Threat Intelligence: российские платформы киберразведки

Threat Intelligence: российские платформы киберразведки

Threat Intelligence Platform (TIP) — это специализированная система для сбора, анализа и распространения информации об угрозах безопасности. Она помогает компаниям и организациям выявлять потенциальные риски, оценивать угрозы и оперативно реагировать на инциденты. В основе этих платформ лежит принцип превентивного подхода к киберугрозам, где ключевая цель — подготовить компанию к возможным атакам и помочь минимизировать последствия. Давайте рассмотрим более детально, как работают такие платформы.

1. Сбор данных

Главная задача TIP — собрать информацию о возможных угрозах. Источники могут быть разными:

  • Базы данных угроз — такие, как VirusTotal, где хранятся актуальные сведения о вирусах и других угрозах.
  • Отчёты о киберугрозах — компании делятся результатами своих исследований и рассказывают о том, какие виды атак сейчас распространены.
  • Автоматические источники данных — информация о вредоносных IP-адресах, подозрительных сайтах и других признаках атак.
  • Данные компании — внутренние логи и отчёты, в которых хранится информация о прошлых инцидентах безопасности.

TIP собирает все эти данные в одном месте, чтобы потом их можно было быстро и удобно проанализировать.

2. Анализ угроз

После сбора данных платформа начинает анализировать их, чтобы понять, какие угрозы представляют реальную опасность:

  • Классификация данных — разделяет данные по типам угроз, например, фишинг или DDoS-атаки.
  • Корреляция данных — TIP сопоставляет различные индикаторы угроз и выявляет связи. Например, если IP-адрес уже был замечен в кибератаках, TIP распознает его как опасный.
  • Добавление контекста — TIP дополняет данные дополнительной информацией, чтобы было понятно, насколько опасна угроза и что она собой представляет.
  • Приоритет угроз — TIP определяет, какие угрозы требуют немедленного внимания, а какие — менее опасны.

3. Передача информации

После анализа TIP отправляет информацию о выявленных угрозах и помогает принять меры:

  • Интеграция с другими системами — TIP может подключаться к системам, которые автоматически блокируют опасные IP-адреса и сайты.
  • Уведомления и отчёты — TIP отправляет отчёты и оповещения, чтобы сотрудники знали о новых угрозах и могли быстро реагировать.
  • Совместное использование данных — TIP позволяет делиться информацией о киберугрозах с другими компаниями, чтобы все были в курсе актуальных опасностей.

Преимущества использования TIP

  1. Меньше рисков: TIP помогает заранее распознать угрозы и снизить их возможный вред.
  2. Быстрое реагирование: TIP ускоряет процесс анализа и помогает быстро принимать меры.
  3. Экономия ресурсов: TIP автоматизирует часть работы и освобождает время для решения других задач.

Популярные Threat Intelligence Platforms

В России разработаны собственные решения, которые адаптированы к специфике локального рынка и поддерживают высокий уровень защиты для бизнеса.

PT Threat Intelligence Feeds и PT Threat Analyzer — Комплексное решение для управления угрозами

Positive Technologies предлагает интегрированное решение для управления информацией об угрозах, которое можно собрать из двух ключевых компонентов: PT Threat Intelligence Feeds и PT Threat Analyzer. Это сочетание обеспечивает эффективное выявление, анализ и нейтрализацию киберугроз.

PT Threat Intelligence Feeds

PT Threat Intelligence Feeds — это потоки данных, содержащие индикаторы компрометации (вредоносные домены, IP-адреса, ссылки и хеш-суммы файлов), которые позволяют SOC-командам быть в курсе актуальных угроз информационной безопасности.

  • Уникальные данные о реальных угрозах: Обезличенная телеметрия из сотен инсталляций продуктов Positive Technologies формирует знание о текущих событиях в мире ИБ.
  • Репутация и оценка потенциального ущерба: Для каждого индикатора компрометации рассчитываются показатели «Репутация» и «Потенциальный ущерб», что помогает приоритизировать угрозы и сфокусироваться на предотвращении самых опасных.
  • Расширенные контекстные данные: Обогащение индикаторов компрометации дополнительными данными предоставляет аналитикам SOC необходимую информацию для принятия решений о реагировании на угрозы.
  • Интеграция с продуктами разных вендоров: PT Threat Intelligence Feeds поддерживает различные форматы и широкий перечень средств защиты, число которых постоянно растет.

Подробнее: PT Threat Intelligence Feeds

PT Threat Analyzer

PT Threat Analyzer — программная платформа для накопления и использования знаний об угрозах информационной безопасности. Она собирает данные из внешних и внутренних источников, нормализует их, дополняет контекстом и передает в продукты Positive Technologies.

  • Накопление знаний: Получает информацию об угрозах из различных источников, включая песочницы, анализаторы кода, коммерческие и открытые поставщики данных, WHOIS- и DNS-серверы.
  • Анализ угроз: Позволяет фильтровать данные об угрозах по разным параметрам, предоставляя аналитикам подробную информацию об индикаторах компрометации.
  • Обогащение данных: Дополняет данные дополнительным контекстом, позволяющим узнать больше о потенциальной угрозе.
  • Распространение информации: Мгновенная доставка актуальных данных в средства защиты информации помогает противостоять реальным угрозам.

Подробнее: PT Threat Analyzer

Синергия компонентов

Совместное использование PT Threat Intelligence Feeds и PT Threat Analyzer обеспечивает:

  • Централизованное управление данными об угрозах: PT Threat Analyzer агрегирует и обрабатывает данные из PT Threat Intelligence Feeds, создавая единую базу знаний для службы ИБ.
  • Ускоренное обнаружение и реагирование на угрозы: Актуальные индикаторы компрометации из PT Threat Intelligence Feeds позволяют PT Threat Analyzer быстро выявлять и нейтрализовать угрозы.
  • Обогащение данных для внешних систем: PT Threat Analyzer передает обработанные данные в другие продукты Positive Technologies, такие как MaxPatrol SIEM и PT Network Attack Discovery, повышая их эффективность.

Интеграция этих компонентов создает мощное решение для проактивного управления киберугрозами, обеспечивая надежную защиту информационных систем организации.

R‑Vision TIP — Платформа анализа информации об угрозах

R‑Vision Threat Intelligence Platform (TIP) — это платформа, предназначенная для автоматизации сбора, нормализации и обогащения индикаторов компрометации (IoC), а также для их передачи на внутренние средства защиты и поиска в инфраструктуре организации с помощью сенсоров.

Ключевые преимущества R‑Vision TIP:

  • Централизованный сбор данных: Платформа агрегирует информацию об угрозах из различных источников, включая Group-IB Threat Intelligence, Kaspersky Threat Intelligence, RST Cloud Threat Feed, BI.ZONE ThreatVision, AT&T Cybersecurity, АСОИ ФинЦЕРТ, MITRE ATT&CK и собственный R-Vision Threat Feed.
  • Обработка и обогащение: Индикаторы нормализуются, объединяются дублирующиеся записи, присваиваются рейтинги и устанавливаются политики устаревания. Платформа поддерживает обогащение данных с помощью более 20 сервисов, таких как VirusTotal, Whois, RiskIQ, Ipgeolocation.io, Hybrid Analysis, OPSWAT Metadefender, Shodan и MaxMind.
  • Анализ взаимосвязей: R‑Vision TIP собирает информацию об индикаторах и связанных с ними данных, включая вредоносное ПО, уязвимости (CVE, CPE, CWE), отчеты, субъекты угроз, техники и тактики из MITRE ATT&CK, а также другие индикаторы, что помогает формировать целостную картину угрозы.
  • Интеграция со средствами защиты: Обработанные данные автоматически передаются на внутренние средства защиты, такие как UserGate, Cisco, PaloAlto Networks, Check Point, McAfee и Ideco UTM, для немедленной блокировки угроз.
  • Мониторинг индикаторов: Платформа обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и отправляет оповещения при их обнаружении. Поддерживаются интеграции с системами QRadar, ArcSight, MaxPatrol SIEM, Apache Kafka и Smart Monitor.
  • Автоматизация сценариев: R‑Vision TIP позволяет создавать и автоматизировать сценарии работы с индикаторами, включая обогащение данных, мониторинг в событиях SIEM, оповещения и экспорт индикаторов на средства защиты.
  • Формирование бюллетеней: Платформа предоставляет конструктор бюллетеней для создания информационных материалов об угрозах и уязвимостях, которые можно распространять среди заинтересованных лиц и экспортировать на внешние системы через API.

R‑Vision TIP сертифицирована ФСТЭК России по 4 уровню доверия, а также поддерживает новые фиды ФинЦЕРТ «Фид-Антифрод». R‑Vision TIP помогает организациям эффективно управлять данными киберразведки, своевременно выявлять и блокировать угрозы, а также автоматизировать процессы информационной безопасности.

Подробнее: R-Vision TIP

Kaspersky Threat Intelligence — Комплекс сервисов информирования об угрозах

Kaspersky Threat Intelligence — это комплекс сервисов, предоставляющих подробный и содержательный контекст в ходе всего цикла управления инцидентом и обеспечивающих всестороннее понимание киберугроз. Поддержка ведущих мировых аналитиков.

Ключевые компоненты Kaspersky Threat Intelligence:

  • Kaspersky Threat Data Feeds: Индикаторы угроз, обогащённые дополнительными разведданными. 
  • Kaspersky CyberTrace: Платформа сопоставления данных, поступающих с SIEM, с индикаторами угроз. 
  • Kaspersky Threat Lookup: Поиск подробных данных об индикаторах угроз и связях между ними на основе Kaspersky Threat Intelligence Portal.
  • Kaspersky Threat Analysis: Комплекс технологий облачной песочницы, атрибуции и выявления схожести объектов для анализа угроз. 
  • Kaspersky Digital Footprint Intelligence: Мониторинг потенциальных угроз в отношении организации на основе анализа данных даркнета и открытых источников.
  • Kaspersky APT Intelligence Reporting: Подробные отчёты об угрозах, связанных с APT-группировками. 
  • Kaspersky Crimeware Intelligence Reporting: Подробные отчёты об угрозах, связанных с финансово мотивированными группировками.
  • Kaspersky ICS Threat Intelligence Reporting: Подробные отчёты об угрозах, связанных с промышленными предприятиями.
  • Kaspersky Threat Infrastructure Tracking: Отслеживание инфраструктур кибергруппировок с целью минимизации последствий.
  • Kaspersky Takedown Service: Полностью управляемое блокирование вредоносных и фишинговых доменов.
  • Kaspersky Ask the Analyst: Всесторонняя коммуникация с экспертами и расширение возможностей знаниями и ресурсами «Лаборатории Касперского».

Преимущества Kaspersky Threat Intelligence:

  • Единая точка доступа — Kaspersky Threat Intelligence Portal: Объединение экспертизы и всех знаний «Лаборатории Касперского» о киберугрозах в одном месте.
  • Взаимосвязанная работа сервисов: Сервисы обогащают и дополняют друг друга, обеспечивая комплексный подход к безопасности.
  • Покрытие тактических, операционных и стратегических данных об угрозах: Мониторинг угроз, релевантных для конкретной организации, с использованием собственных технологий обработки и нормализации данных.
  • Исследование образцов вредоносного ПО с их последующей атрибуцией: Возможность оповещения о поступлении новых данных в портал.
  • Проактивный подход к безопасности, основанный на данных киберразведки: Глобальная аналитика, обеспечивающая всестороннее представление о современном ландшафте угроз.
  • Доступ к единой всесторонней базе знаний об угрозах и их взаимосвязях от мировых экспертов в области кибербезопасности: Интеграция машиночитаемых данных Kaspersky Threat Data Feeds в SIEM или другие системы безопасности.
  • Проактивное выявление уязвимых мест в организации, которые могут быть проэксплуатированы злоумышленниками: Успешный опыт раннего обнаружения новых угроз.

Комплекс сервисов Kaspersky Threat Intelligence предоставляет подробный и содержательный контекст в ходе всего цикла управления инцидентом и обеспечивает всестороннее понимание киберугроз. Поддержка ведущих мировых аналитиков.

Подробнее: Kaspersky Threat Intelligence

F.A.C.C.T. Threat Intelligence — Проактивный анализ киберугроз

F.A.C.C.T. Threat Intelligence — это решение, предназначенное для проактивного анализа киберугроз и предотвращения атак на основе глубокого понимания методов и инструментов злоумышленников.

Ключевые возможности F.A.C.C.T. Threat Intelligence:

  • Графовый анализ: Интуитивно понятный интерфейс для исследования угроз, позволяющий прослеживать связи между злоумышленниками, их инфраструктурой и инструментами, а также получать детализированную информацию одним кликом.
  • Анализ данных из Darkweb: Доступ к самой обширной базе данных Darkweb среди компаний в области кибербезопасности. Возможность обнаружения нелегальной активности в сети и отслеживания упоминаний вашей организации в андеграунде с настройкой оповещений по интересующим темам.
  • Атрибуция угроз: Быстрое составление представления о поведении злоумышленников, их методах и используемой инфраструктуре, а также получение информации об их активности в формате матрицы MITRE ATT&CK.
  • Ландшафт угроз: Персонализированное отслеживание действий злоумышленников в виде матрицы «Ландшафт угроз», позволяющее получить всю необходимую информацию о тех, кто атакует вашу компанию, партнеров или отрасль.
  • Обнаружение утечек данных: Выявление скомпрометированных учетных данных, включая личные аккаунты VIP-персон, банковские карты и утекшие базы данных, до их использования злоумышленниками.
  • Борьба с фишингом: Автоматическое обнаружение и закрытие вредоносных сайтов для защиты бренда и клиентов вашей организации. Центр реагирования на инциденты F.A.C.C.T. оперативно блокирует фишинговые сайты, минимизируя ущерб.
  • Анализ эксплойтов: Детонация подозрительных файлов через Unified Risk Platform или передача их команде по реверс-инжинирингу для исследования. Просмотр результатов углубленного анализа уязвимостей, ставших мишенью определенных ВПО и злоумышленников, для приоритизации устранения слабых мест в системе защиты.

Преимущества F.A.C.C.T. Threat Intelligence:

  • Интеграция с существующими системами безопасности: Готовая интеграция с популярными SIEM, SOAR и TIP-инструментами, а также передача данных через API и STIX/TAXII.
  • Персонализированные отчеты об угрозах: Составление отчетов по запросу, а также ежемесячно или ежеквартально специально для высшего руководства компании.
  • Проактивная защита: Выявление и устранение уязвимостей до их эксплуатации злоумышленниками благодаря подробной информации о тактиках, техниках и процедурах атакующих.
  • Автоматизация рабочих процессов: Повышение эффективности команды за счет обогащения SIEM-, SOAR- и EDR-систем и платформ по управлению уязвимостями готовыми API-интеграциями с поддержкой TAXII и STIX.
  • Приоритизация устранения уязвимостей: Автоматизация оповещений при обнаружении уязвимостей или их эксплуатации злоумышленниками, атакующими предприятия вашей отрасли.
  • Сокращение времени реагирования: Быстрое устранение атакующих из вашей сети благодаря данным об используемых злоумышленниками методах атаки, представленным в формате матрицы MITRE ATT&CK.

F.A.C.C.T. Threat Intelligence предоставляет уникальную информацию об атакующих, нацеленных на вашу компанию, и оптимизирует механизмы защиты от них, эффективно предотвращая атаки, онлайн-мошенничество и другие виды киберугроз для защиты бизнеса по всему миру.

Подробнее: F.A.C.C.T. Threat Intelligence

BI.ZONE Threat Intelligence — Платформа киберразведки

BI.ZONE Threat Intelligence — это портал киберразведки, ориентированный на российский ландшафт угроз. Он предоставляет исчерпывающие данные о реальных атаках и кластерах активности, которые их реализуют, а также ежедневно обновляемые потоки индикаторов компрометации.

Ключевые возможности BI.ZONE Threat Intelligence:

  • Построение ландшафта киберугроз: Используйте данные об актуальных для вашей компании угрозах с учетом ее отрасли и географии.
  • Учет контекста срабатываний средств защиты информации (СЗИ): Устанавливайте связи выявленных индикаторов компрометации с известными угрозами, а также методами и инструментами атакующих.
  • Получение информации с теневых ресурсов: Будьте в курсе новых атак и инструментов злоумышленников, а также эксплуатируемых уязвимостей.
  • Устранение эксплуатируемых уязвимостей: Узнайте о слабых местах в вашей инфраструктуре, которыми пользуются злоумышленники в реальных атаках.
  • Улучшение сценариев киберучений: Проводите эмуляции атак в формате red team и purple team с учетом информации о реальных инцидентах.
  • Проактивный поиск киберугроз: Стройте гипотезы для threat hunting на основе детальных данных о тактиках, техниках и процедурах атакующих.

Данные на портале:

  • Стратегический уровень: Высокоуровневая обобщенная информация об угрозах, предназначенная для руководителей.
  • Тактический уровень: Техническая информация о методах атакующих для специалистов по кибербезопасности.
  • Операционный уровень: Техническая информация о конкретных атаках или кампаниях определенного кластера активности.
  • Технический уровень: Потоки индикаторов компрометации.

BI.ZONE Threat Intelligence получает уникальную информацию благодаря собственным командам киберразведки и реагирования на инциденты, сенсорам в защищаемых организациях и многим другим источникам.

Подробнее: BI.ZONE Threat Intelligence

Гарда Threat Intelligence — Платформа киберразведки

Гарда Threat Intelligence — это платформа, предназначенная для сбора, анализа, обогащения, упорядочивания и актуализации данных о киберугрозах. Сервис работает как с внутренними, так и с внешними источниками, обрабатывая информацию об индикаторах компрометации, тактиках, техниках и процедурах (TTP).

Ключевые возможности Гарда Threat Intelligence:

  • Масштабируемость: Платформа обрабатывает до 60 000 новых индикаторов компрометации в сутки, обеспечивая актуальность данных.
  • Разнообразие типов данных: Поддержка восьми типов данных, включая Botnet host, Spam, VPN, Proxy, TOR, DDoS, Phishing и Suspicious hosts.
  • Гибкость форматов: Предоставление фидов в четырех форматах: JSON, TXT, CSV и SIG, что облегчает интеграцию с различными системами безопасности.
  • Интеграция с системами безопасности: Сервис интегрируется с системами NTA, NDR, NGFW, EDR, WAF, SIEM, IPS/IDS, SOAR/IRP, antiDDoS, межсетевыми экранами и песочницами, повышая эффективность защиты.
  • Обогащение данных: Собственная база Geo IP позволяет настраивать политики безопасности межсетевых экранов и проводить расследования инцидентов информационной безопасности.

Преимущества использования Гарда Threat Intelligence:

  • Предотвращение атак: Сервис помогает предотвращать атаки на защищаемые активы, предоставляя актуальные данные об угрозах.
  • Снижение нагрузки на сотрудников: Интеграция с системами безопасности снижает нагрузку на сотрудников мониторинговых центров ИБ.
  • Актуальность данных: Ежедневная обработка большого объема данных обеспечивает своевременное обновление информации об угрозах.
  • Гибкость подписки: Сервис предоставляется по подписке сроком от 12 месяцев и более, что позволяет адаптировать его под потребности организации.

Гарда Threat Intelligence предоставляет структурированные данные о киберугрозах на основании анализа большого количества источников, что позволяет компаниям прогнозировать использование злоумышленниками новых техник и тактик, предпринимать защитные меры сообразно характеру угрозы и степени риска.

Подробнее: Гарда Threat Intelligence

Подводя итог: российские платформы киберразведки, такие как R‑Vision TIP, Kaspersky Threat Intelligence, F.A.C.C.T., PT Analyzer, BI.ZONE и Гарда, помогают компаниям лучше понимать и предугадывать кибератаки. Эти системы собирают и обрабатывают информацию о новых угрозах, помогают находить уязвимости в защите и вовремя предупреждают о возможных рисках. Их можно подключить к другим системам безопасности, чтобы автоматизировать часть работы и упростить жизнь специалистам по кибербезопасности. В итоге это позволяет бизнесу оставаться защищенным и готовым к неожиданностям.

Threat Intelligence Россия импортозамещение
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Комнатный Блогер

Объясняю новую цифровую реальность