Threat Intelligence (CTI)

upd - 29.04.2017 
   Threat Intelligence platform

Пользоваться OnLine (аккаунт):
IBM X-Force Exchange
AlienVault Open Threat eXchange (OTX)- построен на OSSIM (open source SIEM), может обмениваться информацией с CIF
ThreatConnect®

CIF (Collective Intelligence Framework), разработанный REN-ISAC (центр обмена информацией об угрозах для американских ВУЗов и исследовательских организаций), поддерживаемая рядом организаций, позволяет собирать и объединять информацию об угрозах из различных источников и использовать ее для идентификации инцидентов, обнаружения и нейтрализации угроз. Нейтрализация заключается в генерации правил для Snort, iptables и других средств защиты. CIF преимущественно работает с IP-адресами, доменными именами и URL, связанными с вредоносной активностью. В качестве формата хранения информации использует IODEF.
MANTIS 
(Model-based Analysis of Threat Intelligence Sources) Framework - это новая инициатива, которая объединяет вместе вышеперечисленные стандарты OpenIOC, IODEF, CybOX, STIX, TAXII
CRITs (Collaborative Research Into Threats) is an open source malware and threat repository that leverages other open source software to create a unified tool for analysts and security experts engaged in threat defense. It has been in development since 2010 with one goal in mind: give the security community a flexible and open platform for analyzing and collaborating on threat data. In making CRITs free and open source, we can provide organizations around the world with the capability to quickly adapt to an ever-changing threat landscape. CRITs can be installed locally for a private isolated instance or shared among other trusted organizations as a collaborative defense mechanism. Docker (remnux/crits) , Services .By The MITRE CorporationConfer Threat Exchange (Carbon Black). 2014 г.
EclecticIQ (ранее Intelworks)
Anomali  mandate is to deliver innovative and effective technologies and solutions to address cyber security challenges for organizations of all sizes
ThreatQuotient (ThreatQ Platform)
Group-IB
http://honeynet.org - The Honeynet Project is a leading international 501c3 non-profit security research organization, dedicated to investigating the latest attacks and developing open source security tools to improve Internet security. Ранее была карта HoneyMap - http://map.honeynet.org 
ThreatExpert is an advanced automated threat analysis system designed to analyze and report the behavior of computer viruses, worms, trojans, adware, spyware, and other security-related risks in a fully automated mode
Cisco Threat Intelligence Director
Cyber Threat Alliance (CTA)
Hail a TAXII.com is a repository of Open Source Cyber Threat Intellegence feeds in STIX format
Cyber Threat Intelligence Network, Inc. (CTIN)
Information Sharing Environment (ISE)
National Council of ISACs
StaySafeOnline.org (powered by National Cyber Security Alliance (NCSA)
Computer Incident Response Center Luxembourg (CIRCL)

FIRST Members around the world
The Periodic Table of Cybersecurity Startups (CBInsights.com)
Cyber Attacks Info
Хроника кибератак от Лаборатории Касперского
Internet Storm Center SANS

Интерактивные карты угроз:
Links: Интерактивные карты кибератак в реальном времени (подборка Лукатского), Интерактивные карты кибератак в реальном времени от @AlexRed
Карта Norse - американская компания Norse поставила кучу ханипотов и с открытыми портами и прочими плюшками. IP-Viking - http://map.ipviking.com Карта не доступна DarkVikingDarklist - Платно. Регистрация. 
Карта Cybermap Лаборатории Касперского

Карты, создаваемая на платформе FireEye - Карта менее информативная —крупные атаки. Можно подписаться на рассылку 
Карта Arbor и Google - Active Threat Level Analysis System . Top daily DDoS attacks worldwide. Есть и галерея «красивых атак» и выборка новостей по атакам 
Real-time Web Monitor by Akamai , визуальные карты и графы 
Карта Deutschen Telekom AG

Карта OpenDNS (Umbrella.Сisco) (работает только в Chome)
Карта Check Point
Карта Fortinet
Карта Blueliv
Threat Map LookingGlass (Cyveillance) 
Карта AlienVault
Карта ThreatMetrix (payment fraud and spoofing)
Lancope Stealthwatch Labs Intelligence Center (SLIC) Threat Scope Maps 

Карта F-Secure VirusMap
Карта SANS ISC
Карта Cisco Senderbase - http://www.senderbase.orghttp://beta.senderbase.org/ebc_malware/ , http://beta.senderbase.org/ebc_spam/
Карта EmailExpert

   Нечто странное:
Карта Fast-Flux
Карта Metascan
Карта Pixalate

Карта SUPERAntiSpyware

Карта Scycure (Browse our real-time security threat map. Mobile Threat Defense (MTD))
Карта АСУ ТП - https://ics-radar.shodan.io
Threatbutt Internet Hacking Attack Attribution Map
Карта Cymru Team 
-
 Internet Malicious Activity Maps by TeamCymru - мувики по дневной активности 
Карта PewPew - http://ocularwarfare.com/ipew/ , https://github.com/hrbrmstr/pewpew - https://intel.malwaretech.com/pewpew.html ??? 
Карта Malwaretech



Cyber Threat Intelligence (CTI) Toolkit
_____________________________


Стандарты/протоколы описания и обмена индикаторов компрометации (Indicator of Compromise, IOC):
  • Стандарт STIX (Structured Threat Information Expression) позволяет унифицировать описание различных угроз. Идея STIX достаточно проста - много угроз уровня APT и необходимо оперативно обмениваться информацией о них, обмен не был стандартизован. Язык STIX позволяет унифицировать описание различных угроз и связанных с ними параметров - индикаторы атаки, информация об инциденте, используемый для атаки инструментарий или уязвимости, предполагаемые меры нейтрализации атаки, информация о предполагаемом противнике/нарушителе и т.п. Разработчик (куратор): MITRE, Cyber Threat Intelligence Technical Committee (OASIS, Advancing open standards for the information society). Latest Specification (2.0)
  • Протокол обмена TAXII (Trusted Automated eXchange of Indicator Information) унифицирует способы обмена информацией об угрозах, описанных с помощью STIX. Он уже используется в центре обмена информацией об угроза в финансовой отрасли США (FS-ISAC), некотором аналоге банковского CERT. Разработчик (куратор): MITRE, Cyber Threat Intelligence Technical Committee (OASIS, Advancing open standards for the information society). Latest Specification (2.0)
  • Стандарт CybOX (Cyber Observable Expression) предназначен для описания индикаторов наблюдаемых событий безопасности. Сегодня уже представлено свыше 70 различных описываемых объектов - файл, сетевая соединение, HTTP-сессия, сетевой поток (Netflow), сертификат X.509 и т.п. CybOX has been integrated into STIX 2.0. Разработчик (куратор): MITRE.
  • MAEC (Malware Attribute Enumeration and Characterization) is a standardized language for sharing structured information about malware based upon attributes such as behaviors, artifacts, and attack patterns. Разработчик (куратор): MITRE.
  • Стандарт IODEF (Incident Object Description and Exchange Format), описанный в RFC 7970, 2016 г. (ранее RFC 5070 , 2007 г.), и содержащий в формате XML свыше 30 классов и подклассов инцидентов, включая такую информацию как контакт, финансовый ущерб, время, пострадавшие операционные системы и приложения и т.д. IODEF - стандарт достаточно проработанный и уже немало где используется. Из организаций его использует Anti-Phishing Working Group, а также многие CERT/CSIRTы. SIEM постепенно интегрируют его внутрь себя. Cтандарт рабочей группы MILE (Managed Incident Lightweight Exchange, Internet Engineering Task Force (IETF)).
  • Стандарт IODEF- SCI (IODEF for Structured Cyber Security Information) является расширением для IODEF (RFC 7203, 2014 г.), позволяющем добавлять к IODEF дополнительные данные - шаблоны атак, информация о платформах, уязвимостях, инструкциях по нейтрализации, уровень опасности и т.п. Также предлагается включить в состав IODEF-SCI часть стандартов MITRE - CAPEC, CEE, CPE, CVE,  CVRF, CVSS, CWE, CWSS, OCIL, OVAL, XCCDF, XDAS. Cтандарт рабочей группы MILE (Managed Incident Lightweight Exchange, Internet Engineering Task Force (IETF)).
  • Стандарт IDMEF (Intrusion Detection Message Exchange Format) is a data format used to exchange informations between software enabling intrusion detection, intrusion prevention, security information collection and management systems that may need to interact with them. IDMEF messages are designed to be processed automatically. The details of the format are described in the RFC 4765 (2007 г.). This RFC presents an implementation of the XML data model and the associated DTD. The requirements for this format are described in RFC 4766 and the recommended transport protocol (IDXP) is documented in RFC 4767
  • Протокол PID (Real-time Inter-network Defense) позволяет взаимодействовать различным системам ИБ-аналитики. Построенный на базе HTTP/HTTPS он описан в RFC 6545, 2012 г (ранее RFC 6045). Протокол рабочей группы MILE (Managed Incident Lightweight Exchange, Internet Engineering Task Force (IETF)).
  • Протокол TLP (Traffic Light Protocol) - простой протокол, предложенный US CERT, и позволяющий "раскрасить" информацию в 4 "цвета", от которых зависит кому можно передавать информацию об угрозах - всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Протокол очень просто в реализации и его можно применить даже к обычной электронной почте.
  • Стандарт OpenIOC - это открытый стандарт описания индикаторов компрометации (Indicator of Compromise, IOC), который первоначально был закрытой разработкой компании Mandiant (теперь FireEye cyber security products), но потом стал открытым. Построен на базе XML и содержит свыше 500 различных индикаторов, преимущественно узловых (хостовых) - файл, драйвер, диск, процесс, реестр, система, хэш и т.п. Onlene Editor IOC
  • Стандарт VERIS (Vocabulary for Event Recording and Incident Sharing) - стандарт американской Verizon, ориентированной в отличие от тактического OpenIOC на стратегический взгляд на информацию об угрозах и инцидентах. По сути это некий единый язык для описания и обмена информацией об инцидентах. Схема VERIS состоит из 5 частей - отслеживание инцидента, описание инцидента, демография жертвы, оценка ущерба и реагирование, каждая из которых в свою очередь делится на различные типы данных и переменные.
  • Стандарт SDEE (Security Device Event Exchange) – родился на основе RDEP (Remote Data Exchange Protocol), разработанный Cisco. Был поддержан NFR, ISS, Sourcefire, однако мало кем используется.
  • Стандарт VEDEF (Vulnerability and Exploit Description and Exchange Format) для обмена информацией об уязвимостях и эксплойтах, разработанный рабочей группой при TERENA (TF-CSIRT).
  • Стандарт SecDEF (Security Description and Exchange Format) по обмену различной информацией в области безопасности. Инициирован ENISA, но пока широко не применяется и не опубликован. CME Group, 2010 г.
  • Стандарт CAIF (Common Announcement Interchange Format), предложенный немецким RUS-CERTом для обмена формализованными бюллетенями по безопасности.
  • Стандарт DAF (Deutsches Advisory Format / German Advisory Scheme), также предложенный другим немецким CERTом.


Стандарты управления уязвимостями
MITRE (not-for-profit organization that operates research and development centers sponsored by the federal government, operate FFRDCs):
CVE - Common Vulnerabilities and Exposures - стандарт, определяющий единое именование уязвимостей.
OVAL - Open Vulnerability and Assessment Language - стандартизованный язык описания уязвимостей в сканерах и системах анализа защищенности. Оба эти стандарта были разработаны под эгидой MITRE.
CCE - Common Configuration Enumeration - стандарт описания конфигураций, которые затем могут проверяться в сканерах и системах анализа защищенности
CEE - Common Event Expression - стандарт описания, хранения и обмена сигналами тревоги между разнородными средствами защиты
CME - Common Malware Enumeration - стандарт, похожий на CVE, но ориентированный на вредоносное ПО
CWE - Common Weakness Enumeration - стандартизованный набор слабых мест в ПО. Этот стандарт не зацикливается только на уязвимостях как CVE и является более высокоуровневым, описывая типы проблем, а не их конкретные имена и проявления
CPE - Common Platform Enumeration - стандарт описания и именования элементов ИТ-инфраструктуры
CAPEC - Common Attack Pattern Enumeration and Classification - создание публичного каталога и схемы классификации шаблонов атак
CRF - Common Result Format - стандартизация описания результатов тестирования или оценки защищенности.

SCAP - Security Content Automation Protocol - это даже не стандарт, а метод используюзий различные стандарты для автоматизации процесса управления уязвимостями
CVSS - Common Vulnerability Scoring System - стандарт рейтингования уязвимостей
XCCDF - eXtensible Configuration Checklist Description Format - стандартизованный язык описания чеклистов, тестирований и т.п.


OWASP:
AVDL (Application Vulnerability Description Language) define app vulnerabilities in a standard way for reporting and use in products, such as WAFs. Разработчик (куратор): OWASP (Open Web Application Security), OASIS Web Application Security Technical Committee
VulnXML is a Web Application Security Vulnerability Description Language, written in the extended mark-up language XML format. Разработчик (куратор): OWASP (Open Web Application Security), OASIS Web Application Security Technical Committee

_____________________________


   Статьи
Как создать свою систему Threat Intelligence? Часть 2 (стандарты, протоколы) (Лукатский, 24.12.2013)
Threat Hunting в деятельности SOC (Лукатский, 7.11.2016)
Cisco Threat Intelligence Director (Лукатский, 21.03.2017)
Сам себе Threat hunter (Солдатов, 19.11.2016)
О решениях Threat Intelligence Platform (TIP) (Angara, Тимур Зиганшин, 27.04.2017)
Cyber Threat Intelligence Survey (Analytic)



Department for Business, Innovation and Skills UK + PWC  Information security breaches survey Tech Report 2013 , 2014 , 2015

Verizon Data Breach Investigations Report 2017 Verizon Data breach digest 2017

Trend Micro

Trend Micro Threat Encyclopedia
Trend Micro Threat Reports
Trend Micro Trendlabs Security Intelligence



Check Point Software Technologies 2016 Security Report


Log Management  --> SIEM --> SOAPA
Cyber Threat Intelligence (CTI)

Security information and event management (SIEM)
Security operations and analytics platform architecture (SOAPA)

2 комментария: