upd - 29.04.2017
Threat Intelligence platform
AlienVault Open Threat eXchange (OTX)- построен на OSSIM (open source SIEM), может обмениваться информацией с CIF
ThreatConnect®
CIF (Collective Intelligence Framework), разработанный REN-ISAC (центр обмена информацией об угрозах для американских ВУЗов и исследовательских организаций), поддерживаемая рядом организаций, позволяет собирать и объединять информацию об угрозах из различных источников и использовать ее для идентификации инцидентов, обнаружения и нейтрализации угроз. Нейтрализация заключается в генерации правил для Snort, iptables и других средств защиты. CIF преимущественно работает с IP-адресами, доменными именами и URL, связанными с вредоносной активностью. В качестве формата хранения информации использует IODEF. ThreatConnect®
MANTIS (Model-based Analysis of Threat Intelligence Sources) Framework - это новая инициатива, которая объединяет вместе вышеперечисленные стандарты OpenIOC, IODEF, CybOX, STIX, TAXII
CRITs (Collaborative Research Into Threats) is an open source malware and threat repository that leverages other open source software to create a unified tool for analysts and security experts engaged in threat defense. It has been in development since 2010 with one goal in mind: give the security community a flexible and open platform for analyzing and collaborating on threat data. In making CRITs free and open source, we can provide organizations around the world with the capability to quickly adapt to an ever-changing threat landscape. CRITs can be installed locally for a private isolated instance or shared among other trusted organizations as a collaborative defense mechanism. Docker (remnux/crits) , Services .By The MITRE Corporation, Confer Threat Exchange (Carbon Black). 2014 г.
EclecticIQ (ранее Intelworks)
Anomali mandate is to deliver innovative and effective technologies and solutions to address cyber security challenges for organizations of all sizes
ThreatQuotient (ThreatQ Platform)
ThreatQuotient (ThreatQ Platform)
CTX/Soltra Edge
NETSCOUT
Blueliv Threat Intelligence Platform
NETSCOUT
Carbon Black (ранее Bit9, Confer Threat Exchange)
LookingGlass Threat Intelligence Platform (TIP) (ScoutPrime, ScoutVision, ScoutInterXect, Cyber Threat Center, Virus Tracker)
Opswat Threat Detection and Prevention Platform (Metadefender Core)
AS Tools (autonomous systems) от QRator
AnubisNetworks' Threat Intelligence service Cyberfeed (ранее был проект Cyberfeed Live Botnet Map)
Kaspersky Security
Intelligence Services , Обучите ваш SIEM (статья blog
Kasp)Opswat Threat Detection and Prevention Platform (Metadefender Core)
AS Tools (autonomous systems) от QRator
AnubisNetworks' Threat Intelligence service Cyberfeed (ранее был проект Cyberfeed Live Botnet Map)
Group-IB
http://honeynet.org - The Honeynet Project is a leading international 501c3 non-profit security research organization, dedicated to investigating the latest attacks and developing open source security tools to improve Internet security. Ранее была карта HoneyMap - http://map.honeynet.org
http://honeynet.org - The Honeynet Project is a leading international 501c3 non-profit security research organization, dedicated to investigating the latest attacks and developing open source security tools to improve Internet security. Ранее была карта HoneyMap - http://map.honeynet.org
ThreatExpert is an advanced automated threat analysis system designed to analyze and report the behavior of computer viruses, worms, trojans, adware, spyware, and other security-related risks in a fully automated mode
Cisco Threat Intelligence Director
Cisco Threat Intelligence Director
Cisco Talos (Vulnerability Reports , IP Blacklist Download)
FS-ISAC: Financial Services - Information Sharing & Analysis Center (AvailabilityDigest, linkedin)
Cyber Threat Alliance (CTA)FS-ISAC: Financial Services - Information Sharing & Analysis Center (AvailabilityDigest, linkedin)
Hail a TAXII.com is a repository of Open Source Cyber Threat Intellegence feeds in STIX format
Cyber Threat Intelligence Network, Inc. (CTIN)
Information Sharing Environment (ISE)Cyber Threat Intelligence Network, Inc. (CTIN)
National Council of ISACsStaySafeOnline.org (powered by National Cyber Security Alliance (NCSA)
Computer Incident Response Center Luxembourg (CIRCL)
FIRST Members around the world
The Periodic Table of Cybersecurity Startups (CBInsights.com)
Cyber Attacks Info
Хроника кибератак от Лаборатории Касперского
Internet Storm Center SANS
Интерактивные карты угроз:
Links: Интерактивные карты кибератак в реальном времени (подборка Лукатского), Интерактивные карты кибератак в реальном времени от @AlexRed
Карта Norse - американская компания Norse поставила кучу ханипотов и с открытыми портами и прочими плюшками. IP-Viking - http://map.ipviking.com Карта не доступна DarkViking, Darklist - Платно. Регистрация.
Карта Cybermap Лаборатории Касперского
Internet Storm Center SANS
Интерактивные карты угроз:
Карта Norse - американская компания Norse поставила кучу ханипотов и с открытыми портами и прочими плюшками. IP-Viking - http://map.ipviking.com Карта не доступна DarkViking, Darklist - Платно. Регистрация.
Карта Cybermap Лаборатории Касперского
Карты, создаваемая на платформе FireEye - Карта менее информативная —крупные атаки. Можно подписаться на рассылку
Карта Arbor и Google - Active Threat Level Analysis System . Top daily DDoS attacks worldwide. Есть и галерея «красивых атак» и выборка новостей по атакам
Real-time Web Monitor by Akamai , визуальные карты и графы
Карта Deutschen Telekom AG
Карта Fortinet
Карта Blueliv
Threat Map LookingGlass (Cyveillance)
Карта AlienVault
Карта ThreatMetrix (payment fraud and spoofing)Lancope Stealthwatch Labs Intelligence Center (SLIC) Threat Scope Maps
Карта F-Secure - VirusMap
Карта SANS ISC
Карта Cisco Senderbase - http://www.senderbase.org, http://beta.senderbase.org/ebc_malware/ , http://beta.senderbase.org/ebc_spam/
Карта EmailExpert
Нечто странное:
Карта Fast-Flux
Карта Metascan
Карта Pixalate
Карта SUPERAntiSpyware
Карта Scycure (Browse our real-time security threat map. Mobile Threat Defense (MTD))
Карта АСУ ТП - https://ics-radar.shodan.io
Threatbutt Internet Hacking Attack Attribution Map
Карта Cymru Team - Internet Malicious Activity Maps by TeamCymru - мувики по дневной активности
Карта PewPew - http://ocularwarfare.com/ipew/ , https://github.com/hrbrmstr/pewpew - https://intel.malwaretech.com/pewpew.html ???
Карта Malwaretech
Cyber Threat Intelligence (CTI) Toolkit
_____________________________
Карта Arbor и Google - Active Threat Level Analysis System . Top daily DDoS attacks worldwide. Есть и галерея «красивых атак» и выборка новостей по атакам
Real-time Web Monitor by Akamai , визуальные карты и графы
Карта Deutschen Telekom AG
Карта OpenDNS (Umbrella.Сisco) (работает только в Chome)
Карта Check PointКарта Fortinet
Карта Blueliv
Threat Map LookingGlass (Cyveillance)
Карта AlienVault
Карта ThreatMetrix (payment fraud and spoofing)Lancope Stealthwatch Labs Intelligence Center (SLIC) Threat Scope Maps
Карта F-Secure - VirusMap
Карта SANS ISC
Карта Cisco Senderbase - http://www.senderbase.org, http://beta.senderbase.org/ebc_malware/ , http://beta.senderbase.org/ebc_spam/
Карта EmailExpert
Нечто странное:
Карта Fast-Flux
Карта Metascan
Карта Pixalate
Карта SUPERAntiSpyware
Карта Scycure (Browse our real-time security threat map. Mobile Threat Defense (MTD))
Карта АСУ ТП - https://ics-radar.shodan.io
Threatbutt Internet Hacking Attack Attribution Map
Карта Cymru Team - Internet Malicious Activity Maps by TeamCymru - мувики по дневной активности
Карта PewPew - http://ocularwarfare.com/ipew/ , https://github.com/hrbrmstr/pewpew - https://intel.malwaretech.com/pewpew.html ???
Карта Malwaretech
Cyber Threat Intelligence (CTI) Toolkit
_____________________________
Стандарты/протоколы описания и
обмена индикаторов компрометации (Indicator
of Compromise, IOC):
- Стандарт STIX (Structured Threat Information Expression) позволяет унифицировать описание различных угроз. Идея STIX достаточно проста - много угроз уровня APT и необходимо оперативно обмениваться информацией о них, обмен не был стандартизован. Язык STIX позволяет унифицировать описание различных угроз и связанных с ними параметров - индикаторы атаки, информация об инциденте, используемый для атаки инструментарий или уязвимости, предполагаемые меры нейтрализации атаки, информация о предполагаемом противнике/нарушителе и т.п. Разработчик (куратор): MITRE, Cyber Threat Intelligence Technical Committee (OASIS, Advancing open standards for the information society). Latest Specification (2.0)
- Протокол обмена TAXII (Trusted Automated eXchange of Indicator Information) унифицирует способы обмена информацией об угрозах, описанных с помощью STIX. Он уже используется в центре обмена информацией об угроза в финансовой отрасли США (FS-ISAC), некотором аналоге банковского CERT. Разработчик (куратор): MITRE, Cyber Threat Intelligence Technical Committee (OASIS, Advancing open standards for the information society). Latest Specification (2.0)
- Стандарт CybOX (Cyber Observable Expression) предназначен для описания индикаторов наблюдаемых событий безопасности. Сегодня уже представлено свыше 70 различных описываемых объектов - файл, сетевая соединение, HTTP-сессия, сетевой поток (Netflow), сертификат X.509 и т.п. CybOX has been integrated into STIX 2.0. Разработчик (куратор): MITRE.
- MAEC (Malware Attribute Enumeration and Characterization) is a standardized language for sharing structured information about malware based upon attributes such as behaviors, artifacts, and attack patterns. Разработчик (куратор): MITRE.
- Стандарт IODEF (Incident Object Description and Exchange Format), описанный в RFC 7970, 2016 г. (ранее RFC 5070 , 2007 г.), и содержащий в формате XML свыше 30 классов и подклассов инцидентов, включая такую информацию как контакт, финансовый ущерб, время, пострадавшие операционные системы и приложения и т.д. IODEF - стандарт достаточно проработанный и уже немало где используется. Из организаций его использует Anti-Phishing Working Group, а также многие CERT/CSIRTы. SIEM постепенно интегрируют его внутрь себя. Cтандарт рабочей группы MILE (Managed Incident Lightweight Exchange, Internet Engineering Task Force (IETF)).
- Стандарт IODEF- SCI (IODEF for Structured Cyber Security Information) является расширением для IODEF (RFC 7203, 2014 г.), позволяющем добавлять к IODEF дополнительные данные - шаблоны атак, информация о платформах, уязвимостях, инструкциях по нейтрализации, уровень опасности и т.п. Также предлагается включить в состав IODEF-SCI часть стандартов MITRE - CAPEC, CEE, CPE, CVE, CVRF, CVSS, CWE, CWSS, OCIL, OVAL, XCCDF, XDAS. Cтандарт рабочей группы MILE (Managed Incident Lightweight Exchange, Internet Engineering Task Force (IETF)).
- Стандарт IDMEF (Intrusion Detection Message Exchange Format) is a data format used to exchange informations between software enabling intrusion detection, intrusion prevention, security information collection and management systems that may need to interact with them. IDMEF messages are designed to be processed automatically. The details of the format are described in the RFC 4765 (2007 г.). This RFC presents an implementation of the XML data model and the associated DTD. The requirements for this format are described in RFC 4766 and the recommended transport protocol (IDXP) is documented in RFC 4767
- Протокол PID (Real-time Inter-network Defense) позволяет взаимодействовать различным системам ИБ-аналитики. Построенный на базе HTTP/HTTPS он описан в RFC 6545, 2012 г (ранее RFC 6045). Протокол рабочей группы MILE (Managed Incident Lightweight Exchange, Internet Engineering Task Force (IETF)).
- Протокол TLP (Traffic Light Protocol) - простой протокол, предложенный US CERT, и позволяющий "раскрасить" информацию в 4 "цвета", от которых зависит кому можно передавать информацию об угрозах - всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Протокол очень просто в реализации и его можно применить даже к обычной электронной почте.
- Стандарт OpenIOC - это открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), который первоначально был закрытой разработкой компании Mandiant (теперь FireEye cyber security products), но потом стал открытым. Построен на базе XML и содержит свыше 500 различных индикаторов, преимущественно узловых (хостовых) - файл, драйвер, диск, процесс, реестр, система, хэш и т.п. Onlene Editor IOC
- Стандарт VERIS (Vocabulary for Event Recording and Incident Sharing) - стандарт американской Verizon, ориентированной в отличие от тактического OpenIOC на стратегический взгляд на информацию об угрозах и инцидентах. По сути это некий единый язык для описания и обмена информацией об инцидентах. Схема VERIS состоит из 5 частей - отслеживание инцидента, описание инцидента, демография жертвы, оценка ущерба и реагирование, каждая из которых в свою очередь делится на различные типы данных и переменные.
- Стандарт SDEE (Security Device Event Exchange) – родился на основе RDEP (Remote Data Exchange Protocol), разработанный Cisco. Был поддержан NFR, ISS, Sourcefire, однако мало кем используется.
- Стандарт VEDEF (Vulnerability and Exploit Description and Exchange Format) для обмена информацией об уязвимостях и эксплойтах, разработанный рабочей группой при TERENA (TF-CSIRT).
- Стандарт SecDEF (Security Description and Exchange Format) по обмену различной информацией в области безопасности. Инициирован ENISA, но пока широко не применяется и не опубликован. CME Group, 2010 г.
- Стандарт CAIF (Common Announcement Interchange Format), предложенный немецким RUS-CERTом для обмена формализованными бюллетенями по безопасности.
- Стандарт DAF (Deutsches Advisory Format / German Advisory Scheme), также предложенный другим немецким CERTом.
MITRE (not-for-profit organization that operates research and development centers
sponsored by the federal government, operate FFRDCs):
CVE - Common Vulnerabilities and Exposures - стандарт, определяющий единое именование уязвимостей.
OVAL - Open Vulnerability and Assessment Language -
стандартизованный язык описания уязвимостей в сканерах и системах анализа
защищенности. Оба эти стандарта были разработаны под эгидой MITRE.
CCE - Common Configuration Enumeration - стандарт
описания конфигураций, которые затем могут проверяться в сканерах и системах
анализа защищенности
CEE - Common Event Expression - стандарт описания,
хранения и обмена сигналами тревоги между разнородными средствами защиты
CME - Common Malware Enumeration - стандарт, похожий
на CVE, но ориентированный на вредоносное ПО
CWE - Common Weakness Enumeration -
стандартизованный набор слабых мест в ПО. Этот стандарт не зацикливается только
на уязвимостях как CVE и является более высокоуровневым, описывая типы проблем,
а не их конкретные имена и проявления
CPE - Common Platform Enumeration - стандарт
описания и именования элементов ИТ-инфраструктуры
CAPEC -
Common Attack Pattern Enumeration and
Classification - создание публичного каталога и схемы классификации
шаблонов атак
CRF - Common Result Format
- стандартизация описания результатов тестирования или оценки защищенности.
NIST:
SCAP - Security Content Automation Protocol -
это даже не стандарт, а метод используюзий различные стандарты для
автоматизации процесса управления уязвимостями
CVSS - Common Vulnerability Scoring System - стандарт рейтингования уязвимостей
XCCDF - eXtensible Configuration Checklist Description Format - стандартизованный язык описания чеклистов, тестирований и т.п. OWASP:
AVDL (Application Vulnerability Description Language) define app vulnerabilities in a standard way for reporting and use in products, such as WAFs. Разработчик (куратор): OWASP (Open Web Application Security), OASIS Web Application Security Technical Committee
VulnXML is a Web Application Security Vulnerability Description Language, written in the extended mark-up language XML format. Разработчик (куратор): OWASP (Open Web Application Security), OASIS Web Application Security Technical Committee
_____________________________
Статьи
Как создать свою систему Threat Intelligence? (Лукатский, 23.12.2013)
Как создать свою систему Threat Intelligence? Часть 2 (стандарты, протоколы) (Лукатский, 24.12.2013)
Как создать свою систему Threat Intelligence? Часть 3 (Лукатский, 25.12.2013)
Когда ни покупной SIEM, ни аутсорсинговый SOC не помогают. Третий путь создания SOC на предприятии (Лукатский, 10.11.2015)
Презентация с SOC Forum по Threat Intelligence для SOC (Лукатский, 12.11.2015)
Threat Hunting в деятельности SOC (Лукатский, 7.11.2016)
Обнаружение необнаруживаемого (threat hunting) (Лукатский, 28.11.2016)
Cisco Threat Intelligence Director (Лукатский, 21.03.2017)Сам себе Threat hunter (Солдатов, 19.11.2016)
О решениях Threat Intelligence Platform (TIP) (Angara, Тимур Зиганшин, 27.04.2017)
National Cyber Security Centre (NCSC UK) | Centre for the Protection of National Infrastructure | cert.gov.uk | mwrinfosecurity.com
Department for Business, Innovation and Skills UK + PWC Information security breaches survey Tech Report 2013 , 2014 , 2015
Trend Micro
Trend Micro Threat Encyclopedia
Trend Micro Threat Reports
Trend Micro Trendlabs Security Intelligence
IBM X-Force 2016 Cyber Security Intelligence, IBM 2016 Cyber Security Intelligence Index infographic for Financial Services
Ponemon Institute Cost of Breach , Ponemon Institute Cost of Data Breach Study: Global Analysis 2016 (sponsored by IBM)
Check Point Software Technologies 2016 Security Report
CyberEdge Group Cyberthreat Defense Report 2016 , CyberEdge Group Cyberthreat Defense Report 2016 Infographic
PWC Game of Threats , PWC The Global State of Information Security® Survey 2017 , PWC The Global State of Information Security® Survey 2016
Book: LogRhythm. The Definitive Guide to Security Intelligence & Analytics
SAPCyber Threat Intelligence report» за январь 2017 года
ICS-CERT Cyber Threat Source Descriptions
2016 Emerging Cyber Threats Report
International Security Forum - ежегодные отчёты о грядущих трендах ИТ-угроз бизнесу Threat Horizon 2019, 2018, 2017, 2016 , Habr (ru)
SAPCyber Threat Intelligence report» за январь 2017 года
ICS-CERT Cyber Threat Source Descriptions
2016 Emerging Cyber Threats Report
International Security Forum - ежегодные отчёты о грядущих трендах ИТ-угроз бизнесу Threat Horizon 2019, 2018, 2017, 2016 , Habr (ru)
Log Management --> SIEM --> SOAPA
Cyber Threat Intelligence (CTI)
Security information and event management (SIEM)
Security operations and analytics platform architecture (SOAPA)
Good post about platform.Thanks for share.
ОтветитьУдалитьwebsite designing
ОтветитьУдалитьNice Blog , Thank you for sharing the valuable information. Here some related information:
Devops strategy consulting