Smiddle Security Administration Platform – це система, яка автоматично збирає та обробляє індикатори компрометації (IoC), відповідно до заданих параметрів.
Рішення має можливість збирати інформацію про загрози з великої кількості різноманітних типів джерел та в різних форматах, автоматично нормалізує, валідує та підготовлює їх для подальшого відправлення на засоби безпеки.
Це дозволяє регулювати навантаження та ефективніше використовувати міжмережеві екрани та інші засоби безпеки.
Рішення може збирати IoC з різних джерел які доступні за посиланнями (URL) або завантажених з файлу. Та в різних форматах, таких як вебсайти (HTML), спеціальний формат для IoC (STIX), текстові файли (наприклад, TXT, PDF) та інші.
Smiddle – міжнародна компанія, розробник програмного забезпечення. Ми не просто створюємо програмне забезпечення, ми перетворюємо ідеї в інноваційні продукти, які змінюють світ. Кожен проєкт для нас – це виклик, який ми беремо на себе з великою відповідальністю та ентузіазмом. Ми цінуємо кожного нашого партнера та кожного користувача наших продуктів.
Ваш успіх – наш успіх, і саме тому ми працюємо на межі можливостей, щоб забезпечити вам найвищий рівень задоволення та зручності. Наша місія – створювати продукти, орієнтовані на потреби наших клієнтів. Кожен ваш проєкт отримує нашу безмежну увагу. Ми пропонуємо комплексні рішення, технічну підтримку та консультаційний супровід.
Ні, зараз у нас відсутні власні джерела зі списками індикаторів компрометації. Але за потреби наша команда впровадження, може порекомендувати деякі в залежності від наявних засобів безпеки та специфіки організації.
Дійсно до складу SSAP входять три модулі (Агрегації, Дистрибуції та Інвентаризації). Модуль Агрегації та Дистрибуції є обов’язковими для повноцінної роботи рішення, бо вони виконують роль збору, обробки та підготовки чистих списків. А модуль Інвентаризації є додатковим і розширює функціонал інтеграцією з Cisco Secure Firewall Management Center, що дозволяє відправляти на нього з консолі SSAP списки з індикаторами та збирати статистику спрацювань.
До складу SSAP входить три модулі (Агрегації, Дистрибуції та Інвентаризації), для кожного з них потрібна окрема ліцензія. Модуль Агрегації та Дистрибуції є обов’язковими для роботи рішення і ліцензуються за кількістю вузлів таких модулів. Своєю чергою модуль Дистрибуції розширює функціонал SSAP нативною інтеграцію з Cisco Secure Firewall Management Center, і ліцензується в залежності від кількості та моделей сенсорів які підключені до Cisco Secure FMC. У будь-якому випадку ви можете зв’язатися з нами за консультацією і демонстрацією.
В SSAP вбудований функціонал білих списків та валідації на платформі VirusTotal. За допомогою цього функціоналу відбувається додаткова фільтрація індикаторів компрометації, перш ніж вони потраплять в загальну базу на основі якої будуть формуватися “чисті” списки з IoCs.
Для завантаження IoCs з SSAP використовується стандартний для пристроїв безпеки інтерфейс який працює з протоколами STIX/TAXII, тобто будь-який пристрій безпеки який підтримує взаємодію за цим протоколом може під'єднатися до SSAP і завантажити списки з “чистими” індикаторами. А наявність відкритого API у кожного з модулів, дозволяє робити й інші інтеграції.
Завантажити індикатори в базу SSAP можна або як файл, або як URL з наступними форматами джерел це MISP, STIX, STIX/TAXII, HTML, TXT, XML, PDF, CSV. Після обробки індикаторів, їх валідації, нормалізації є можливість їх вивантаження на пристрої безпеки.
В SSAP є можливість контролювати ліцензії для Cisco Secure Firewall та приватних джерел IoC, це відбувається наступним чином:
В SSAP реалізовано функціонал оцінки якості джерела. Це дозволяє оцінити наскільки джерело підходить для кожного конкретного впровадження.
Для того, щоб оцінити якість джерела, SSAP використовує метадані сформовані на основі інформації про джерела, такі як загальна кількість індикаторів, дублікати, індикатори з білих списків і т.п. А також даних з пристроїв безпеки про кількість спрацювань цих індикаторів.
Після цього алгоритми SSAP аналізують отримані дані й формують рейтинг кожного з джерел.
SSAP не має власних джерел з індикаторами компрометації, і працює виключно з джерелами які в нього додали. Але SSAP допомагає автоматизувати процес забору IoC з джерела згідно з графіком, або завантажити нову порцію індикаторів за “вимогою”. Якщо про загрозу стало відомо зовсім нещодавно і джерело вже містить цей індикатор ви отримаєте його в SSAP. Після всіх перевірок, як тільки індикатор потрапить до бази “чистих” індикаторів. Його можна на вимогу вивантажити на пристрій безпеки.