Компания R‑Vision обновила платформу управления данными киберразведки R‑Vision Threat Intelligence Platform до версии 1.15. Решения данного класса позволяют автоматизировать сбор, обработку и обогащение индикаторов компрометации, а также распространение проанализированных данных на используемые средства защиты информации. R‑Vision TIP обеспечивает поиск индикаторов в ИТ-инфраструктуре организации и помогает результативно среагировать на действия злоумышленников.
Возможность масштабировать сенсоры SIEM
Одно из важных обновлений – возможность распределенной установки сенсоров для интеграции с SIEM-системами с целью сбора индикаторов компрометации (IoC) непосредственно в филиалах заказчиков, ближе к потокам данных. В крупных компаниях, с множеством подведомственных организаций или с территориально распределенной ИТ-инфраструктурой, нет возможности абсолютной централизации сервисов и систем в одном месте, отсюда возникает потребность в их распределении.
R‑Vision TIP позволяет масштабировать сенсоры SIEM в любую точку, где требуется обрабатывать большой поток событий. Высокопроизводительные сенсоры на основании полученных правил обрабатывают индикаторы компрометации локально, в филиалах, отправляя в систему только события ИБ при их обнаружении. Так функционирует распределенная инсталляция сенсоров SIEM.
Аналитик SOC может видеть все подключенные и авторизованные сенсоры SIEM в пользовательском интерфейсе R‑Vision TIP. Также предусмотрена возможность удаленного конфигурирования сенсоров после их подключения к системе.
Управление жизненным циклом индикаторов компрометации
Пользователь платформы может определять время устаревания индикаторов компрометации в соответствии с заданными политиками или данными, предоставленными поставщиком фидов. Данный механизм устаревания IoCs способствует сокращению количества индикаторов, с которыми работает пользователь.
Реализованный инструмент позволяет аналитику ИБ применять логику устаревания к жизненному циклу индикатора компрометации. Индикатор, помеченный как устаревший, можно сделать недоступным для обработки и таких процессов, как обогащение, обнаружение, распространение за счет настраиваемых фильтров.
Создание и изменение индикаторов компрометации
Некоторые организации ведут самостоятельный сбор информации об угрозах. Для таких организаций особенно актуальна возможность заведения собственных индикаторов и их обработка в системе TIP. Пользователь платформы R‑Vision TIP имеет возможность вручную создавать найденные самостоятельно в ИТ-инфраструктуре индикаторы компрометации, добавляя в них всю необходимую информацию, например, тип, вид, значение, описание, теги, дату и время истечения индикатора и другую. Также пользователь может редактировать или удалять IoC, обеспечивая тем самым его актуальность.
“Мы наблюдаем на рынке ИБ растущую потребность в удобных инструментах управления, структурирования, обмена данными об угрозах, а также автоматизации действий с такими данными. Это напрямую связано с увеличивающимся объемом атак, их широким распространением по разным индустриям, расширяющимся инструментарием и техниками злоумышленников. Руководствуясь наблюдениями за изменениями ландшафта угроз, трендами рынка, тесной связью с пользователями продукта и сообществом TI, мы нацелены на развитие как функциональности, связанной с механизмами обработки данных, так и на предоставление инструментов для оперативного получения сведений об угрозах, поиска угроз внутри инфраструктуры в процессе реагирования на инциденты либо проактивно в режиме threat hunting ”, – отметил Антон Соловей, менеджер продукта R‑Vision TIP.
Аналитика и отчетность
В системе появился инструмент анализа источников данных – различные варианты аналитических отчетов, которые можно сформировать автоматически за требуемый период времени. Отчеты по источникам, подключенным к системе TIP, помогают проанализировать качество получаемых данных threat Intelligence в различных разрезах. На основе метрик, предоставляемых отчетами, пользователь может сделать выводы о качестве источников данных и скорректировать их набор. Можно автоматизировать формирование и отправку отчетов по электронной почте.
Расширение модели данных threat intelligence
Модель данных – это один из приоритетов развития системы для ее лучшей описательной способности. Чем шире модель данных в TIP, тем качественнее она может описывать определенные угрозы, взаимосвязи, отношения между ними. У пользователя складывается целостная картина, когда он получает ответы на вопросы: кто атаковал, когда атаковал, кого атаковал, почему и зачем атаковал, какие TTP (техники, тактики и процедуры) использовал. Для более полного отражения содержания угроз в модель данных R‑Vision TIP были добавлены новые сущности:
- сущность «Жертва», которая описывает пострадавшую от кибератаки сторону. Это может быть компания или даже конкретный человек. Но чаще всего «жертвой» является определенная организация;
- сущность «Личность», которая может описывать конкретного человека или группу людей, компанию, при этом являясь в рамках кибератаки нейтральной стороной;
- сущность «Субъект угрозы» обозначает атакующую сторону. Данная сущность может описывать конкретную вредоносную группировку или отдельного хакера;
- в сущности «Кампания» содержится информация о цепочке или цепочках вредоносной активности, которые объединены единой целью и мотивацией злоумышленника и происходят на протяжении ограниченного количества времени. Примером такой цепочки является DDoS-атака.
Добавленные сущности лежат в основе системы атрибуции угроз и позволяют пользователю отличить серьезные атаки от незначительных инцидентов и принять оперативные меры.
Ведение пользовательских белых списков IoCs
Пользователь может исключать из наборов индикаторов компрометации те сущности, которые, по его мнению, совершенно не вредоносны. Появилась возможность создавать свой список доверенных ресурсов ИТ-инфраструктуры, позволяющий отфильтровывать на этапе сбора данных невредоносные индикаторы компрометации. Таким образом исключение, в случае появления в фиде, не будет расценено как вредоносное и не попадет в базу данных TIP.
Поддержка формата STIX для выгрузки индикаторов компрометации
В обновленной версии платформы R‑Vision TIP предусмотрена возможность выгрузки индикаторов компрометации в формате STIX 2.1, который распознается множеством систем. Формат обмена данными STIX (Structured Threat Information eXpression) позволяет совместно использовать данные об угрозах и получать структурированную информацию об индикаторах компрометации. Также наряду с ним в системе поддерживается формат MISP и другие специализированные форматы обмена threat intelligence.
Кастомизируемые дашборды
Расширились варианты представления данных: стало возможным создавать произвольное количество дашбордов и добавлять на них виджеты, кастомизируемые в соответствии с требуемыми метриками. Аналитик SOC может создавать собственный дашборд, который решает конкретно его задачи, отражает нужную ему информацию и упрощает работу с данными.
Расширение возможностей public API
Наличие public API и его планомерное развитие позволяет повышать гибкость R‑Vision TIP в части кастомных функций и интеграций со сторонними системами. В новых версиях платформы реализована возможность создания индикаторов компрометации массово с помощью public API.
Также был оптимизирован поиск IoCs. Если внешней системе требуется получить информацию по большому объему индикаторов компрометации, то для этого требуется сделать лишь один запрос. Благодаря развитию функциональности public API повышается оперативность работы в системе TIP в целом.
Расширение функциональных возможностей работы с бюллетенями
В последних версиях системы можно создавать собственные шаблоны рекомендаций для формирования бюллетеней по угрозам или уязвимостям, что в разы ускоряет работу с ними. В бюллетенях, в зависимости от их типа, содержится общее описание угрозы или уязвимости, указываются сведения о наличии эксплойтов, рекомендации по минимизации влияния угрозы на ИТ-инфраструктуру или советы по устранению уязвимости, например, ссылки на обновления соответствующего ПО.
В дополнение ко всему появилась возможность добавить в бюллетень несколько изображений и указать аннотацию к каждому из них для предоставления целевой аудитории более детальной информации об угрозе.
Данное обновление особенно актуально для организаций с обширной филиальной сетью, а также для так называемых групп реагирования на компьютерные инциденты (от англ. CERT — Computer Emergency Response Team) и позволяет в кратчайшие сроки распространить важную информацию с целью принятия оперативных мер. Также свои бюллетени выпускают MSS-провайдеры.
