Threat Intelligence Platform (TIP) — это специализированная система для сбора, анализа и распространения информации об угрозах безопасности. Она помогает компаниям и организациям выявлять потенциальные риски, оценивать угрозы и оперативно реагировать на инциденты. В основе этих платформ лежит принцип превентивного подхода к киберугрозам, где ключевая цель — подготовить компанию к возможным атакам и помочь минимизировать последствия. Давайте рассмотрим более детально, как работают такие платформы.
Оглавление
1. Сбор данных
Главная задача TIP — собрать информацию о возможных угрозах. Источники могут быть разными:
Базы данных угроз — такие, как VirusTotal, где хранятся актуальные сведения о вирусах и других угрозах.
Отчёты о киберугрозах — компании делятся результатами своих исследований и рассказывают о том, какие виды атак сейчас распространены.
Автоматические источники данных — информация о вредоносных IP-адресах, подозрительных сайтах и других признаках атак.
Данные компании — внутренние логи и отчёты, в которых хранится информация о прошлых инцидентах безопасности.
TIP собирает все эти данные в одном месте, чтобы потом их можно было быстро и удобно проанализировать.
2. Анализ угроз
После сбора данных платформа начинает анализировать их, чтобы понять, какие угрозы представляют реальную опасность:
Классификация данных — разделяет данные по типам угроз, например, фишинг или DDoS-атаки.
Корреляция данных — TIP сопоставляет различные индикаторы угроз и выявляет связи. Например, если IP-адрес уже был замечен в кибератаках, TIP распознает его как опасный.
Добавление контекста — TIP дополняет данные дополнительной информацией, чтобы было понятно, насколько опасна угроза и что она собой представляет.
Приоритет угроз — TIP определяет, какие угрозы требуют немедленного внимания, а какие — менее опасны.
3. Передача информации
После анализа TIP отправляет информацию о выявленных угрозах и помогает принять меры:
Интеграция с другими системами — TIP может подключаться к системам, которые автоматически блокируют опасные IP-адреса и сайты.
Уведомления и отчёты — TIP отправляет отчёты и оповещения, чтобы сотрудники знали о новых угрозах и могли быстро реагировать.
Совместное использование данных — TIP позволяет делиться информацией о киберугрозах с другими компаниями, чтобы все были в курсе актуальных опасностей.
Преимущества использования TIP
Меньше рисков: TIP помогает заранее распознать угрозы и снизить их возможный вред.
Быстрое реагирование: TIP ускоряет процесс анализа и помогает быстро принимать меры.
Экономия ресурсов: TIP автоматизирует часть работы и освобождает время для решения других задач.
Популярные Threat Intelligence Platforms
В России разработаны собственные решения, которые адаптированы к специфике локального рынка и поддерживают высокий уровень защиты для бизнеса.
PT Threat Intelligence Feeds и PT Threat Analyzer — Комплексное решение для управления угрозами
Positive Technologies предлагает интегрированное решение для управления информацией об угрозах, которое можно собрать из двух ключевых компонентов: PT Threat Intelligence Feeds и PT Threat Analyzer. Это сочетание обеспечивает эффективное выявление, анализ и нейтрализацию киберугроз.
PT Threat Intelligence Feeds
PT Threat Intelligence Feeds — это потоки данных, содержащие индикаторы компрометации (вредоносные домены, IP-адреса, ссылки и хеш-суммы файлов), которые позволяют SOC-командам быть в курсе актуальных угроз информационной безопасности.
Уникальные данные о реальных угрозах: Обезличенная телеметрия из сотен инсталляций продуктов Positive Technologies формирует знание о текущих событиях в мире ИБ.
Репутация и оценка потенциального ущерба: Для каждого индикатора компрометации рассчитываются показатели «Репутация» и «Потенциальный ущерб», что помогает приоритизировать угрозы и сфокусироваться на предотвращении самых опасных.
Расширенные контекстные данные: Обогащение индикаторов компрометации дополнительными данными предоставляет аналитикам SOC необходимую информацию для принятия решений о реагировании на угрозы.
Интеграция с продуктами разных вендоров: PT Threat Intelligence Feeds поддерживает различные форматы и широкий перечень средств защиты, число которых постоянно растет.
Подробнее: PT Threat Intelligence Feeds
PT Threat Analyzer
PT Threat Analyzer — программная платформа для накопления и использования знаний об угрозах информационной безопасности. Она собирает данные из внешних и внутренних источников, нормализует их, дополняет контекстом и передает в продукты Positive Technologies.
Накопление знаний: Получает информацию об угрозах из различных источников, включая песочницы, анализаторы кода, коммерческие и открытые поставщики данных, WHOIS- и DNS-серверы.
Анализ угроз: Позволяет фильтровать данные об угрозах по разным параметрам, предоставляя аналитикам подробную информацию об индикаторах компрометации.
Обогащение данных: Дополняет данные дополнительным контекстом, позволяющим узнать больше о потенциальной угрозе.
Распространение информации: Мгновенная доставка актуальных данных в средства защиты информации помогает противостоять реальным угрозам.
Подробнее: PT Threat Analyzer
Синергия компонентов
Совместное использование PT Threat Intelligence Feeds и PT Threat Analyzer обеспечивает:
Централизованное управление данными об угрозах: PT Threat Analyzer агрегирует и обрабатывает данные из PT Threat Intelligence Feeds, создавая единую базу знаний для службы ИБ.
Ускоренное обнаружение и реагирование на угрозы: Актуальные индикаторы компрометации из PT Threat Intelligence Feeds позволяют PT Threat Analyzer быстро выявлять и нейтрализовать угрозы.
Обогащение данных для внешних систем: PT Threat Analyzer передает обработанные данные в другие продукты Positive Technologies, такие как MaxPatrol SIEM и PT Network Attack Discovery, повышая их эффективность.
Интеграция этих компонентов создает мощное решение для проактивного управления киберугрозами, обеспечивая надежную защиту информационных систем организации.
R‑Vision TIP — Платформа анализа информации об угрозах
R‑Vision Threat Intelligence Platform (TIP) — это платформа, предназначенная для автоматизации сбора, нормализации и обогащения индикаторов компрометации (IoC), а также для их передачи на внутренние средства защиты и поиска в инфраструктуре организации с помощью сенсоров.
Ключевые преимущества R‑Vision TIP:
Централизованный сбор данных: Платформа агрегирует информацию об угрозах из различных источников, включая Group-IB Threat Intelligence, Kaspersky Threat Intelligence, RST Cloud Threat Feed, BI.ZONE ThreatVision, AT&T Cybersecurity, АСОИ ФинЦЕРТ, MITRE ATT&CK и собственный R-Vision Threat Feed.
Обработка и обогащение: Индикаторы нормализуются, объединяются дублирующиеся записи, присваиваются рейтинги и устанавливаются политики устаревания. Платформа поддерживает обогащение данных с помощью более 20 сервисов, таких как VirusTotal, Whois, RiskIQ, Ipgeolocation.io, Hybrid Analysis, OPSWAT Metadefender, Shodan и MaxMind.
Анализ взаимосвязей: R‑Vision TIP собирает информацию об индикаторах и связанных с ними данных, включая вредоносное ПО, уязвимости (CVE, CPE, CWE), отчеты, субъекты угроз, техники и тактики из MITRE ATT&CK, а также другие индикаторы, что помогает формировать целостную картину угрозы.
Интеграция со средствами защиты: Обработанные данные автоматически передаются на внутренние средства защиты, такие как UserGate, Cisco, PaloAlto Networks, Check Point, McAfee и Ideco UTM, для немедленной блокировки угроз.
Мониторинг индикаторов: Платформа обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и отправляет оповещения при их обнаружении. Поддерживаются интеграции с системами QRadar, ArcSight, MaxPatrol SIEM, Apache Kafka и Smart Monitor.
Автоматизация сценариев: R‑Vision TIP позволяет создавать и автоматизировать сценарии работы с индикаторами, включая обогащение данных, мониторинг в событиях SIEM, оповещения и экспорт индикаторов на средства защиты.
Формирование бюллетеней: Платформа предоставляет конструктор бюллетеней для создания информационных материалов об угрозах и уязвимостях, которые можно распространять среди заинтересованных лиц и экспортировать на внешние системы через API.
R‑Vision TIP сертифицирована ФСТЭК России по 4 уровню доверия, а также поддерживает новые фиды ФинЦЕРТ «Фид-Антифрод». R‑Vision TIP помогает организациям эффективно управлять данными киберразведки, своевременно выявлять и блокировать угрозы, а также автоматизировать процессы информационной безопасности.
Подробнее: R-Vision TIP
Kaspersky Threat Intelligence — Комплекс сервисов информирования об угрозах
Kaspersky Threat Intelligence — это комплекс сервисов, предоставляющих подробный и содержательный контекст в ходе всего цикла управления инцидентом и обеспечивающих всестороннее понимание киберугроз. Поддержка ведущих мировых аналитиков.
Ключевые компоненты Kaspersky Threat Intelligence:
Kaspersky Threat Data Feeds: Индикаторы угроз, обогащённые дополнительными разведданными.
Kaspersky CyberTrace: Платформа сопоставления данных, поступающих с SIEM, с индикаторами угроз.
Kaspersky Threat Lookup: Поиск подробных данных об индикаторах угроз и связях между ними на основе Kaspersky Threat Intelligence Portal.
Kaspersky Threat Analysis: Комплекс технологий облачной песочницы, атрибуции и выявления схожести объектов для анализа угроз.
Kaspersky Digital Footprint Intelligence: Мониторинг потенциальных угроз в отношении организации на основе анализа данных даркнета и открытых источников.
Kaspersky APT Intelligence Reporting: Подробные отчёты об угрозах, связанных с APT-группировками.
Kaspersky Crimeware Intelligence Reporting: Подробные отчёты об угрозах, связанных с финансово мотивированными группировками.
Kaspersky ICS Threat Intelligence Reporting: Подробные отчёты об угрозах, связанных с промышленными предприятиями.
Kaspersky Threat Infrastructure Tracking: Отслеживание инфраструктур кибергруппировок с целью минимизации последствий.
Kaspersky Takedown Service: Полностью управляемое блокирование вредоносных и фишинговых доменов.
Kaspersky Ask the Analyst: Всесторонняя коммуникация с экспертами и расширение возможностей знаниями и ресурсами «Лаборатории Касперского».
Преимущества Kaspersky Threat Intelligence:
Единая точка доступа — Kaspersky Threat Intelligence Portal: Объединение экспертизы и всех знаний «Лаборатории Касперского» о киберугрозах в одном месте.
Взаимосвязанная работа сервисов: Сервисы обогащают и дополняют друг друга, обеспечивая комплексный подход к безопасности.
Покрытие тактических, операционных и стратегических данных об угрозах: Мониторинг угроз, релевантных для конкретной организации, с использованием собственных технологий обработки и нормализации данных.
Исследование образцов вредоносного ПО с их последующей атрибуцией: Возможность оповещения о поступлении новых данных в портал.
Проактивный подход к безопасности, основанный на данных киберразведки: Глобальная аналитика, обеспечивающая всестороннее представление о современном ландшафте угроз.
Доступ к единой всесторонней базе знаний об угрозах и их взаимосвязях от мировых экспертов в области кибербезопасности: Интеграция машиночитаемых данных Kaspersky Threat Data Feeds в SIEM или другие системы безопасности.
Проактивное выявление уязвимых мест в организации, которые могут быть проэксплуатированы злоумышленниками: Успешный опыт раннего обнаружения новых угроз.
Комплекс сервисов Kaspersky Threat Intelligence предоставляет подробный и содержательный контекст в ходе всего цикла управления инцидентом и обеспечивает всестороннее понимание киберугроз. Поддержка ведущих мировых аналитиков.
Подробнее: Kaspersky Threat Intelligence
F.A.C.C.T. Threat Intelligence — Проактивный анализ киберугроз
F.A.C.C.T. Threat Intelligence — это решение, предназначенное для проактивного анализа киберугроз и предотвращения атак на основе глубокого понимания методов и инструментов злоумышленников.
Ключевые возможности F.A.C.C.T. Threat Intelligence:
Графовый анализ: Интуитивно понятный интерфейс для исследования угроз, позволяющий прослеживать связи между злоумышленниками, их инфраструктурой и инструментами, а также получать детализированную информацию одним кликом.
Анализ данных из Darkweb: Доступ к самой обширной базе данных Darkweb среди компаний в области кибербезопасности. Возможность обнаружения нелегальной активности в сети и отслеживания упоминаний вашей организации в андеграунде с настройкой оповещений по интересующим темам.
Атрибуция угроз: Быстрое составление представления о поведении злоумышленников, их методах и используемой инфраструктуре, а также получение информации об их активности в формате матрицы MITRE ATT&CK.
Ландшафт угроз: Персонализированное отслеживание действий злоумышленников в виде матрицы «Ландшафт угроз», позволяющее получить всю необходимую информацию о тех, кто атакует вашу компанию, партнеров или отрасль.
Обнаружение утечек данных: Выявление скомпрометированных учетных данных, включая личные аккаунты VIP-персон, банковские карты и утекшие базы данных, до их использования злоумышленниками.
Борьба с фишингом: Автоматическое обнаружение и закрытие вредоносных сайтов для защиты бренда и клиентов вашей организации. Центр реагирования на инциденты F.A.C.C.T. оперативно блокирует фишинговые сайты, минимизируя ущерб.
Анализ эксплойтов: Детонация подозрительных файлов через Unified Risk Platform или передача их команде по реверс-инжинирингу для исследования. Просмотр результатов углубленного анализа уязвимостей, ставших мишенью определенных ВПО и злоумышленников, для приоритизации устранения слабых мест в системе защиты.
Преимущества F.A.C.C.T. Threat Intelligence:
Интеграция с существующими системами безопасности: Готовая интеграция с популярными SIEM, SOAR и TIP-инструментами, а также передача данных через API и STIX/TAXII.
Персонализированные отчеты об угрозах: Составление отчетов по запросу, а также ежемесячно или ежеквартально специально для высшего руководства компании.
Проактивная защита: Выявление и устранение уязвимостей до их эксплуатации злоумышленниками благодаря подробной информации о тактиках, техниках и процедурах атакующих.
Автоматизация рабочих процессов: Повышение эффективности команды за счет обогащения SIEM-, SOAR- и EDR-систем и платформ по управлению уязвимостями готовыми API-интеграциями с поддержкой TAXII и STIX.
Приоритизация устранения уязвимостей: Автоматизация оповещений при обнаружении уязвимостей или их эксплуатации злоумышленниками, атакующими предприятия вашей отрасли.
Сокращение времени реагирования: Быстрое устранение атакующих из вашей сети благодаря данным об используемых злоумышленниками методах атаки, представленным в формате матрицы MITRE ATT&CK.
F.A.C.C.T. Threat Intelligence предоставляет уникальную информацию об атакующих, нацеленных на вашу компанию, и оптимизирует механизмы защиты от них, эффективно предотвращая атаки, онлайн-мошенничество и другие виды киберугроз для защиты бизнеса по всему миру.
Подробнее: F.A.C.C.T. Threat Intelligence
BI.ZONE Threat Intelligence — Платформа киберразведки
BI.ZONE Threat Intelligence — это портал киберразведки, ориентированный на российский ландшафт угроз. Он предоставляет исчерпывающие данные о реальных атаках и кластерах активности, которые их реализуют, а также ежедневно обновляемые потоки индикаторов компрометации.
Ключевые возможности BI.ZONE Threat Intelligence:
Построение ландшафта киберугроз: Используйте данные об актуальных для вашей компании угрозах с учетом ее отрасли и географии.
Учет контекста срабатываний средств защиты информации (СЗИ): Устанавливайте связи выявленных индикаторов компрометации с известными угрозами, а также методами и инструментами атакующих.
Получение информации с теневых ресурсов: Будьте в курсе новых атак и инструментов злоумышленников, а также эксплуатируемых уязвимостей.
Устранение эксплуатируемых уязвимостей: Узнайте о слабых местах в вашей инфраструктуре, которыми пользуются злоумышленники в реальных атаках.
Улучшение сценариев киберучений: Проводите эмуляции атак в формате red team и purple team с учетом информации о реальных инцидентах.
Проактивный поиск киберугроз: Стройте гипотезы для threat hunting на основе детальных данных о тактиках, техниках и процедурах атакующих.
Данные на портале:
Стратегический уровень: Высокоуровневая обобщенная информация об угрозах, предназначенная для руководителей.
Тактический уровень: Техническая информация о методах атакующих для специалистов по кибербезопасности.
Операционный уровень: Техническая информация о конкретных атаках или кампаниях определенного кластера активности.
Технический уровень: Потоки индикаторов компрометации.
BI.ZONE Threat Intelligence получает уникальную информацию благодаря собственным командам киберразведки и реагирования на инциденты, сенсорам в защищаемых организациях и многим другим источникам.
Подробнее: BI.ZONE Threat Intelligence
Гарда Threat Intelligence — Платформа киберразведки
Гарда Threat Intelligence — это платформа, предназначенная для сбора, анализа, обогащения, упорядочивания и актуализации данных о киберугрозах. Сервис работает как с внутренними, так и с внешними источниками, обрабатывая информацию об индикаторах компрометации, тактиках, техниках и процедурах (TTP).
Ключевые возможности Гарда Threat Intelligence:
Масштабируемость: Платформа обрабатывает до 60 000 новых индикаторов компрометации в сутки, обеспечивая актуальность данных.
Разнообразие типов данных: Поддержка восьми типов данных, включая Botnet host, Spam, VPN, Proxy, TOR, DDoS, Phishing и Suspicious hosts.
Гибкость форматов: Предоставление фидов в четырех форматах: JSON, TXT, CSV и SIG, что облегчает интеграцию с различными системами безопасности.
Интеграция с системами безопасности: Сервис интегрируется с системами NTA, NDR, NGFW, EDR, WAF, SIEM, IPS/IDS, SOAR/IRP, antiDDoS, межсетевыми экранами и песочницами, повышая эффективность защиты.
Обогащение данных: Собственная база Geo IP позволяет настраивать политики безопасности межсетевых экранов и проводить расследования инцидентов информационной безопасности.
Преимущества использования Гарда Threat Intelligence:
Предотвращение атак: Сервис помогает предотвращать атаки на защищаемые активы, предоставляя актуальные данные об угрозах.
Снижение нагрузки на сотрудников: Интеграция с системами безопасности снижает нагрузку на сотрудников мониторинговых центров ИБ.
Актуальность данных: Ежедневная обработка большого объема данных обеспечивает своевременное обновление информации об угрозах.
Гибкость подписки: Сервис предоставляется по подписке сроком от 12 месяцев и более, что позволяет адаптировать его под потребности организации.
Гарда Threat Intelligence предоставляет структурированные данные о киберугрозах на основании анализа большого количества источников, что позволяет компаниям прогнозировать использование злоумышленниками новых техник и тактик, предпринимать защитные меры сообразно характеру угрозы и степени риска.
Подробнее: Гарда Threat Intelligence
Подводя итог: российские платформы киберразведки, такие как R‑Vision TIP, Kaspersky Threat Intelligence, F.A.C.C.T., PT Analyzer, BI.ZONE и Гарда, помогают компаниям лучше понимать и предугадывать кибератаки. Эти системы собирают и обрабатывают информацию о новых угрозах, помогают находить уязвимости в защите и вовремя предупреждают о возможных рисках. Их можно подключить к другим системам безопасности, чтобы автоматизировать часть работы и упростить жизнь специалистам по кибербезопасности. В итоге это позволяет бизнесу оставаться защищенным и готовым к неожиданностям.
Сообщения блогов группы «Личные блоги» (www.securitylab.ru)