D
zielenie się zagrożeniami w branży bezpieczeństwa pozostaje głównie doraźną pracą, wypełnioną martwymi punktami, pułapkami i frustracją. W idealnym świecie prywatne firmy i agencje rządowe gromadzą i udostępniają odpowiednie, aktualne i dokładne informacje o nowych lub trwających cyberatakach tak szybko, jak to możliwe. Pozwala to innym konsumentom tych informacji uniknąć poważnych naruszeń (lub zminimalizować szkody spowodowane atakiem), a dostawcy usług, których infrastruktura (np. domeny, serwery) została wykorzystana do przeprowadzania ataków na bieżąco blokuje i usuwa wrogich klientów. Niestety nie zawsze tak jest, szczególnie jeżeli chodzi o unieszkodliwianie wrogich obiektów. Niemniej istnieje OTX – Open Threat Exchange zapewniając otwarty dostęp do globalnej społeczności badaczy cyberzagrożeń i specjalistów ds. bezpieczeństwa z różnych firm.
W ten sposób otrzymujemy dostęp do wielu danych pod postacią raportów, taktyk, technik i procedur (TTPs) oraz już opracowanych wskaźników kompromitacji (IoCs), które możemy wykorzystać w swoich systemach bezpieczeństwa na dwa sposoby: pasywny – sprawdzać czy wykryta u nas szkodliwa komunikacja (np. z adresami e-mail, URL, domenami, adresami IP) lub uruchomione podejrzane pliki są znane w bazie OTX; aktywny – blokować komunikację wewnątrz własnej sieci z wrogimi domenami, hasze szkodliwego systemu umieszczać na liście blokowania AV/EDR, a taktyki i techniki wykrywać w systemach zbierających zdarzenia systemowe. Po rejestracji OTX umożliwia każdemu członkowi społeczności aktywne dyskutowanie, badanie, weryfikowanie i udostępnianie najnowszych danych o zagrożeniach.
Impulsy:
Na platformie OTX podsumowanie zagrożeń o danej tematyce jest organizowana w impulsy, które dają nam wgląd w oprogramowanie będące celem ataku oraz powiązane wskaźniki naruszenia bezpieczeństwa, które można wykorzystać do wykrywania zagrożeń. Mają one postać: adresów IP, domen, adresów e-mail, adresów URL, haszy i ścieżek plików. Ich lektura ułatwia odpowiedź na pytania takie jak: Czy moja sieć jest narażona na to zagrożenie? Czy dotyczy to profilu mojej organizacji? Kto stoi za tym konkretnym atakiem i jakie są jego motywy? Jaki jest ich cel? Jakie podatności są wykorzystywane? Dzięki DirectConnect API możemy łatwo zautomatyzować eksportowanie IoC do naszych narzędzi bezpieczeństwa, eliminując potrzebę manualnego karmienia systemów. Możemy również pobrać wskaźniki impulsów w formacie CSV, OpenIOC lub STIX.
Sami możemy tworzyć impulsy dzięki narzędzia do ekstrakcji, aby automatycznie odseparowywać IoC z naszego źródła, w tym postów na blogu, raportów PDF, e-maili (.eml), PCAPów (plus pcap.zip), STIX, OpenIOC, CSV i plików tekstowych. Proces ten zidentyfikuje wskaźniki naruszenia bezpieczeństwa i wskaże te, które zostaną uznane te za mało prawdopodobne. Oczywiście sami mamy możliwość włączenia lub wyłączenia dowolnego wskaźnika znalezionego przez narzędzie OTX, a także manipulować nimi manualnie. W dowolnym momencie możemy aktualizować lub modyfikować swoje impulsy. Inni członkowie społeczności mogą sugerować nam zmiany, które możemy zaakceptować lub odrzucić – tworząc możliwość współpracy i dzielenia się wiedzą w społeczności na temat zagrożeń.
Więcej informacji: The World’s First Truly Open Threat Intelligence Community, OTX – platforma wymiany danych o cyberzagrożeniach