О Threat Intelligence впервые громко заговорили в 2014 году. Тогда многие специалисты преподносили платформы такого типа как универсальное решение всех проблем безопасности. В то же время, разночтения о том, что такое Threat Intelligence Platform, ходят до сих пор.

В этой статье мы обобщим восьмилетний опыт эксплуатации TI-платформ и постараемся ответить на два главных вопроса: что она должна уметь и может ли Threat Intelligence быть для компании панацеей ото всех всех «болезней» ИБ.

Threat Intelligence: что это

Threat Intelligence – это систематизированные данные о киберугрозах. Они включают в себя всю полноту информации: от технических характеристик до паттерн поведения разных хакерских группировок. Это огромная база данных, на основе которых можно выстраивать защиту инфраструктуру компании.

Дмитрий Ковалев

Руководитель департамента информационной безопасности «Сиссофт»

Достоинство закрытых TI-продуктов в том, что компания получает проверенную информацию из первых рук. В этом случае источником данных выступает серьезный вендор, который гарантирует релевантность и регулярное обновление своей базы. В случае с открытыми TI-платформами как правило неясно, кто ее собирал, насколько полной является эта база и как давно она обновлялась. Безоговорочно доверять такой базе данных, руководствоваться только ей нельзя.

TI-платформу можно условно сравнить с универсальной вакциной или панацеей. «Инъекция» дает организму (компании) всю информацию сразу обо всех известных вирусах. При правильном процессе «вакцинации» это позволяет компании выработать иммунитет ко всем актуальным угрозам.

Антон Кузьмин

Руководитель Центра предотвращения киберугроз CyberART ГК Innostage.

TI-платформы умеют собирать, нормализовать и верифицировать информацию из множества разных источников и хранить все это в структурированном виде. Типичный цикл, как правило, состоит из шести ключевых этапов: сбор, нормализация, верификация, обогащение, хранение и распространение. Важной частью для TI-платформы являются фиды. Платформа собирает их сама, согласно фильтрам. Фиды, в свою очередь, распространяются на СЗИ или на другие TI-платформы.

Специалисты по ИБ используют TI-платформу, скорее, как инструмент для мониторинга и защиты. Однако он содержит TTPs и инструменты, с которыми так же, как и с индикаторами, работают аналитики. Сравнивать TI-платформы с простой базой знаний некорректно, так как это разные вещи. Первая работает и информацией, а вторая только хранит готовую информацию. А открытые платформы — это просто Open Source решения, из которых вытекают соответствующие плюсы и минусы. Но никак нельзя утверждать, что их функционал ограничен до базы знаний.

Но на пути к абсолютной защите возникают сразу три останавливающих фактора:

1. Проблема на входе. Данные о киберугрозах и их метрики существуют в десятке разных форматов. TI-платформа должна уметь работать с ними всеми.
2. Проблема обработки. Полученный массив данных нужно не только систематизировать, но и довести до состояния практически применимого продукта. В идеальном случае – это информативные дашборды.
3. Проблема на выходе. Полученные результаты оценки киберугроз нужно адаптировать под конкретного пользователя.

В результате получается, что Threat Intelligence Platform – это мощный продукт, который способен серьезно укрепить защиту компании за счет информации. Но, в то же время, такие платформы очень требовательны как с точки зрения оператора (обслуживающего вендора), так и с точки зрения потребителя. Это не сиюминутное решение всех проблем «из коробки».

Открытые и проприетарные TI-платформы

Теоретически, open-source решения выглядят более привлекательно. Ведь над ними работает огромное комьюнити, база данных обогащается за счет самых разных энтузиастов со всего мира. Красивый пример – это платформа MISP, на базе которой появился целый стандарт обмена данными об угрозах.

В то же время, достоинства открытых платформ в той же степени можно назвать недостатками, по двум причинам:

1. Проблема верификации. Как бы не была автоматизирована платформа, человеческий фактор нивелировать невозможно. Никакого подтверждения уровня специалистов, участвующих в верификации исходных данных и их обработке – нет.
2. Проблема доверия. За проприетарной платформой стоит имя. Например, за Kaspersky threat intelligence portal стоит вся лаборатория Касперского, работа которой вызывает вопросы только у госорганов США. В случае с открытыми платформами ответственность за любую ошибку будет коллективной, а значит – не лежит ни на ком.

Валерия Чулкова

Менеджер продукта R-Vision Threat Intelligence Platform компании R-Vision

С помощью решений с открытым исходным кодом компании могут начать знакомиться и работать с данными Threat Intelligence, затратив небольшое количество ресурсов на внедрение. Открытые TI-платформы создаются, разрабатываются и поддерживаются сообществами энтузиастов, и их использование условно бесплатно.

При этом нужно помнить, что энтузиасты-разработчики не связаны никакими финансовыми обязательствами с потенциальными и текущими пользователями той или иной открытой TI-платформы. Поэтому в данном случае нельзя говорить о каких-либо гарантиях и сроках разработки нужных функций и исправления ошибок.

С помощью создания различных модулей, плагинов и коннекторов можно адаптировать открытую TI-платформу под нужды организации и реализовать необходимые функции. Но стоит отметить, что такая гибкость требует существенных человеческих, временных и финансовых ресурсов организации для разработки, внедрения и поддержки новых возможностей. Поэтому использование открытых TI-платформ не требует вложений лишь на первый взгляд.

Мощный плюс проприетарных TI-платформ – это профессиональный подход и готовность адаптировать свой продукт под конкретную организацию. Проблема доверия здесь не стоит так остро, поскольку есть четко обозначенная ответственность вендора за свой продукт и представленную в базе информацию.

Использование Threat Intelligence платформ

Важно понимать, что T Intelligence – это продукт коллективного опыта специалистов по ИБ и машинных данных от разных систем безопасности множества компаний. Его ценность трудно переоценить.

В то же время, такой инструмент требует от компании высокого уровня зрелости с позиций информационной безопасности. TI-платформа дает исчерпывающий объем информации для ответа на любой вопрос о киберугрозах, но конечное решение всегда принимает специалист.

Источник: Cyber Media