UA EN
Програмне рішення
для підвищення ефективності систем кіберзахисту
Захист та управління
кібербезпекою в режимі
реального часу
Smiddle Security Administration Platform – це рішення що збирає,
нормалізує та валідує індикатори компрометації для їх подальшого
використання на засобах безпеки.
Smiddle Security Administration Platform

Smiddle Security Administration Platform – це система, яка автоматично збирає та обробляє індикатори компрометації (IoC), відповідно до заданих параметрів.

Рішення має можливість збирати інформацію про загрози з великої кількості різноманітних типів джерел та в різних форматах, автоматично нормалізує, валідує та підготовлює їх для подальшого відправлення на засоби безпеки.

Це дозволяє регулювати навантаження та ефективніше використовувати міжмережеві екрани та інші засоби безпеки.

Рішення може збирати IoC з різних джерел які доступні за посиланнями (URL) або завантажених з файлу. Та в різних форматах, таких як вебсайти (HTML), спеціальний формат для IoC (STIX), текстові файли (наприклад, TXT, PDF) та інші.

Формати:
  • stix
  • html
  • txt / xml
  • pdf
  • misp
  • csv
  • stix / taxii
Системи:
  • Cisco Secure Firewall Management Center
  • ArcSight
  • Cisco FMC
  • Cisco Smart Licensing
  • Cisco Email Security
  • Cisco SecureX
  • MISP
  • Virus Total
  • FS-List
Можливості
Smiddle Security Administration Platform
Smiddle Security Administration Platform
Очищення даних
Одна з важливих можливостей Smiddle Security Administration Platform – це очищення отриманих даних від непотрібних елементів, таких як значення з помилками, дублі, нерелевантні та не верифіковані дані. Цей крок допомагає забезпечити якісний та ефективний аналіз що підвищує надійність системи безпеки.
Кореляція та валідація IoC
Кореляція IoC з білими списками компанії допомагає значно зменшити хибні спрацювання і покращує точність системи. Інша важлива функція – це валідація IoC за критеріями рівня загрози. Така перевірка допомагає визначити, чи можуть ці IoC становити загрозу для конкретної інформаційної системи.
Позначення за типом
Додатково, IoC можуть бути позначені за їх типом та напрямком використання. Це допомагає зрозуміти, як саме ці IoC можуть бути використані, що дозволяє краще оцінити ризики та прийняти відповідні заходи безпеки для захисту інформаційної системи від можливих кіберзагроз.
Smiddle Security Administration Platform
Переваги
Унікальні індикатори
Унікальні індикатори
Підвищення ефективності пристроїв безпеки, за допомогою надання тільки унікальних і відповідних за типом індикаторів компрометації
Керування джерелами
Керування джерелами
Можливість додавати джерела Threat Intelligence напряму з SSAP без прямого доступу до Cisco Secure FMC
Автоматизація
Автоматизація
Автоматична обробка індикаторів компрометації з різноманітних джерел і різних форматів, їх нормалізація та валідація
Червона кнопка
Червона кнопка
Можливість миттєво збагатити Cisco Secure FMC завдяки наявності функції «ЧЕРВОНОЇ КНОПКИ»
Якість джерел
Якість джерел
Можливість порівняння та оцінки якості різних джерел, платних або безплатних. SSAP дозволяє визначати наскільки унікальні та якісні індикатори отримуються з них
Аналітика
Аналітика
Отримання актуальної статистики по спрацюваннях IoCs та аналітики за джерелами IOCs
Спрощення процесів
Режим блокування і спрощення процесів
Автоматичне переведення індикаторів компрометації з колекцій SSAP в режим блокування. Зменшення навантаження на персонал та скорочення рутинних процесів
Білі списки
Білі списки
Скорочення кількості хибних спрацювань на пристроях безпеки, завдяки реалізації централізованих білих списків з дозволеними індикаторами
Контроль ліцензій
Контроль ліцензій
Забезпечення чіткого контролю за актуальністю ліцензій та підписок
 
Застосування
Автоматизований збір та збагачення засобів безпеки Threat Intelligence подіями

Проблема: Велике різноманіття джерел та обсяг інформації про загрози, суттєво ускладнюють або роблять неможливим їх обробку та керування вручну.

Рішення: SSAP виконує роль платформи яка автоматично виконує збір, обробку, та підготовку інформації про загрози до відправки на пристрої безпеки. Він має можливість збирати інформацію про загрози з великої кількості різноманітних типів джерел. Це можуть бути як публічні джерела, так і платні, які вимагають авторизацію при доступі до них. Далі він фільтрує та нормалізує отримані дані шляхом прибирання повторюваних, неправильно оформлених та не валідних з точки зору VirusTotal та Білих списків елементів. За налаштованими параметрами готує кастомізовані та чисті списки індикаторів загроз, якими збагачуються пристрої безпеки.

Результат: Знижується навантаження на персонал безпеки, за допомогою автоматизації процесів по збору та аналізу IoCs.

Помилкові спрацювання

Проблема: Велика кількість помилкових спрацювань ставлять під загрозу ефективність пристроїв безпеки.

Рішення: За допомогою SSAP є можливість мінімізувати кількість помилкових спрацювань на пристроях безпеки, це досягається шляхом централізованого керування списками індикаторів компрометації, наявністю білих списків з дозволеними індикаторами та додатковою перевіркою кожного індикатора на VirusTotal. Це дозволяє тримати в базі SSAP максимально “валідні” індикатори компрометації, які надалі будуть використовуватися пристроями безпеки, такими як SIEM системи, міжмережеві екрани, антивіруси й т.д.

Результат: Нульова або мінімальна кількість помилкових спрацювань на пристроях безпеки, що дозволяє зекономити час на розслідуванні “помилкових” інцидентів, а також гарантувати що сервіси які потрібні для роботи компанії не будуть заблоковані при помилці зі сторони вендора списків безпеки.

Запобігання повторним атакам

Проблема: Компанія стає жертвою частого злому з боку кіберзлочинців, і це стає нормою, а не винятком. Реакція на такі атаки потребує оперативних та добре узгоджених заходів.

Рішення: Система Smiddle Security Administration Platform завантажує інформацію про потенційно небезпечні артефакти (IoC) до централізованої бази даних SSAP за розкладом або за запитом, дозволяючи отримувати оновлені дані з джерела, щойно вони там з'являються. З бази SSAP дані швидко передаються на необхідні пристрої безпеки. Це дозволить оперативно реагувати на кібератаки та знизити їх вплив на організацію, уникаючи їх поширення на критичних робочих станціях та в мережі організації.

Результат: Збільшена швидкість та ефективність реакції на інциденти під час кібератаки допоможе знизити її негативний вплив на організацію.

Керування навантаженням на засоби безпеки

Проблема: Відсутність можливості прямого керування навантаженням IoCs на засоби безпеки може знизити їх ефективність.

Рішення: Кожен пристрій безпеки обмежений в розумінні лише певних типів індикаторів компрометації та має обмежені ресурси для їх обробки та зберігання. Це може призвести до ігнорування частини індикаторів, якщо їх надто багато або вони несумісні з конкретним засобом безпеки. Однак, завдяки системі Smiddle Security Administration Platform (SSAP), вирішується ця проблема. Завдяки SSAP можна керувати ефективністю функціонала Threat Intelligence на пристроях безпеки, налаштовуючи спеціалізовані правила. Ці правила дозволяють створювати відповідні списки індикаторів компрометації для кожного типу пристрою безпеки, щоб вони отримували лише ті індикатори, які їм зрозумілі та можуть ефективно обробити. Також є можливість обмежувати кількість індикаторів до максимально можливого обсягу, який ці засоби можуть зберігати.

Результат: Підвищення ефективності функціонала Threat Intelligence на засобах безпеки, що дозволяє краще захищати компанію від кіберзагроз.

Аналіз ефективності джерел індикаторів компрометації
(в новій версії)

Проблема: Відсутність розуміння ефективності та якості кожного джерела індикаторів компрометації, які використовує організація.

Рішення: Організації можуть використовувати велику кількість джерел з індикаторами компрометації; деякі з них можуть бути безплатними, а деякі – платними. Проте немає об’єктивного бачення того, наскільки кожне джерело індикаторів є ефективним для конкретної організації. SSAP надає змогу зрозуміти це. За допомогою алгоритмів SSAP аналізуються метадані (кількість індикаторів, дублікати, білі списки, спрацювання і т.д.) кожного з джерел та пристроїв безпеки. Після аналізу кожному джерелу призначається певна оцінка, яка відображає його реальну користь для організації в конкретні проміжки часу.

Результат: Кожне джерело індикаторів компрометації має свою об’єктивну оцінку ефективності та якості, що дозволяє зрозуміти його корисність для кожної конкретної організації.

Про Компанію

Smiddle – міжнародна компанія, розробник програмного забезпечення. Ми не просто створюємо програмне забезпечення, ми перетворюємо ідеї в інноваційні продукти, які змінюють світ. Кожен проєкт для нас – це виклик, який ми беремо на себе з великою відповідальністю та ентузіазмом. Ми цінуємо кожного нашого партнера та кожного користувача наших продуктів.

Ваш успіх – наш успіх, і саме тому ми працюємо на межі можливостей, щоб забезпечити вам найвищий рівень задоволення та зручності. Наша місія – створювати продукти, орієнтовані на потреби наших клієнтів. Кожен ваш проєкт отримує нашу безмежну увагу. Ми пропонуємо комплексні рішення, технічну підтримку та консультаційний супровід.

faq
FAQ

Ні, зараз у нас відсутні власні джерела зі списками індикаторів компрометації. Але за потреби наша команда впровадження, може порекомендувати деякі в залежності від наявних засобів безпеки та специфіки організації.

Дійсно до складу SSAP входять три модулі (Агрегації, Дистрибуції та Інвентаризації). Модуль Агрегації та Дистрибуції є обов’язковими для повноцінної роботи рішення, бо вони виконують роль збору, обробки та підготовки чистих списків. А модуль Інвентаризації є додатковим і розширює функціонал інтеграцією з Cisco Secure Firewall Management Center, що дозволяє відправляти на нього з консолі SSAP списки з індикаторами та збирати статистику спрацювань.

До складу SSAP входить три модулі (Агрегації, Дистрибуції та Інвентаризації), для кожного з них потрібна окрема ліцензія. Модуль Агрегації та Дистрибуції є обов’язковими для роботи рішення і ліцензуються за кількістю вузлів таких модулів. Своєю чергою модуль Дистрибуції розширює функціонал SSAP нативною інтеграцію з Cisco Secure Firewall Management Center, і ліцензується в залежності від кількості та моделей сенсорів які підключені до Cisco Secure FMC. У будь-якому випадку ви можете зв’язатися з нами за консультацією і демонстрацією.

В SSAP вбудований функціонал білих списків та валідації на платформі VirusTotal. За допомогою цього функціоналу відбувається додаткова фільтрація індикаторів компрометації, перш ніж вони потраплять в загальну базу на основі якої будуть формуватися “чисті” списки з IoCs.

Для завантаження IoCs з SSAP використовується стандартний для пристроїв безпеки інтерфейс який працює з протоколами STIX/TAXII, тобто будь-який пристрій безпеки який підтримує взаємодію за цим протоколом може під'єднатися до SSAP і завантажити списки з “чистими” індикаторами. А наявність відкритого API у кожного з модулів, дозволяє робити й інші інтеграції.

Завантажити індикатори в базу SSAP можна або як файл, або як URL з наступними форматами джерел це MISP, STIX, STIX/TAXII, HTML, TXT, XML, PDF, CSV. Після обробки індикаторів, їх валідації, нормалізації є можливість їх вивантаження на пристрої безпеки.

В SSAP є можливість контролювати ліцензії для Cisco Secure Firewall та приватних джерел IoC, це відбувається наступним чином:

  • - Для Cisco Secure Firewall шляхом інтеграції SSAP з Cisco Smart Account де зберігаються відповідні ліцензії продуктів Сisco, і є можливість відстежувати стан конкретних ліцензій в режимі реального часу.
  • - Для джерел IoC, в ручному режимі, при створенні або редагуванні джерела виконується налаштування дати закінчення конкретної ліцензії.

В SSAP реалізовано функціонал оцінки якості джерела. Це дозволяє оцінити наскільки джерело підходить для кожного конкретного впровадження.

Для того, щоб оцінити якість джерела, SSAP використовує метадані сформовані на основі інформації про джерела, такі як загальна кількість індикаторів, дублікати, індикатори з білих списків і т.п. А також даних з пристроїв безпеки про кількість спрацювань цих індикаторів.

Після цього алгоритми SSAP аналізують отримані дані й формують рейтинг кожного з джерел.

SSAP не має власних джерел з індикаторами компрометації, і працює виключно з джерелами які в нього додали. Але SSAP допомагає автоматизувати процес забору IoC з джерела згідно з графіком, або завантажити нову порцію індикаторів за “вимогою”. Якщо про загрозу стало відомо зовсім нещодавно і джерело вже містить цей індикатор ви отримаєте його в SSAP. Після всіх перевірок, як тільки індикатор потрапить до бази “чистих” індикаторів. Його можна на вимогу вивантажити на пристрій безпеки.

Контакти
Напишіть нам та задайте запитання що вас цікавить
і ми відповімо вам протягом одного робочого дня.
Для отримання додаткової інформації ознайомтесь з нашою політикою конфіденційності
Відправити
м. Таллінн, Округ Харью, район Кесклінн, пл. Виру 2, 10111
м. Київ, проспект Степана Бандери 16-Б