О Threat Intelligence впервые громко заговорили в 2014 году. Тогда многие специалисты преподносили платформы такого типа как универсальное решение всех проблем безопасности. В то же время, разночтения о том, что такое Threat Intelligence Platform, ходят до сих пор.
В этой статье мы обобщим восьмилетний опыт эксплуатации TI-платформ и постараемся ответить на два главных вопроса: что она должна уметь и может ли Threat Intelligence быть для компании панацеей ото всех всех «болезней» ИБ.
Threat Intelligence – это систематизированные данные о киберугрозах. Они включают в себя всю полноту информации: от технических характеристик до паттерн поведения разных хакерских группировок. Это огромная база данных, на основе которых можно выстраивать защиту инфраструктуру компании.
Дмитрий Ковалев
Руководитель департамента информационной безопасности «Сиссофт»
Достоинство закрытых TI-продуктов в том, что компания получает проверенную информацию из первых рук. В этом случае источником данных выступает серьезный вендор, который гарантирует релевантность и регулярное обновление своей базы. В случае с открытыми TI-платформами как правило неясно, кто ее собирал, насколько полной является эта база и как давно она обновлялась. Безоговорочно доверять такой базе данных, руководствоваться только ей нельзя.
TI-платформу можно условно сравнить с универсальной вакциной или панацеей. «Инъекция» дает организму (компании) всю информацию сразу обо всех известных вирусах. При правильном процессе «вакцинации» это позволяет компании выработать иммунитет ко всем актуальным угрозам.
Антон Кузьмин
Руководитель Центра предотвращения киберугроз CyberART ГК Innostage.
TI-платформы умеют собирать, нормализовать и верифицировать информацию из множества разных источников и хранить все это в структурированном виде. Типичный цикл, как правило, состоит из шести ключевых этапов: сбор, нормализация, верификация, обогащение, хранение и распространение. Важной частью для TI-платформы являются фиды. Платформа собирает их сама, согласно фильтрам. Фиды, в свою очередь, распространяются на СЗИ или на другие TI-платформы.
Специалисты по ИБ используют TI-платформу, скорее, как инструмент для мониторинга и защиты. Однако он содержит TTPs и инструменты, с которыми так же, как и с индикаторами, работают аналитики. Сравнивать TI-платформы с простой базой знаний некорректно, так как это разные вещи. Первая работает и информацией, а вторая только хранит готовую информацию. А открытые платформы — это просто Open Source решения, из которых вытекают соответствующие плюсы и минусы. Но никак нельзя утверждать, что их функционал ограничен до базы знаний.
Но на пути к абсолютной защите возникают сразу три останавливающих фактора:
В результате получается, что Threat Intelligence Platform – это мощный продукт, который способен серьезно укрепить защиту компании за счет информации. Но, в то же время, такие платформы очень требовательны как с точки зрения оператора (обслуживающего вендора), так и с точки зрения потребителя. Это не сиюминутное решение всех проблем «из коробки».
Теоретически, open-source решения выглядят более привлекательно. Ведь над ними работает огромное комьюнити, база данных обогащается за счет самых разных энтузиастов со всего мира. Красивый пример – это платформа MISP, на базе которой появился целый стандарт обмена данными об угрозах.
В то же время, достоинства открытых платформ в той же степени можно назвать недостатками, по двум причинам:
Валерия Чулкова
Менеджер продукта R-Vision Threat Intelligence Platform компании R-Vision
С помощью решений с открытым исходным кодом компании могут начать знакомиться и работать с данными Threat Intelligence, затратив небольшое количество ресурсов на внедрение. Открытые TI-платформы создаются, разрабатываются и поддерживаются сообществами энтузиастов, и их использование условно бесплатно.
При этом нужно помнить, что энтузиасты-разработчики не связаны никакими финансовыми обязательствами с потенциальными и текущими пользователями той или иной открытой TI-платформы. Поэтому в данном случае нельзя говорить о каких-либо гарантиях и сроках разработки нужных функций и исправления ошибок.
С помощью создания различных модулей, плагинов и коннекторов можно адаптировать открытую TI-платформу под нужды организации и реализовать необходимые функции. Но стоит отметить, что такая гибкость требует существенных человеческих, временных и финансовых ресурсов организации для разработки, внедрения и поддержки новых возможностей. Поэтому использование открытых TI-платформ не требует вложений лишь на первый взгляд.
Мощный плюс проприетарных TI-платформ – это профессиональный подход и готовность адаптировать свой продукт под конкретную организацию. Проблема доверия здесь не стоит так остро, поскольку есть четко обозначенная ответственность вендора за свой продукт и представленную в базе информацию.
Важно понимать, что T Intelligence – это продукт коллективного опыта специалистов по ИБ и машинных данных от разных систем безопасности множества компаний. Его ценность трудно переоценить.
В то же время, такой инструмент требует от компании высокого уровня зрелости с позиций информационной безопасности. TI-платформа дает исчерпывающий объем информации для ответа на любой вопрос о киберугрозах, но конечное решение всегда принимает специалист.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться