SIEM
С древних времен философы на разных языках говорили: знание — сила. Сегодня мы в «Лаборатории Касперского» предлагаем очередную иллюстрацию этого афоризма — представляем платформу Machine-Readable Threat Intelligence, которая превращает аккумулируемое нами знание о ландшафте угроз в реальную силу, позволяющую защищать информационные инфраструктуры крупных предприятий от кибератак.
Сейчас практически на каждом предприятии enterprise-уровня используются многочисленные системы защиты, обеспечивающие безопасность различных сегментов инфраструктуры. Происходит постоянный сбор данных (логов) с периметра корпоративной сети: с прокси-серверов, сетевых шлюзов, файерволов и так далее, которые централизованно анализируются с помощью системы управления информационной безопасностью и событиями безопасности SIEM (Security Information and Event management).
Помимо сбора данных о том, что происходит в информационной инфраструктуре предприятия, SIEM-системы решают целый ряд задач. Однако их комплексный анализ, пожалуй, является самой важной. Именно поэтому мы создали инструмент, позволяющий снабжать SIEM-системы дополнительными потоками данных о современных угрозах. Эти потоки позволяют службе ИБ выявлять признаки вредоносной активности и вовремя реагировать на кибератаки.
По сути, именно так и работает платформа Machine-Readable Threat Intelligence, являющаяся частью экспертных сервисов «Лаборатории Касперского». Она получает от SIEM-систем протоколы происходящего в информационной инфраструктуре компании и сравнивает с потоками данных об известных нам угрозах. Если в процессе сравнения обнаруживаются пересечения, то платформа отправляет обратно предупреждение о вредоносной активности в формате, «понятном» SIEM-системам. В данный момент Machine-Readable Threat Intelligence может интегрироваться с наиболее распространенными SIEM-платформами: Splunk, IBM QRadar и HP ARCsight. Их поддержка позволяет применить наше решение в подавляющем большинстве enterprise-компаний. Однако в будущем мы планируем расширить набор поддерживаемых SIEM-систем, поскольку архитектура нашей платформы не зависит от типов источников данных.
Применение Machine-Readable Threat Intelligence Platform полностью соответствует общей позиции нашей компании — многослойность во всем. Даже если все рабочие станции, серверы и узлы в вашей информационной инфраструктуре уже защищены собственными решениями, имеет смысл организовать дополнительный уровень безопасности через SIEM-систему при помощи потоков данных об угрозах. В конце концов, программа, защищающая отдельную рабочую станцию, имеет информацию только о том, что происходит на ней, в то время как SIEM-системе доступен более широкий спектр данных. Соответственно, с ее помощью операционные центры защиты могут видеть всю картину в целом и обеспечивать дополнительный уровень защиты от угроз, которые по какой-либо причине не были выявлены другими средствами безопасности.
В отдельных же случаях организация эффективной информационной безопасности компании через SIEM-систему вообще является самым предпочтительным сценарием, поскольку для применения альтернативного варианта пришлось бы затевать ресурсоемкий процесс миграции всех конечных точек на новые средства защиты. А так предприятия имеют возможность получить надежную систему безопасности без необходимости внесения существенных изменений в используемую инфраструктуру.
В настоящий момент данные, поступающие в SIEM-системы от Machine-Readable Threat Intelligence Platform, состоят из нескольких потоков. Во-первых, это сетевые индикаторы с репутацией IP-адресов, вредоносными и фишинговыми ссылками, а также с адресами выявляемых технологиями «Лаборатории Касперского» командных центров, которые могут служить надежными признаками скрытой кибератаки. Во-вторых, хостовые индикаторы вредоносных программ (хеши), которые позволяют оперативно выявлять самые свежие зловреды. В-третьих, поток с данными о мобильных угрозах, предназначенный в первую очередь для телеком-операторов. Все потоки имеют дополнительные контекстные данные, позволяющие клиентам получить необходимую информацию об угрозе, приоритизировать работу команд IT-безопасности и операционных центров защиты и эффективнее реагировать на инциденты.
Доступно это решение по всему миру, а более подробную информацию о нем можно получить вот здесь.
