Фиды – открытые потоки данных с индикаторами компрометации (IP-адресами, URL, доменами, хэшами файлов и т. д.), которые можно использовать для обогащения средств защиты и наилучшего детектирования угроз. Их создают вендоры, которые занимаются расследованиями инцидентов, и различные некоммерческие организации.
Знания о киберугрозах в системах защиты: полезно, но сложно
В средствах защиты в целом мало знаний об угрозах, релевантных для компании
Средства защиты пропускают атаки, заточенные под конкретную географию, отрасль или компанию из-за недостатка релевантных знаний у вендора
Не хватает аналитиков для управления данными об угрозах
ИБ-специалисты сталкиваются с необходимостью вручную разбираться с потоком данных об угрозах, приоритизировать их, отсеивать ложные срабатывания и устаревшую информацию
Все данные об угрозах в инфраструктуре разрознены
Нарушается комплексность подхода к ИБ; средства защиты пропускают атаки, которые могли бы закрыть, если бы получали индикаторы компрометации от других систем ИБ в инфраструктуре
Наше решение
Positive Technologies Cybersecurity Intelligence ─ платформа для управления знаниями об угрозах. Она позволяет использовать бесплатные и коммерческие фиды, включая уникальный фид Positive Technologies.
PT CybSI автоматически собирает, нормализует и обогащает индикаторы компрометации – как из внешних фидов, так и из внутренних средств защиты. Далее она передает обработанные данные напрямую на используемые системы ИБ. Это позволяет точнее выявлять массовые, целенаправленные и отраслевые атаки.
Что такое фиды? Для чего они нужны?
Могу ли я подключить фиды сам?
Не у всех средств защиты технически реализована возможность подключиться к фидам, поэтому скорее всего придется разрабатывать свой коннектор. Кроме того, если просто подключить фиды без нормализации и приоритизации индикаторов, вы получите тысячи false positive, которые придется обрабатывать вручную.
Для решения этой задачи лучше использовать TI-платформу. TI-платформа агрегирует знания об угрозах из большого числа внешних источников, нормализует их и выстраивает связи между ними. Далее она распространяет знания об угрозах на используемые средства защиты, повышая их эффективность.
Преимущества
Позволяет легко использовать стороннюю экспертизу
Поддерживает получение данных из открытых источников, данных киберразведки ведущих экспертов РФ, отраслевых источников (ФинЦЕРТ)
Повышает эффективность используемых средств защиты
Интегрируется с продуктами PT и с продуктами других вендоров (через API) и обеспечивает автоматическую выгрузку данных TI на ваши средства защиты
Обеспечивает выявление самых современных угроз
Специалисты PT ESC регулярно пополняют фид Positive Technologies по результатам расследований инцидентов и ретроспективного анализа событий ИБ
Материалы
Условия приобретения
Права на использование PT Cybersecurity Intelligence предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация↗
Positive Technologies Cybersecurity Intelligence
Продукт внесен в Единый реестр российских программ для электронных вычислительных машин и баз данных «16» июля 2020 года, регистрационный номер 6817.