Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.06.2022

Red Hat Enterprise Linux 9

Red Hat zaprezentował system operacyjny Red Hat Enterprise Linux 9 (RHEL 9)...
07.06.2022

Technologiczna piaskownica

Koalicja partnerów KIR, IBM, Chmura Krajowa, PKO Bank Polski, Urząd Komisji Nadzoru...
07.06.2022

Sztuczna inteligencja w...

OVHcloud wprowadziło na rynek AI Notebooks – najnowszy element w ofercie usług...
07.06.2022

Spójna ochrona brzegu sieci

Fortinet zaprezentował FortiOS 7.2 – najnowszą wersję swojego flagowego systemu...
07.06.2022

Zarządzanie transferem

Firma Progress wypuściła nową wersję oprogramowania do zarządzania transferem plików...
07.06.2022

Notebook ekstremalny

Panasonic przedstawił 14-calowy Toughbook 40, notebook do pracy w ekstremalnych...
07.06.2022

Zestaw startowy dla robotyki

Firma AMD przedstawiła najnowszy produkt w portfolio adaptacyjnych modułów SOM...
07.06.2022

Precyzja kadrowania

Najnowsze rozwiązania klasy pro firmy Poly mają sprostać zmieniającym się potrzebom...
07.06.2022

Serwer klasy korporacyjnej

QNAP zaprezentował nowy model serwera NAS, TS-h1886XU-RP R2, który działa na systemie...

OTX – platforma wymiany danych o cyberzagrożeniach

Data publikacji: 07-06-2022 Autor: Piotr Michałkiewicz

Samodzielne wyszukiwanie informacji o cyberzagrożeniach, ich analizowanie i wyciąganie wniosków niejednokrotnie przekracza możliwości wielu organizacji. Zwłaszcza tych, w których za cyberbezpieczeństwo odpowiada jedna lub dwie osoby. Dużym wsparciem w tej kwestii z pewnością będzie platforma OTX.

 

OTX (Open Threat Exchange) to otwarta platforma opracowana i udostępniona przez AlienVault w celu gromadzenia i publikowania informacji o zagrożeniach. W przeciwieństwie do innych tego typu platform do OTX można dołączyć za darmo, wystarczy zarejestrować się na stronie otx.alienvault.com. Tuż po rejestracji w ramach domyślnej subskrypcji uzyskamy dostęp do danych udostępnianych przez użytkownika AlienVault (rys. 1). Należy pamiętać, że uaktywniona zostaje także e-mailowa wysyłka powiadomień na adres użyty podczas zakładania konta. Jeżeli chcielibyśmy, żeby powiadomienia przychodziły na inny adres, musimy go zmienić w ustawieniach konta (ikona trybiku w górnym prawym rogu okna) lub dodać nowy adres, a po zweryfikowaniu ustawić go jako podstawowy. Poza zmianą adresu możemy ograniczyć także liczbę wysyłanych powiadomień, wybierając odpowiednią kategorię z listy, np. gdy chcemy otrzymywać tylko powiadomienia dotyczące komentarzy do opublikowanych przez nas danych.


> GRUPY

 

W przypadku organizacji, które chciałyby utworzyć własny zespół monitorujący bezpieczeństwo (Security Operations Center, SOC) czy też razem z innymi organizacjami utworzyć centrum wymiany informacji (Information Sharing and Analysis Center, ISAC), dostępna jest możliwość tworzenia grup użytkowników. Zanim jednak utworzymy nową grupę, musimy się zastanowić, czy będzie ona dostępna publicznie, czy też będzie ona zamknięta (w tego typu grupach zachodzi potrzeba zapewnienia poufności przekazywanych informacji), czy jej członków będą mogli widzieć nazwy innych członków tej grupy i czy będą mogli zapraszać innych użytkowników platformy OTX do członkostwa. Jeżeli zadaniem grupy będzie tylko przekazywanie przez właścicieli grupy informacji do jej członków, to nawet można wyłączyć jej członkom możliwość publikowania nowych impulsów w ramach grupy. Tworzenie grupy oraz dodawanie do niej nowego członka przedstawia ramka Krok po kroku – tworzenie grupy.


> IMPULSY


Platforma OTX organizuje dane o zagrożeniach w postaci tzw. impulsów, które dostarczają kontekst oraz wskaźniki zagrożeń (IoC). Impulsy składają się z co najmniej jednego wskaźnika IoC, np. adresu IPv4 lub IPv6, nazwy domeny lub hosta, skrótu pliku (m.in. MD5, SHA1, SHA256) czy też e-maila.


Podczas tworzenia impulsu możemy dodawać do niego wskaźniki IoC ręcznie lub automatycznie z użyciem ekstraktora (przedstawia to ramka Krok po kroku – tworzenie impulsu). Ekstraktor potrafi wyodrębnić dane z wpisanego tekstu, ze strony po wpisaniu jej URL, a także bezpośrednio ze wskazanego pliku (np. raportu). Mogą to być blogi, pliki PDF, logi lub inne źródła zagrożeń, np. w formacie STIX.


Ekstraktor po wyszukaniu wskaźników IoC od razu wykonuje ich analizę, wskazując te, które mogą generować fałszywe alarmy (ang. false positives), oraz sugerując dodatkowe wskaźniki IoC z zebranych wcześniej danych. Możemy zaobserwować to działanie po wpisaniu tekstu zawierającego dwa adresy IP (60.10.1.118 oraz 8.8.8.8) w polu ekstraktora. Po analizie otrzymamy jeden wskaźnik docelowy IoC (60.10.1.118), jedno wykluczenie (8.8.8.8) oraz osiem dodatkowo sugerowanych wskaźników. Wszystkie te listy należy dokładnie przeanalizować.


Do tworzonego impulsu zostaną dodane tylko wskaźniki znajdujące się liście Included IoC. Wskaźniki na tej liście można edytować lub z niej usuwać. Pozostałe wskaźniki znajdujące się na liście wskaźników wykluczonych, jak i wskaźników sugerowanych, możemy dodać do listy Included IoC. Oczywiście należy to zrobić po ich wnikliwej analizie. Dodanie wskaźnika IP zawierającego znany adres 8.8.8.8 będzie generowało fałszywe alarmy.


Po utworzeniu impulsu zawsze możemy dokonać jego aktualizacji, dodając nowe lub edytując istniejące wskaźniki IoC. Możemy także dodawać nowe wskaźniki IoC, kopiując je z innych impulsów.


Impulsy utworzone przez użytkowników OTX możemy wykorzystać do przeprowadzenia kontroli własnych systemów pod kątem znajdujących się w nich wskaźników IoC. Możemy także zawczasu zabezpieczyć się przed opisywanymi zagrożeniami, wdrażając odpowiednie mechanizmy zabezpieczające.


> PRZEGLĄDANIE I WYSZUKIWANIE


Po zalogowaniu się do platformy OTX w głównym obszarze okna domyślnie wyświetlana jest zakładka Pulses. Zawiera ona listę impulsów z podziałem na następujące kategorie: AlienVault (wyświetla najnowsze impulsy dostarczone przez AlienVault), New (wyświetla najnowsze impulsy dostarczone przez wszystkich użytkowników), Updated (wyświetla najnowsze aktualizacje dotyczące wszystkich impulsów) oraz Subscribed (wyświetla najnowsze impulsy dostarczone przez użytkowników, których obserwujemy lub subskrybujemy).


Kliknięcie tytułu impulsu powoduje wyświetlenie pełnej informacji o wybranym impulsie wraz z listą przypisanych do niego wskaźników IoC, znajdującą się w zakładce Indicator of Compromise.


Jeżeli przeglądany impuls powiązany jest z innymi, to impulsy te możemy zobaczyć w zakładce Related Pulses. Jednak przeglądanie całej ich listy może zająć bardzo dużo czasu, zwłaszcza w przypadku impulsów, które mają np. 326 wskaźników IoC oraz 160 powiązanych impulsów. Łatwiej jest namierzyć odpowiedni wskaźnik IoC na takiej liście i sprawdzić, czy są z nim powiązane impulsy.


Jeżeli podczas przeglądania impulsu stwierdzimy, że mamy co do niego określone sugestie lub chcemy dodać do niego nowe dane, to możemy kliknąć przycisk Suggest Edit znajdujący się w prawym górnym rogu okna danego impulsu. Po utworzeniu sugestii właściciel impulsu otrzyma informację o tym zdarzeniu w zakładce Activity, zaś w zakładce Suggested Edits będzie mógł przejrzeć otrzymane sugestie i je zaakceptować lub odrzucić.


Poza przeglądaniem impulsów w powyższy sposób możemy do przeglądania użyć opcji Browse z górnego menu. Przykładowo po wybraniu zakładki Adversaries przechodzimy do pozycji z grupą APT41. Po jej kliknięciu uzyskujemy listę impulsów powiązanych z tą grupą. W ten sposób możemy zapoznać się z działaniami danej grupy.

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"