різні етапи діяльності зі збору інформації для задоволення поставлених на першому етапі цілей. Крім власних джерел інформації, на цьому етапі використовуються і дані провайдерів Threat Intelligence, серед яких можна виділити такі компанії, як Group-IB, Palo Alto, ESET, Kaspersky Lab, FireEye і ін.
- На етапі обробки зібрані вихідні дані інтерпретуються, транслюються і уніфікуються.
- Підготовка даних включає в себе процес уточнення і злиття інформації, обробленої на попередньому етапі.
- Заключним етапом циклу стає поширення інформації кінцевим споживачам, в ролі яких можуть виступати як зовнішні споживачі, так і власні підрозділи ІБ в філіях, дочірніх і залежних бізнес-одиницях компанії.
Малюнок 2. Цикл Threat Intelligence
Для автоматизації цього циклу використовуються спеціалізовані платформи - Threat Intelligence Platform (скор. TIP). Безумовно, функціональними лідерами молодого ринку Threat Intelligence Platform є такі компанії, як ThreatConnect, ThreatQuotinet, EclecticIQ, Anomali. Крім комерційних рішень, існує чимала кількість альтернатив open source, однак за функціональними можливостями, регулярності поновлення і підтримки спільноти можна виділити лише дві гідні альтернативи комерційним рішенням - Malware Information Sharing Platform (скор. MISP) і Your Everyday Threat Intelligence (скор. YETI).
Комерційні Threat Intelligence Platform
Anomali
Компанія Anomali є піонером на ринку Threat Intelligence Platform і випускає свої продукти з 2013 року. Штаб-квартира компанії розташована Редвуд-Сіті, Каліфорнія. Очолює Anomali Х'ю Ньеманзе (Hugh Njemanze), колишній співзасновник, CTO і виконавчий віце-президент R & D в ArcSight, який в липні 2014 року обіймав посаду генерального директора.
У портфелі компанії 3 платформи: Anomali STAXX, Anomali ThreatStream і Anomali Enterprise.
Anomali STAXX - безкоштовна платформа, що дозволяє отримувати фіди у відкритих стандартах обміну інформацією про кіберзагрози STIX (Structured Threat Information eXpression) і TAXII (Trusted Automated Exchange of Intelligence Information). Інтеграція з іншими джерелами в продукті не передбачена.
переваги:
- безкоштовна версія для невеликих компаній;
- проста установка, що не вимагає високої кваліфікації фахівців;
- автоматичне завантаження фідів за розкладом;
- вбудований пошуковий движок, що дозволяє отримувати повні відомості про зібраних системою індикаторах компрометації (Indicator of compromise, скор. IoC).
Anomali ThreatStream - платформа, що здійснює збір індикаторів компрометації більш ніж з 130 можливих джерел в різних форматах. Anomali ThreatStream інтегрується з іншими системами захисту і дозволяє реалізувати весь цикл кіберрозвідку.
переваги:
- інтеграція з рішеннями SIEM, Firewall, IPS, Endpoint і підтримка інтеграції з API;
- витяг індикаторів компрометації з фішингових листів;
- динамічний аналіз шкідливих програм в пісочниці;
- бренд-моніторинг, що дозволяє здійснювати пошук ресурсів, незаконно використовують бренд компанії.
Малюнок 3. Anomali ThreatStream: структура
Малюнок 4. Anomali ThreatStream: інтерфейс
Anomali ThreatStream також підтримує інтеграцію з корпоративним месенджером Slack.
Малюнок 5. Anomali ThreatStream: інтеграція з Slack
Anomali Enterprise - платформа проактивного пошуку загроз в мережі (Network Threat Hunting), яка здатна зберігати мережеві події з глибиною пошуку по архіву за останні 5 років, що набагато перевищує середній період зберігання даних в SIEM-системах (від 1 до 12 місяців). Anomali Enterprise дозволяє здійснювати автоматичний пошук індикаторів компрометації по всьому архіву записів.
переваги:
- повна підтримка та інтеграція з платформою ThreatStream;
- аналіз даних Syslog, SIEMs, AWS S3, Netflow / sFlow;
- інтеграція з SIEM і системами реагування на інциденти;
- детектування алгоритмів генерації домену (Domain Generation Algorithms, скор. DGA), використовуваних шкідливими програмами за допомогою механізмів машинного навчання.
ThreatConnect
Компанія ThreatConnect була заснована в 2011 році і за 6 років свого існування вийшла на лідируючі позиції молодого ринку TIP. ThreatConnect має в своєму портфоліо такі гучні розслідування, як хакерська атака на Демократичну партію США, кібератаки на журналістів, які займалися розслідуванням катастрофи малазійського авіалайнера MH17, атаки на сайти Міжнародного антидопінгового агентства (WADA) і Спортивного арбітражного суду (CAS), а також злом аккаунта бігунки Юлії Степанової в системі WADA.
За час свого існування компанія встигла вивести на ринок 4 продукту - ThreatConnect Complete, ThreatConnect Analyze, ThreatConnect Manage, ThreatConnect Identify.
Малюнок 6. ThreatConnect Platform: порівняння функціональних можливостей
TC Identify здійснює збір індикаторів компрометації більш ніж з 100 відкритих джерел, фідів краудсорсінгового спільноти ThreatConnect, фідів власної команди аналітиків ThreatConnect і забезпечує можливість інтеграції з даними будь-якого партнера компанії в рамках програми TC Exchange.
переваги:
- інтеграція з SIEM-системою;
- підтримка тегів, атрибутів для сегментації і подальшого аналізу даних;
- гнучкий модуль аналітики, що дозволяє не тільки бачити список подій, а й всебічно візуалізувати дані;
- створення правил Yara на основі отриманих індикаторів компрометації.
TC Manage - наступна по функціональності платформа ThreatConnect, що дозволяє повністю автоматизувати процес кіберрозвідку на всіх етапах циклу Threat Intelligence. Ключовою конкурентною перевагою продукту є технологія Playbook, що дозволяє за допомогою зручного drag-and-drop-інтерфейс вибудовувати процеси реагування на інциденти, використовуючи мову моделювання UML (Unified Modeling Language).
переваги:
- автоматизація практично будь-яких процесів реагування на інциденти, таких як відправка попереджень, збагачення даних або призначення завдань аналітикам і фахівцям ІБ;
- встановлені Playbook-шаблони реагування на інциденти;
- можливість відправки індикаторів компрометації на зовнішні джерела більш ніж 80 компаній-партнерів ThreatConnect;
- інтеграція в панель моніторингу (Dashboard) даних з будь-яких зовнішніх систем, наприклад, подій з SIEM.
Малюнок 7. ThreatConnect: Playbook
TC Analyze - платформа, розроблена аналітиками спеціально для аналітиків ІБ. Функціональні можливості TC Analyze дозволяють управляти завданнями команди аналітиків, розставляючи пріоритети в роботі кожного співробітника. В якості ключового конкурентної переваги цієї платформи можна виділити фірмову технологію ThreatConnect CAL (Collective Analytics Layer), яка надає доступ до знеособленим даними про частоту появи тієї чи іншої загрози у інших користувачів даної технології. ThreatConnect CAL дозволяє отримати моментальне уявлення про те, наскільки широко поширена і актуальна та чи інша загроза.
переваги:
- створення закритого співтовариства обміну даними про інциденти;
- відкрите API більш ніж з 100 різними вбудованими функціями інтеграції;
- гнучкий механізм голосування за кожним показником, що дозволяє отримати зворотній зв'язок від аналітиків ІБ;
- можливість перевірки своїх результатів аналітики іншими учасниками відкритого співтовариства ThreatConnect.
Малюнок 8. ThreatConnect: Dashboard
TC Complete - максимально повна версія платформи, що включає в себе всі функціональні можливості TC Identify, TC Manage, TC Analyze. Єдиною відмінністю, трохи розширюють функціональність платформи, є наявність настроюються типів IoC.
TC Completeоб'едіняет в собі всі переваги аналітики і реагування на інциденти програмних продуктів ThreatConnect.
ThreatQuotinet
Компанія ThreatQuotient була заснована в 2013 році і за 4 роки, при невеликому штаті співробітників в 65 чоловік, змогла залучити 57 мільйонів доларів за 4 раунду інвестицій, 30 з яких були залучені в третьому кварталі 2017 року.
На відміну від конкурентів, ThreatQ НЕ декомпозіруется свою платформу на різні програмні продукти, і всі функціональні можливості представлені в одному єдиному рішенні.
Як особливу рису і конкурентної переваги ThreatQ можна виділити технологію самоналагоджувальна бібліотеки загроз (Self-Tuning Library), яка автоматично оцінює і пріорітізірует загрози на основі заздалегідь заданих параметрів. Пріоритизація розраховується за різними джерелами, як зовнішнім, так і внутрішнім, це допомагає зменшити інформаційний шум і знизити ризик помилкових спрацьовувань, що важливо для великих компаній, де кількість подій вимірюється десятками тисяч в секунду.
Малюнок 9. ThreatQ Self-Tuning: настройка
ThreatQ дозволяє реалізувати цикл кіберрозвідку на всіх етапах і, крім аналітики, містить в собі функції реагування на загрози ІБ.
ThreatQ інтегрується з продуктами сторонніх вендорів завдяки архітектурі Open Exchange, яка включає в себе комплект розробки програмного забезпечення (SDK) і досить простий, добре задокументований API. ThreatQ Open Exchange має встановлені коннектори для взаємодії з програмними продуктами партнерів ThreatQuotient.
Малюнок 10. ThreatQ: архітектурне рішення
Продукт представлений в реалізації On-Premise, у вигляді хмарного рішення, віртуального образу або Appliance.
переваги:
- автоматичне визначення пріоритетів на основі всіх доступних платформі джерел;
- підтримка імпорту і експорту даних в структурованих і неструктурованих форматах, таких як STIX / TAXII, XML, JSON, PDF і за допомогою електронної пошти;
- SDK і API, що дозволяють інтегрувати платформу практично в усі бізнес-процеси компанії;
- невелика вартість щодо всіх конкурентів на ринку.
EclecticIQ
З представлених в даній статті компаній EclecticIQ - наймолодша. Заснована в 2014 році, компанія вже встигла відзначитися, удостоївшись нагороди Most Disruptive Innovator на премії Deloitte Technology FAST50 Rising Star Award в 2016 році. На відміну від своїх конкурентів з даного огляду, штаб-квартира і основний бізнес компанії розташовані не в США, а в Нідерландах, в Амстердамі.
Влітку 2017 року компанія встигла потрапити на всі профільні новинні сайти, підписавши партнерську угоду з відомою на російському ринку компанією Group-IB. «В рамках співпраці унікальні дані Group-IB про російськомовних хакерів будуть інтегровані в платформу EclecticIQ», - писав Anti-Malware в липні 2017.
Компанія EclecticIQ за роки свого існування встигла випустити два продукти - EclecticIQ Fusion Center і EclecticIQ Platform.
Малюнок 11. EclecticIQ: продукти і сервіси
EclecticIQ Fusion Center - це єдиний центр обробки інформації, що надходить з відкритих і комерційних фідів. Платформа дозволяє об'єднати і нормалізувати індикатори компрометації з різних джерел для подальшої інтеграції в інфраструктуру компанії. EclecticIQ Fusion Center відправляє автоматично збагачену інформацію про погрози на інші системи ІБ компанії. У цьому продукті робиться ставка на автоматизацію і обробку великої кількості інформації.
переваги:
- підтримка більше 30 провідних світових провайдерів Threat Intelligance, включаючи Group-IB, Intel 471, RedSocks і SenseCy;
- збагачення TI-даних локальними і контекстуальних даними;
- повністю автоматизована система спільного використання фідів, пошук і злиття дублюється інформації;
- тематичні фіди Threat Intelligence, релевантні для географічного розташування або бізнес-сектора компанії.
EclecticIQ Platform - платформа, що дозволяє помітно спростити і прискорити роботу ІБ-аналітиків. Як і у випадку з Fusion Center, продукт дозволяє об'єднати дані з відкритих, комерційних фідів і від галузевих партнерів. Основна ставка в даному продукті зроблена на спільну роботу аналітиків в рамках єдиного робочого простору. В основі EclecticIQ Platform лежить найпопулярніший на сьогоднішній день відкритий стандарт - STIX / TAXII. Платформа має функціональний API, що дозволяє виробляти інтеграцію вихідних і вхідних даних, систему оповіщень на основі політик, модулі звітності, розширені інструменти пошуку по сховищу, можливість візуалізації одержуваної інформації, в тому числі і для звітів.
переваги:
- спільна робота аналітиків в рамках єдиного робочого простору ідеально підходить для SOC, CERT;
- візуалізація даних з можливістю побудови графів;
- обмін даними між різними учасниками Threat Intelligence по захищених каналах зв'язку на основі найпоширенішого TI-стандарту STIX / TAXII;
- релевантна сортування даних для фокусування на найактуальніших загрози.
Open source Threat Intelligence Platform
Your Everyday Threat Intelligence (YETI)
YETI - Threat Intelligence платформа, що побачила світ у 2013 році. Доопрацювання та підтримку проекту здійснюють 2 розробника зі Швейцарії та Франції, які за останні 4 роки опублікували понад 1500 коммітов в репозиторій проекту на Github. Платформа активно підтримується і оновлюється по сьогоднішній день. YETI являє собою класичну TIP, яка здатна агрегувати дані з різних фідів і збагачувати їх. За замовчуванням в системі є 24 попередньо фида і API для інтеграції з іншими використовуваними в компанії продуктами ІБ.
Малюнок 12. YETI: інтерфейс
YETI взаємодіє з платформою реагування на інциденти Fast Incident Response (скор. FIR) і платформою аналізу шкідливих програм FAME, що розробляється відомої командою CERT французького конгломерату Société Générale. YETI підтримує інтеграцію з TIP MISP, яка розглянута в статті нижче, популярної IRP TheHive і збагачувачем даних Cortex.
Малюнок 13. YETI: архітектура
Таким чином, зібравши YETI з іншими відкритими продуктами, можна реалізувати весь цикл кіберрозвідку - від аналітики до реагування на інциденти.
переваги:
- проста установка в кілька рядків Bash;
- добре задокументована настройка, установка, API-інтеграція;
- можливість зв'язувати події, визуализируя інформацію графами;
- одна з найпростіших в налаштуванні та підтримці TIP з відкритим вихідним кодом.
Malware Information Sharing Platform (MISP)
Безумовно, лідером серед всіх платформ кіберрозвідку з відкритим вихідним кодом є MISP. Платформа була випущена більше 6 років назад і зібрала навколо себе величезне співтовариство професіоналів з SOC, CIRC, CERT, CIRT, CSIRT по всьому світу. Проект MISP включає в себе 40 репозиторіїв на Github, наприклад, репозиторії модулів інтеграції з іншими TIP, автоматичного деплоя (від англ. Deploy) Ansible і Vagrant, інтеграції MISP з програмою Maltego, бібліотеку REST API і інші пов'язані з платформою продукти.
Малюнок 14. MISP: інтерфейс
По роботі з MISP випущена ціла книга - MISP Book, в написанні якої брали участь такі організації, як:
- Belgian Ministry of Defence (CERT);
- CIRCL Computer Incident Response Center Luxembourg;
- Iklody IT Solutions;
- NATO NCIRC;
- Cthulhu Solutions;
- CERT-EU.
MISP інтегрується з величезною кількістю зовнішніх джерел через розроблені спільнотою плагіни інтеграції, кількість яких вже перевищує 30.
Малюнок 15. MISP: плагіни
Крім того, MISP інтегрується з IRP-системою TheHive, в зв'язці з якої здатна реалізувати гнучкий механізм реагування на інциденти ІБ, виявлені в рамках процесу кіберрозвідку.
Малюнок 16. MISP: інтеграція з TheHive
Преимущества:
- підтримка всіх відомих і використовуваних форматів імпорту і експорту;
- візуалізація графами, збагачення і класифікація інцидентів;
- величезне співтовариство професіоналів, безліч навчальних матеріалів, книга по використанню, установці, налаштуванні та адміністрування;
- щомісячні оновлення і підтримка розробників.
Висновки
Ринок платформ Threat Intelligence молодий і почав активно розвиватися лише 4 роки тому, проте вже став світовим трендом, оскільки ні для кого не секрет, що класичний підхід Firewall + Antivirus + SIEM більш не рятує від зловмисників. Threat Intelligence здатний змінити баланс сил в зворотну сторону, оскільки розуміння контексту тієї чи іншої події і збагачення даних про загрози з десятка різних джерел дозволяють об'єднати сукупні знання про хакерів і шкідливі програмному забезпеченні в одній єдиній платформі. TIP дозволяє моментально, в автоматичному режимі обмінюватися релевантними даними між різними філіями в компанії. Це дозволяє скоротити час реагування на інциденти до хвилин, знизити навантаження на аналітиків і фахівців ІБ і поліпшити якість їх роботи.