Картинка

БЛОГ про

все цікаве у світі телекомунікацій

GOSINT - open source рішення для управління індикаторами компрометації (IoC)

2019-02-09
Автор: Телесфера

Однією з гарячих тем в кібербезпеці останнім часом стали SOCі (Security Operations Center), які не дуже вдало переводять на російську мову як «центри моніторингу безпеки», применшуючи тим самим одну з важливих функцій SOC, пов'язану з реагуванням на інциденти ІБ. Але сьогодні мені не хотілося б вдаватися в термінологічні суперечки, а коротко розповісти про один з проектів, який був реалізований в нашому внутрішньому SOCе - системі керування індикаторами компрометації (IoC) GOSINT. Насправді служба ІБ Cisco не використовує термін «Security Operations Center», замінюючи його більш приземленим CSIRT (Cisco Security Incident Response Team). Так ось GOSINT - це один з численних наших проектів open source, який призначений для збору та уніфікації структурованої і неструктурованої інформації про загрози (threat intelligence). Я вже розповідав про те, як ми моніторимо безпеку нашої внутрішньої інфраструктури, тепер прийшла черга розповісти про те, що допомагає нам це робити найбільш ефективно.

На ілюстрації вище відображені деякі віхи нашої служби моніторингу і реагування на інциденти ІБ, яка була створена як окремий підрозділ близько двох десятиліть тому. За цей час ми накопичили колосальний досвід в області не тільки створення, але і експлуатації SOCов, яким ділимося як у вигляді ось таких ось заміток, статей і презентацій, так і у вигляді окремої послуги, в рамках якої ми допомагаємо нашим замовникам або побудувати, або провести аудит вже існуючого центру моніторингу ІБ. Якщо уважно подивитися на ілюстрацію, то останньою віхою на ній відзначена наша активність по викладанню у відкритий доступ наших open source рішень, які ми розробляли в рамках діяльності служби ІБ. Одним з таких проектів і стала система GOSINT, на яку ми покладаємо дуже важливу і дуже непросту задачу - збирати з розрізнених джерел індикатори компрометації, які потім збагачують події безпеки, що збираються з наших периметра, інфраструктури, мобільних пристроїв і хмар. А в чому проблема-то, запитаєте ви? Завести фіди з індикаторами можна навіть в Cisco Firepower з встановленим Threat Intelligence Director.

Але з такими фідамі виникає пара нюансів, які спливають в процесі практичної роботи з ними. По-перше, щоб оперативно отримувати дані про останні погрози, їх джерел повинно бути багато. Як ви думаєте, скільки служба моніторингу ІБ Cisco відстежує джерел фідів Threat Intelligence? Не буду називати точну цифру, але їх декілька тисяч. Якщо всі їх завести на Cisco Firepower з Threat Intelligence Director, то пристрій «просяде» по продуктивності, намагаючись обробити десятки і сотні тисяч індикаторів, що надходять за день з усіх джерел. Друга проблема, пов'язана з індикаторами компрометації, - їх низька якість. За нашими оцінками до 80% всіх індикаторів - це або застаріла інформація, або помилкові спрацьовування, або зовсім звичайне сміття, яке, однак, вимагає відповідної обробки.

Щоб вибудувати процес Threat Intelligence в своїй організації ви можете скористатися як комерційними, так і безкоштовними, вільно доступними в Інтернет джерелами інформації про загрози, які будуть завантажуватися в вашу TI-платформу або безпосередньо в SIEM або системи управління логами. GOSINT якраз і є інструментом, який збирає індикатори компрометації з різних джерел, перевіряє їх, вичищає від сміття, і потім подає на вхід використовуваних вами рішень з управління Threat Intelligence. Це можуть бути як комерційні рішення, так і вільно поширювані. Наприклад, в Cisco використовуються CRITs корпорації MITRE і MISP. У міру того, як сегмент Threat Intelligence розвивається і в ньому з'являються нові формати даних і обміну індикаторів компрометації, платформа GOSINT також розширюється за рахунок їх підтримки. Сьогодні серед підтримуваних нами джерел знаходяться OpenPhish, AlienVault OTX, Abuse.ch, Emerging Threats, malc0de, SANS ICS, Cisco Talos, pastebin і багато інших.

GOSINT виконує найважливішу роль в процесі Threat Intelligence - він автоматизує процес перевірки та передачі в «production» індикаторів компрометації. Навіть отримавши їх від вітчизняних постачальників фідів / бюлетенів, наприклад, від ГосСОПКІ або ФінЦЕРТа, від Лабораторії Касперського або BI.ZONE, від Перспективного моніторингу або Group-IB, ви повинні вирішити, давати цими індикаторами зелене світло або відхилити їх від подальшої обробки. GOSINT якраз і автоматизує це завдання, або в автоматичному режимі відсікаючи сміття, або допомагаючи аналітикам вашого SOC або служби реагування прийняти правильне рішення. Робиться це за рахунок перехресної перевірки індикатора через різні джерела Threat Intelligence.

Число джерел індикаторів компрометації в GOSINT не обмежено (кілька тисяч, як у нас в Cisco, це рішення обробляє без проблем) і підключатися вони можуть по-різному. Як правило, використовуються відповідні API. Наприклад, Cisco Umbrella, VirusTotal або Twitter API. Отримуючи інформацію по кожному індикатору, GOSINT може маркувати кожен з них відповідний чином, щоб аналітики SOC або служби реагування могли використовувати цю інформацію в майбутньому при аналізі інцидентів.

До складу GOSINT входить так званий менеджер рецептів, який полегшує створення обробників для одержуваних індикаторів. Наприклад, ви отримуєте хеш файлу, який хтось визнав шкідливим. Щоб зменшити число помилкових спрацьовувань і знизити навантаження на ваші системи ІБ, за допомогою Recipe Manager ви можете запустити перевірку хешу за різними джерелами Threat Intelligence і, якщо, три з них (і поріг спрацьовування, і кількість джерел для перевірки налаштовуються) дали позитивний вердикт (збіг знайдено), то даний хеш визнається релевантним і запускається в роботу - передається в MISP, CRITs, Cisco Threat Intelligence Director, Arcsight або QRadar.

У GOSINT є ще одна чудова функція «Ad Hoc Input» - підвантаження всіх індикаторів компрометації з конкретного URL. Наприклад, вам потрібно довантажити IoC по конкретній хакерської кампанії або по новому шкідливому коду щоб перевірити їх наявність у вашій інфраструктурі за допомогою використовуваного вами інструменту для Threat Hunting. Якщо ви використовуєте Cisco Threat Response, про який я вже розповідав, то ви копіюєте всі індикатори з опису загрози і вставляєте їх у стартове вікно Cisco Threat Response, яке потім починає шукати сліди у вашій інфраструктурі.

Якщо у вас немає Cisco Threat Response і ви використовуєте інші рішення по Threat Hunting, то GOSINT може бути інтегрований з ними якраз за рахунок функції Ad Hoc Input, яка автоматизує збір індикаторів по конкретному шкідливому коду або хакерської компанії з зазначеного URL.

фото

Багато розповідати про GOSINT не має сенсу - це не Stealthwatch з купою функцій, які допомагають виявляти загрози або аномалії у внутрішній мережі або в хмарній інфраструктурі. Ми розробляли GOSINT для автоматизації всього однієї функції, яка була дуже затребувана службою ІБ компанії Cisco. Це завдання ми успішно вирішили і змогли вбудувати GOSINT в наш процес Threat Intelligence. Якщо робота з індикаторами компрометації входить в вашу щоденну роботу, якщо у вас немає фінансів на покупку дорогих і, на жаль, не дуже ефективних платформ Threat Intelligence (ми перепробували багато рішень, але в підсумку зупинилися на власній розробці), то спробуйте GOSINT. Завантажити її можна з сторінці нашої служби моніторингу ІБ і реагування на інциденти на GitHub - https://github.com/ciscocsirt/GOSINT. З огляду на, що мова йде про open source, ви можете самостійно допилювати це рішення під свої потреби. GOSINT написана на мові Go з консоллю управління на JavaScript (але враховуйте, що ми регулярно оновлює GOSINT і ваші зміни можуть бути втрачені в процесі оновлення, описаним в документації).

Джерело: https://habr.com/ru/company/cisco/blog/438132/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).