Популярные зарубежные платформы киберразведки (Threat Intelligence Platforms)

Дата: 29.04.2022. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Популярные зарубежные платформы киберразведки (Threat Intelligence Platforms)
Изображение: cottonbro (Pexels)

В этой статье пойдет речь о зарубежных TI-платформах. Читатели узнают их характерные черты, особенности и преимущества использования.

Введение

Threat Intelligence Platform – программное обеспечение, которое использует миллионы источников данных для объединения, анализа, сопоставления и визуального представления информации об угрозах кибербезопасности, атаках и уязвимостях, чтобы специалисты ИБ были осведомлены о потенциальных рисках.

TI-платформы:

  • подключены к внутренним системам и внешним каналам для исследования среды;
  • обновляют данные в режиме реального времени, чтобы показывать пользователю актуальные глобальные и внутренние события;
  • интегрированы с системами обработки инцидентов.

Предприятия используют платформы киберразведки для сбора данных из различных источников и в различном формате. Как только данные об угрозах будут собраны и упорядочены, группы кибербезопасности смогут использовать TI-платформы для получения информации об известных угрозах. В условиях, когда уровень киберпреступности выше, чем когда-либо, Threat Intelligence Platforms быстро набирают популярность на рынке.

Платформы киберразведки объединяют данные об угрозах из разных организаций. Это дает возможность специалистам ИБ получить нужные сведения об угрозах и позволяет им предпринимать упреждающие действия. Данные могут быть получены из тысячи различных источников, поэтому достаточно сложно управлять ими вручную. Все больше и больше организаций полагаются на платформы Threat Intelligence для точного и своевременного выявления, расследования и противодействия кибератакам.

С помощью TI-платформ специалисты ИБ смогут тратить больше времени на анализ данных и исправление потенциальных уязвимостей, а не вкладывать свои ресурсы в сбор и управление полученной информацией. Еще одним преимуществом платформ киберразведки является их способность быстро и эффективно обмениваться разведданными с другими внутренними и внешними заинтересованными сторонами. Threat Intelligence Platforms могут быть развернуты либо локально, либо с помощью модели Software-as-a-service (SaaS).

5 ключевых параметров TI-платформ

Сегодня на рынке доступны различные платформы киберразведки, такие как независимые инструменты, комплексные решения, коммерческие продукты, а также бесплатные решения с открытым исходным кодом. Независимо от выбранного типа инструмента, пользователям стоит оценивать его по следующим пяти параметрам.

1.     Динамическое представление информации

Основной целью киберразведки является предоставление регулярной и актуальной информации о кибератаках. Это включает в себя как внутренние, так и глобальные данные. Платформа должна быть связана с конечными точками и системами безопасности для мониторинга ситуации на предмет угроз. Кроме того, она должна следить за постоянным потоком новых и возникающих угроз по всему миру. Комплексные решения обеспечивают индивидуальный анализ для снижения внутренней рабочей нагрузки.

2.     Автоматизация рабочих процессов

TI-платформы могут развертывать автоматизацию на нескольких уровнях. Они способны автоматически извлекать и обновлять информационные каналы без создания специальных отчетов. Инструменты даже могут интегрироваться с системами управления инцидентами для автоматического оповещения и инициирования автоматического устранения неполадок. Threat Intelligence Platforms нового поколения используют когнитивные технологии для фильтрации шума и автоматического отображения только высокоприоритетной информации.

3.     Интеграция с IT-экосистемой

Выбранная TI-платформа должна поддерживать интеграцию с остальной частью IT-инфраструктуры. В идеале это должна быть двунаправленная интеграция, которая означает, что IT-системы доставляют данные о внутренних угрозах на платформу, в то время как платформа передает поток данных в реальном времени в центр управления безопасностью. Большинство платформ включают в себя гибкие программные интерфейсы приложений (API) для подключения практически к любой программной системе.

4.     Интеллектуальная визуализация данных

Визуализация данных лежит в основе Threat Intelligence. Данные могут быть полезны специалистам ИБ только в том случае, если они представлены в разумной и простой для использования форме. Платформа должна включать в себя информационные панели, которые поддерживают доступ на основе ролей, фильтрацию и поиск данных, настройку макета. Данные Threat Intelligence должны быть визуализированы с помощью карт, графиков тенденций, таблиц и диаграмм – по мере необходимости – чтобы специалисты ИБ могли легко обнаружить корреляции и выполнить более глубокий анализ.  

5.     Инструменты анализа

Функция, которая в настоящее время становится все более популярной при выборе платформ киберразведки, — это встроенные инструменты анализа. Хотя платформа может быть интегрирована с внешним инструментом анализа с использованием API, иногда полезно использовать встроенные инструменты для анализа и расследования угроз. Например, встроенные параметры поиска могут помочь сориентироваться в огромном потоке информации, содержащейся в ленте новостей. Некоторые платформы также поддерживают совместный анализ.

Популярные зарубежные платформы киберразведки

По данным Mordor Intelligence Research, рынок платформ киберразведки растет: его цена уже выросла с 5,28 миллиарда и в ближайшие года достигнет отметки в 13,9 миллиарда долларов. Давайте взглянем на популярные зарубежные TI-платформы.

1.     Anomali ThreatStream

Anomali – это американская компания, работающая в сфере кибербезопасности, основанная в 2013 году. Она специализируется на продуктах Threat Intelligence, ориентированных на предприятия.

Характерные особенности:

  • собирает данные из сотен источников и объединяет их в единый набор;
  • автоматически извлекает и обновляет данные для обмена с заинтересованными сторонами;
  • интегрируется с существующими инструментами через workbench;
  • есть интерактивные панели с тактической, технической, оперативной и стратегической информацией о киберугрозах;
  • включает в себя инструмент визуального анализа ссылок для сопоставления индикаторов угроз с моделями угроз более высокого уровня.

USP: Anomali ThreatStream очень эффективен в плане уменьшения количества ложных срабатываний. Инструмент может автоматически сопоставлять различные Tactics, Techniques, and Procedures (TTPS) с помощью инструмента Visual Explorer.

Платформа предоставляется на платной основе.

Anomali предназначена в первую очередь для проведения исследований. Инструмент помогает собирать и сопоставлять глобальные данные для исследования инфраструктуры злоумышленников, но не всегда подходит для реагирования на угрозы в режиме реального времени.

2.     Dataminr Pulse

Dataminr – это компания из США, которая была основана в 2009 году. Она специализируется на обнаружении угроз и оповещении об этом. Компания известна своей запатентованной технологией с использованием искусственного интеллекта.

Характерные особенности:

  • визуализация информации в режиме реального времени на настраиваемых уровнях и степенях конкретности; данные собираются из более чем 200 000 общедоступных источников;
  • автоматизация сбора и анализа данных, оповещения пользователей;
  • Datamine Pulse hub обеспечивает интегрированную видимость сквозной IТ-среды и пользовательского ландшафта;
  • панель мониторинга на основе искусственного интеллекта, которая предоставляет информацию с помощью интуитивно понятного интерфейса и оповещений в режиме реального времени;
  • использование геовизуализации, чтобы помочь сопоставить инциденты; это дает возможность специалистам ИБ совместно анализировать и устранять угрозы.

USP: Dataminr использует геовизуализацию на основе искусственного интеллекта для обеспечения визуального контекста, необходимого для устранения даже комплексных угроз безопасности.

Платформа предоставляется на платной основе.

Эта платформа подходит для распределенных компаний благодаря тесному сотрудничеству между группами ИБ, находящимися в разных частях страны или мира; они могут совместно проводить анализ активов и анализ угроз. Стоит отметить, что для настройки платформы потребуется значительное время и усилия.

3.     IBM X-Force Exchange

Основанная в 1911 году, компания IBM входит в число ведущих мировых поставщиков ПО. X-Force Exchange – это исследовательская инициатива компании для анализа угроз, что представляет собой платформу для обмена данными.

Характерные особенности:

  • динамически собирает данные и отчеты из различных общедоступных и закрытых источников;
  • каналы данных Exchange обновляются автоматически, можно настроить автоматизацию на основе API;
  • есть возможность интеграции X-Force Exchange с межсетевыми экранами, системами предотвращения вторжений, а также SIEM;
  • для визуализации данных об угрозах используются карты, графики, отчеты, временная шкала;
  • можно приобрести или оформить подписку на различные инструменты анализа в IBM X-Force Exchange App Exchange.

USP: Платформа позволяет ознакомиться с конкретными типами угроз, отчетами, регионами и действиями, прежде чем инвестировать в защиту от них. Компаниям нужно платить только за ту информацию, которую они используют.

Платформа предоставляется на платной основе.

IBM X-Force Exchange отвечает за исследования государственного сектора в области кибератак. Независимые аналитики угроз могут извлечь выгоду из его процветающего сообщества. Однако веб-пользовательский интерфейс (UI) чрезвычайно требователен к пропускной способности и тратит достаточное время на запуск.

4.     Mandiant Advantage

Mandiant – это компания в сфере кибербезопасности, основанная в 2004 году, она публично торгуется на бирже NASDAQ. Компания специализируется на Threat Intelligence и услугах по управлению безопасностью.

Характерные особенности:

  • визуализирует корпоративные угрозы и данные об общественной безопасности в режиме реального времени;
  • автоматизирует реагирование на инциденты с помощью возможностей платформы Mandiant Automated Defense;
  • интегрируется с внутренними средствами контроля кибербезопасности для выполнения проверок и обеспечения соблюдения политик;
  • интуитивно понятные информационные панели Mandiant, основанные на ролях, предоставляют всем заинтересованным сторонам полезную информацию;
  • есть возможность увидеть поверхность атаки глазами внешних вредоносных объектов, чтобы обнаружить и устранить все риски.

USP: Работа платформы построена на использовании собственного хранилища интеллектуальных данных компании под названием Mandiant Intel Grid. Это обеспечивает доступ к данным, полученным в результате проведения более 900 различных мероприятий в сфере ИБ.

Платформа предоставляется на платной основе.

Компании с центрами мониторинга информационной безопасности (SOC) могут извлечь выгоду из использования независимой от поставщика аналитики Mandiant. Однако клиенты отмечают, что исправления уязвимостей не всегда публикуются вовремя.

5.     McAfee Threat Intelligence Exchange

McAfee – это американская компания по разработке программного обеспечения в сфере кибербезопасности. Она известна своими эффективными предложениями для потребителей и бизнеса. Компания была основана в 1987 году и торгуется на бирже NASDAQ.

Характерные особенности:

  • использует DXL для создания каналов данных от всех подключенных систем безопасности, а также получения глобальных данных;
  • автоматизация защиты конечных точек с помощью настраиваемых политик, основанных на толерантности к рискам;
  • может интегрироваться и извлекать данные из различных сторонних IТ-систем;
  • панель управления McAfee Threat Intelligence Exchange отображает неизвестные индикаторы угроз и потенциально вредоносные файлы;
  • вся полученная информация анализируется и используется для защиты от новых угроз.

USP: McAfee Threat Intelligence Exchange имеет функцию адаптивного обнаружения, которая позволяет ускорить защиту от неизвестных типов файлов.

Платформа предоставляется на платной основе.

Платформа фокусируется исключительно на защите конечных точек и связанных с ними угрозах. Предприятия с растущей экосистемой конечных точек могут использовать это решение в сочетании с другими предложениями McAfee для обеспечения полной защиты. Компаниям, которым требуется целостное решение (например, решение, охватывающее виртуальные машины), возможно, потребуется дополнительно инвестировать средства в другие решения.

6.     Mimecast Threat Intelligence

Mimecast – это технологическая компания, основанная в 2003 году, она торгуется на бирже NASDAQ. Компания базируется в Великобритании и предлагает различные инструменты в сфере облачной безопасности.

Характерные особенности:

  • предоставляет информацию, относящуюся к среде организации, заблокированным угрозам и тактикам атак;
  • оценивает поступающую информацию для определения приоритетов и автоматического анализа угроз;
  • можно использовать инструменты и API для настройки интеграции с SIEM и другими системами;
  • панель мониторинга Mimecast Threat Intelligence позволяет просматривать общие тенденции, выполнять детальный анализ и получать отчеты об исследованиях;
  • можно использовать Mimecast для устранения угроз, анализа полученных данных и принятия соответствующих действий.

USP: У Mimecast есть собственный Threat Center, исследовательский центр, где специалисты ИБ могут отслеживать глобальный ландшафт угроз на предмет новых уязвимостей и атак.

Платформа предоставляется на платной основе.

В то время как Mimecast известна своей защитой электронной почты, ее TI-платформа на удивление охватывает многие аспекты безопасности. Компаниям следует использовать различные API-интерфейсы Mimecast для целенаправленной разведки вредоносных программ, угроз конечных точек и других вариантов вторжения. Однако пользовательский интерфейс поначалу может сбивать с толку из-за своего внешнего вида. Потребуется некоторое время, чтобы полностью разобраться с функционалом программы.

7.     MISP Threat Sharing

Malware Information Sharing Platform (MISP) – это проект с открытым исходным кодом, целью которого является разработка утилит для анализа угроз путем обмена индикаторами компрометации (IOC). Он запущен в 2011 году.

Характерные особенности:

  • содержит динамическую базу данных IOC, которая включает в себя информацию о вредоносных программах, инцидентах, злоумышленниках и связанных с ними данных;
  • автоматически сопоставляет атрибуты и индикаторы с детальным контролем над механизмом корреляции;
  • имеет гибкий API для интеграции существующих инструментов;
  • имеет интуитивно понятный графический интерфейс, график событий и возможность экспорта данных;
  • доступна совместная работа, чтобы заинтересованные стороны могли быстро анализировать и устранять инциденты.

USP: MISC — одно из немногих крупномасштабных сообществ по анализу угроз, имеющих свою программную платформу. Можно с легкостью получить знания и сократить усилия при расследовании угроз.

Платформа предоставляется на бесплатной основе.

Специалистам ИБ требуются знания Python для настройки данного решения. Это отличный инструмент с открытым исходным кодом без каких-либо компромиссов в отношении функций, при условии, что пользователь готов пройти начальный процесс обучения и уже обладает необходимыми знаниями.

8.     OpenCTI

OpenCTI – это платформа киберразведки с открытым исходным кодом, разработанная French National Agency for the Security of Information Systems (ANSSI) и некоммерческой организацией Luatix.

Характерные особенности:

  • отображает оперативную и стратегическую информацию с помощью единой модели данных, основанной на стандартах STIX2;
  • автоматически делает логические выводы, предоставляя аналитическую информацию и корреляции в режиме реального времени;
  • архитектура с открытым исходным кодом обеспечивает легкую интеграцию со всеми доступными системами;
  • можно визуализировать объекты и их взаимосвязи, включая вложенные взаимосвязи, с несколькими вариантами просмотра;
  • вся информация и показатели связаны с основным источником для проведения подробного анализа, оценки и исправления ошибок.

USP: OpenCTI опирается на сложный гиперграф знаний, основанный на графической аналитике. Это позволяет создавать гипер-объекты и гипер-отношения для высокоточных прогнозов угроз.

Платформа предоставляется на бесплатной основе.

OpenCTI идеально подходит для сравнительного анализа благодаря виджетам для сравнения сценариев атак. Однако, поскольку это платформа с открытым исходным кодом, пользователь не сможет получать специальной поддержки или гарантированных обновлений.

9.     Palo Alto Networks AutoFocus

Основанная в 2005 году, Palo Alto Networks – это американская компания в сфере кибербезопасности, торгуется на бирже NASDAQ. AutoFocus предоставляет доступ к огромному хранилищу исследований угроз.

Характерные особенности:

  • содержит более 14 миллиардов уникальных образцов угроз и более 7 триллионов детализированных артефактов;
  • можно автоматизировать задачи безопасности с помощью встроенных инструментов и встроенных карт Intel;
  • платформа может быть связана с различными системами управления инцидентами и другими сервисами для обеспечения консолидированной видимости угроз;
  • включает в себя информационные панели, отчеты и оповещения, настроенные в соответствии с нуждами компании;
  • анализ данных, используя более 130 поисковых измерений и встроенные инструменты.

USP: 84% обнаруженных образцов угроз постоянно анализируются командой Palo Alto’s Unit 42 Threat Intelligence. Это означает, что происходит не только автоматизированный анализ – специалисты Palo Alto Networks усердно работают над изучением выявленных инцидентов.

Платформа предоставляется на платной основе.

Желательно осуществить Palo Alto’s AutoFocus Security Lifecycle Review, чтобы оценить свой ландшафт угроз и то, как данная платформа может помочь компании, прежде чем инвестировать в ее покупку. Пользователи сообщают о некоторых недостатках пользовательского интерфейса. Консоль управления может быть недостаточно интуитивно понятной.

10.  VirusTotal Intelligence

VirusTotal — это запущенное в 2004 году решение, которое Google приобрела в 2012 году. Теперь оно принадлежит Chronicle Security (часть Google Cloud).

Характерные особенности:

  • объединяет возможности поисковой системы Google с данными Facebook для создания информационных каналов;
  • автоматически запускает файлы в виртуальных изолированных средах для изучения и анализа;
  • может интегрироваться с локальными IТ-системами;
  • визуализирует данные и позволяет искать информацию об угрозах;
  • имеет множество функций для анализа угроз, таких как контекстуализированный поиск, сопоставление связей, выполнение в изолированной среде, кластеризация.

USP: VirusTotal работает на базе инфраструктуры Google и содержит в своем наборе данных более 2,4 миллиарда файлов. Это гарантирует, что пользователь получит исчерпывающие профили угроз, взаимосвязи и характеристики, представленные в виде уникальных диаграмм.

Платформа предоставляется на платной основе.

Основная цель VirusTotal – упростить этап поиска при расследовании угроз. Решение необходимо использовать совместно с другими системами информационной безопасности, чтобы полностью раскрыть его потенциал. Однако пользователи отмечают потенциальную проблему с ложными срабатываниями, о чем может свидетельствовать VirusTotal.RAR или исполняемые файлы с зашифрованным содержимым.

11.  SolarWinds Security Event Manager

SolarWinds Security Event Manager (SEM) объединяет в себе отслеживание событий с получением потока новой информации об угрозах. Платформа может идентифицировать как потенциальные, так и активные угрозы, а также автоматически развертывать меры реагирования для их устранения. SEM способна выявлять угрозы и реагировать на них как в локальных центрах обработки данных, так и в облачных средах.

Характерные особенности:

  • отслеживание событий в журнале;
  • логарифмическая корреляция и анализ;
  • единый интерфейс;
  • система реагирования при обнаружении угроз;
  • отчеты о соответствии требованиям.

USP: SolarWinds SEM была разработана с четкой централизованной панелью мониторинга и командным интерфейсом, что позволяет легко отслеживать выявленные угрозы и быстро принимать меры для решения проблем безопасности. Эта панель мониторинга также может использоваться для создания аналитических отчетов.

Платформа предоставляется на платной основе.

12.  Palo Alto Networks Cortex XSOAR TIM

Palo Alto Networks выпустила новую платформу Cortex XCSOAR Threat Intelligence Management (TIM). Ее работа нацелена на выявление наиболее актуальных угроз с помощью контекста, автоматизации и данных об угрозах из подразделения Palo Alto’s Unit 42 Threat Intelligence, а также огромного количества сетевых, конечных и облачных источников intel, используемых компанией.

Характерные особенности:

  • упреждающая защита от атак;
  • анализ угроз, автоматически встроенный в существующие инструменты; он обеспечивает мгновенный контекст и понимание угроз и событий;
  • автоматическое сопоставление, помогающее идентифицировать соответствующие угрозы, взаимосвязи между участниками угроз и методы атак;
  • детальный поиск;
  • более 700 интеграций с продуктами сторонних производителей.

USP: Объединение анализа угроз с Cortex security orchestration, automation and response (SOAR) позволяет интегрировать информацию об угрозах в рабочие процессы, добавляя возможности управления инцидентами, организации и автоматизации. Платформа TIM пока не имеет большого количества отзывов пользователей, но пользователи XSOAR в целом довольны.

Платформа предоставляется на платной основе.

13.  LogRhythm Threat Lifecycle Management (TLM) Platform

Платформа LogRhythm Threat Lifecycle Management (TLM) обеспечивает скоординированный сбор данных, анализ и реагирование на инциденты, позволяющее организациям по всему миру быстро обнаруживать, нейтрализовывать и восстанавливаться после инцидентов безопасности.

Характерные особенности:

  • автоматическое обнаружение угроз;
  • интеграция со сторонними инструментами;
  • мгновенное реагирование на инциденты.

USP: Платформа может обрабатывать 26 миллиардов сообщений в день. Она также способна автоматизировать обнаружение угроз и определение приоритетов с помощью сопоставления с образцом и расширенной корреляции с машинным обучением и статистическим анализом.

Платформа предоставляется на платной основе.

14.  LookingGlass Cyber Solutions

LookingGlass Cyber Solutions – это платформа для анализа угроз с открытым исходным кодом, которая обеспечивает унифицированную защиту от сложных кибератак для предприятий и правительственных учреждений путем оперативного анализа.

Характерные особенности:

  • поставляется с большой коллекцией активных каналов;
  • есть инструмент Threat Indicator Confidence;
  • свой репозиторий данных.

USP: LookingGlass объединяет структурированные и неструктурированные данные из более чем 87 готовых каналов, а также других коммерческих каналов, приобретаемых отдельно. Платформа предоставляет наиболее релевантные данные для бизнеса, классифицируя элементы сети в хранилище.

Платформа предоставляется на бесплатной основе.

15.  ThreatConnect

Платформа ThreatConnect обеспечивает автоматический сбор данных из всех источников и представляет их пользователям в контексте. Затем группы ИБ могут проанализировать информацию вручную или с помощью автоматизированных инструментов, чтобы найти доказательства угроз кибербезопасности.

Характерные особенности:

  • интеграция инструментов и приложений;
  • возможность экспорта отчетов об угрозах;
  • краудсорсинговая аналитика показывает распространенность угроз.

USP: Платформа ThreatConnect также использует интеллектуальную функцию оркестровки, называемую Playbooks. Пользователи могут настроить данный параметр для выполнения определенных задач после получения указанных триггеров. Например, инструмент может обнаруживать новый IP-адрес в сети и автоматически блокировать его до тех пор, пока команды кибербезопасности не рассмотрят его более внимательно. Эта возможность сокращает усилия команды и вероятность ошибок, что приводит к повышению производительности.

Платформа предоставляется на платной основе.

16.  IntSights Threat Intelligence Platform

IntSights, недавно приобретенная Rapid7, объединяет в себе аналитику угроз, данные и инструменты, помогая специалистам в сфере кибербезопасности быстрее предотвращать атаки и получать большую отдачу от инвестиций (ROI).

Характерные особенности:

  • определение приоритетов угроз в режиме реального времени;
  • возможность мониторинга Dark Web;
  • функция «Plug-and-play».

USP: Платформа показывает людям потенциальные последствия безадресных угроз, помогая им решить, какие из них следует устранить в первую очередь. Поскольку этот инструмент включает в себя агрегирование и управление встроенными индикаторами компрометации (IOC), у пользователей есть централизованное место для отслеживания и устранения уязвимостей до того, как их используют киберпреступники. Обширная сеть интеграции Insights позволяет автоматизировать мгновенное реагирование на угрозы по всему стеку кибербезопасности.

Платформа предоставляется на платной основе.

17.  CrowdStrike Falcon X

Эта платформа киберразведки поставляется в трех вариантах на выбор — Falcon X, Falcon X Premium и Falcon X Elite. Все они оснащены функциями автоматического расследования вредоносных программ, что сокращает время, необходимое для выявления угроз и определения степени их серьезности. Платформа обеспечивает удобную для пользователя интеграцию с конечными точками, которая не требует новых установок или развертываний для пользователей, которые уже используют продукты Falcon.

Характерные особенности:

  • доступные API работают в комплексе с существующими средствами безопасности;
  • Real-time indicators of compromise (IOC);
  • 100 профилей известных участников угроз.

USP: Специалисты ИБ могут извлечь выгоду из отчетов разведки, которые предоставляют ежедневные предупреждения и стратегическую информацию. Полученные данные позволяют отслеживать DDoS-атаки и угрозы.

Платформа предоставляется на платной основе.

18.  Kaspersky Threat Intelligence Portal

Этот продукт, предоставляемый по подписке, объединяет в одном инструменте все, что необходимо эксперту в сфере кибербезопасности для анализа рисков. Он позволяет проверять безопасность IP- и веб-адресов, файлов и хешей файлов.

Характерные особенности:

  • инструмент изолированной среды URL-адресов для безопасной проверки подозрительных сайтов;
  • API позволяет подключать приложения к сервису;
  • режим приватной отправки сохраняет файлы и связанную с ними аналитическую информацию конфиденциальными.

USP: Платформа также анализирует различные показатели для определения того, может ли файл представлять опасность. Инструменты анализа исследуют статические и динамические характеристики, а также то, как он ведет себя. Интерфейс позволяет отправлять файлы для проверки и определения приоритетов угроз на основе уровней риска, показанных в контексте.

Платформа предоставляется на бесплатной основе, можно оформить премиум-подписку.

19.  Recorded Future

TI-платформа от Recorded Future предоставляет полезную информацию и всегда в нужное время. Она делает это с помощью своего Intelligence Graph. Это хранилище использует накопленные за десятилетие наблюдения о миллиардах отдельных объектов и постоянно дополняется и совершенствуется.

Характерные особенности:

  • один из самых полных наборов данных в мире;
  • модульная конструкция упрощает внедрение инструментов;
  • делит типы угроз на интуитивно понятные категории, включая информацию о бренде, информацию SecOps, геополитическую информацию.

USP: Платформа имеет модульный интерфейс, позволяющий сделать интеграцию с другими комплексами безопасности корпоративного уровня удобной и бесшовной. Есть возможность точно настраивать предоставляемую информацию с учетом конкретного персонала или ролей в компании. Результатом является контекстно-ориентированная и всегда актуальная платформа для управления рисками, которая снижает риски в цепочках поставок и в других местах на 50% быстрее, чем другие аналоги.

Платформа предоставляется на платной основе.

20.  AT&T Cybersecurity

AT&T Cybersecurity – ранее AlienVault – Unified Security Management (USM) получает информацию об угрозах от AlienVault Labs и ее Open Threat Exchange (OTX), крупнейшего в мире краудсорсингового совместного обмена угрозами.

Характерные особенности:

  • обнаружение активов и угроз;
  • реагирование на инциденты;
  • управление соответствиями требованиям;
  • доступ к OTX.

USP: Платформа обеспечивает централизованное обнаружение угроз, реагирование на инциденты и управление соответствиями требованиям для облачных и локальных сред. Благодаря анализу угроз USM обновляется автоматически каждые 30 минут, оставаясь в авангарде развивающихся и возникающих угроз. Это позволяет группам ИБ сосредоточиться на реагировании, а не на идентификации угроз.

Платформа предоставляется на платной основе.

21.  RSA NetWitness Platform

RSA NetWitness Platform – это платформа для обнаружения угроз и реагирования на них, которая позволяет специалистам ИБ быстро обнаруживать и понимать масштабы компрометации, используя журналы, пакеты, сетевой поток, конечные точки и аналитику угроз.

22.  Cisco Threat Intelligence Director (TID)

Cisco Threat Intelligence Director (TID) – это функция в Cisco Firepower Management Center (FMC), которая автоматизирует внедрение системы анализа угроз. TID обслуживает Cisco’s Next-Generation Firewall (NGFW).

23.  SonicWall Network Security

SonicWall Network Security проводит анализ угроз в режиме реального времени на основе агрегирования, нормализации и контекстуализации данных безопасности.

24.  Symantec DeepSight Intelligence

Symantec DeepSight Intelligence использует данные, предоставляемые Symantec Global Intelligence Network, крупнейшей сетью сбора информации об угрозах, и отслеживает более 700 000 противников.

25.  Accenture iDefense

Accenture iDefense предоставляет аналитические данные о безопасности с помощью платформы IntelGraph, которая обеспечивает контекст, визуализацию, расширенный поиск и оповещение.

26.  Proofpoint Emerging Threat (ET) Intelligence

Proofpoint Emerging Threat (ET) Intelligence предоставляет каналы анализа угроз для выявления подозрительных или вредоносных действий.

27.  CenturyLink Adaptive Threat Intelligence

CenturyLink Adaptive Threat Intelligence предоставляет пользователям доступ к приоритетным данным об угрозах, которые соотносятся с IP-адресами клиентов.

28.  Imperva ThreatRadar

Imperva ThreatRadar объединяет исследования угроз от специалистов ИБ Imperva, анализ угроз от различных партнеров и краудсорсинг данных в режиме реального времени.

29.  Check Point ThreatCloud

Check Point ThreatCloud сочетает в себе технологию предотвращения угроз с анализом угроз для предотвращения атак.

30.     Group-IB Threat Intelligence & Attribution

Group-IB Threat Intelligence & Attribution – это система исследования и атрибуции кибератак, содержащая структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI&A позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов. Это результат объединения 18-летнего опыта Group-IB по сбору и анализу информации об инцидентах ИБ, атаках, злоумышленниках и их инфраструктуре. Group-IB TI&A признана лучшей в своём классе аналитическими агентствами IDC, Forrester, Gartner.

Заключение

Кибератаки становятся все более комплексными, поэтому защитные механизмы должны развиваться в соответствующем темпе. Платформы киберразведки позволяют использовать весь спектр знаний глобального сообщества по кибербезопасности. Потоки данных обновляются в режиме реального времени экспертами и предприятиями со всего мира, чтобы оставаться в курсе всех возможных вариантов атак, даже если они еще не затронули компанию. При интеграции с такими инструментами безопасности, как SIEM, TI-платформы могут помочь предотвратить даже самые опасные атаки zero-day.

Об авторе Игорь Б

Представитель редакции CISOCLUB. Добавляю статьи на сайт.
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован.