UA EN
Програмне рішення
для підвищення ефективності систем кіберзахисту
Захист та управління
кібербезпекою в режимі
реального часу
Smiddle Security Administration Platform – це рішення що збирає,
нормалізує та валідує індикатори компрометації для їх подальшого
використання на засобах безпеки.
Smiddle Security Administration Platform

Smiddle Security Administration Platform – це система, яка автоматично збирає та обробляє індикатори компрометації (IoC), відповідно до заданих параметрів.

Рішення має можливість збирати інформацію про загрози з великої кількості різноманітних типів джерел та в різних форматах, автоматично нормалізує, валідує та підготовлює їх для подальшого відправлення на засоби безпеки.

Це дозволяє регулювати навантаження та ефективніше використовувати міжмережеві екрани та інші засоби безпеки.

Рішення може збирати IoC з різних джерел які доступні за посиланнями (URL) або завантажених з файлу. Та в різних форматах, таких як вебсайти (HTML), спеціальний формат для IoC (STIX), текстові файли (наприклад, TXT, PDF) та інші.

Формати:
  • stix
  • html
  • txt / xml
  • pdf
  • misp
  • csv
  • stix / taxii
Системи:
  • Cisco Secure Firewall Management Center
  • ArcSight
  • Cisco FMC
  • Cisco Smart Licensing
  • Cisco Email Security
  • Cisco SecureX
  • MISP
  • Virus Total
  • FS-List
Можливості
Smiddle Security Administration Platform
Smiddle Security Administration Platform
Очищення даних
Одна з важливих можливостей Smiddle Security Administration Platform – це очищення отриманих даних від непотрібних елементів, таких як значення з помилками, дублі, нерелевантні та не верифіковані дані. Цей крок допомагає забезпечити якісний та ефективний аналіз що підвищує надійність системи безпеки.
Кореляція та валідація IoC
Кореляція IoC з білими списками компанії допомагає значно зменшити хибні спрацювання і покращує точність системи. Інша важлива функція – це валідація IoC за критеріями рівня загрози. Така перевірка допомагає визначити, чи можуть ці IoC становити загрозу для конкретної інформаційної системи.
Позначення за типом
Додатково, IoC можуть бути позначені за їх типом та напрямком використання. Це допомагає зрозуміти, як саме ці IoC можуть бути використані, що дозволяє краще оцінити ризики та прийняти відповідні заходи безпеки для захисту інформаційної системи від можливих кіберзагроз.
Smiddle Security Administration Platform
Переваги
Унікальні індикатори
Унікальні індикатори
Підвищення ефективності пристроїв безпеки, за допомогою надання тільки унікальних і відповідних за типом індикаторів компрометації
Керування джерелами
Керування джерелами
Можливість додавати джерела Threat Intelligence напряму з SSAP без прямого доступу до Cisco Secure FMC
Автоматизація
Автоматизація
Автоматична обробка індикаторів компрометації з різноманітних джерел і різних форматів, їх нормалізація та валідація
Червона кнопка
Червона кнопка
Можливість миттєво збагатити Cisco Secure FMC завдяки наявності функції «ЧЕРВОНОЇ КНОПКИ»
Якість джерел
Якість джерел
Можливість порівняння та оцінки якості різних джерел, платних або безплатних. SSAP дозволяє визначати наскільки унікальні та якісні індикатори отримуються з них
Аналітика
Аналітика
Отримання актуальної статистики по спрацюваннях IoCs та аналітики за джерелами IOCs
Спрощення процесів
Режим блокування і спрощення процесів
Автоматичне переведення індикаторів компрометації з колекцій SSAP в режим блокування. Зменшення навантаження на персонал та скорочення рутинних процесів
Білі списки
Білі списки
Скорочення кількості хибних спрацювань на пристроях безпеки, завдяки реалізації централізованих білих списків з дозволеними індикаторами
Контроль ліцензій
Контроль ліцензій
Забезпечення чіткого контролю за актуальністю ліцензій та підписок
 
Застосування
Автоматизований збір та збагачення засобів безпеки Threat Intelligence подіями

Проблема: Велике різноманіття джерел та обсяг інформації про загрози, суттєво ускладнюють або роблять неможливим їх обробку та керування вручну.

Рішення: SSAP виконує роль платформи яка автоматично виконує збір, обробку, та підготовку інформації про загрози до відправки на пристрої безпеки. Він має можливість збирати інформацію про загрози з великої кількості різноманітних типів джерел. Це можуть бути як публічні джерела, так і платні, які вимагають авторизацію при доступі до них. Далі він фільтрує та нормалізує отримані дані шляхом прибирання повторюваних, неправильно оформлених та не валідних з точки зору VirusTotal та Білих списків елементів. За налаштованими параметрами готує кастомізовані та чисті списки індикаторів загроз, якими збагачуються пристрої безпеки.

Результат: Знижується навантаження на персонал безпеки, за допомогою автоматизації процесів по збору та аналізу IoCs.

Про Компанію

Smiddle – міжнародна компанія, розробник програмного забезпечення. Ми не просто створюємо програмне забезпечення, ми перетворюємо ідеї в інноваційні продукти, які змінюють світ. Кожен проєкт для нас – це виклик, який ми беремо на себе з великою відповідальністю та ентузіазмом. Ми цінуємо кожного нашого партнера та кожного користувача наших продуктів.

Ваш успіх – наш успіх, і саме тому ми працюємо на межі можливостей, щоб забезпечити вам найвищий рівень задоволення та зручності. Наша місія – створювати продукти, орієнтовані на потреби наших клієнтів. Кожен ваш проєкт отримує нашу безмежну увагу. Ми пропонуємо комплексні рішення, технічну підтримку та консультаційний супровід.

faq
FAQ

Ні, зараз у нас відсутні власні джерела зі списками індикаторів компрометації. Але за потреби наша команда впровадження, може порекомендувати деякі в залежності від наявних засобів безпеки та специфіки організації.

Дійсно до складу SSAP входять три модулі (Агрегації, Дистрибуції та Інвентаризації). Модуль Агрегації та Дистрибуції є обов’язковими для повноцінної роботи рішення, бо вони виконують роль збору, обробки та підготовки чистих списків. А модуль Інвентаризації є додатковим і розширює функціонал інтеграцією з Cisco Secure Firewall Management Center, що дозволяє відправляти на нього з консолі SSAP списки з індикаторами та збирати статистику спрацювань.

До складу SSAP входить три модулі (Агрегації, Дистрибуції та Інвентаризації), для кожного з них потрібна окрема ліцензія. Модуль Агрегації та Дистрибуції є обов’язковими для роботи рішення і ліцензуються за кількістю вузлів таких модулів. Своєю чергою модуль Дистрибуції розширює функціонал SSAP нативною інтеграцію з Cisco Secure Firewall Management Center, і ліцензується в залежності від кількості та моделей сенсорів які підключені до Cisco Secure FMC. У будь-якому випадку ви можете зв’язатися з нами за консультацією і демонстрацією.

В SSAP вбудований функціонал білих списків та валідації на платформі VirusTotal. За допомогою цього функціоналу відбувається додаткова фільтрація індикаторів компрометації, перш ніж вони потраплять в загальну базу на основі якої будуть формуватися “чисті” списки з IoCs.

Для завантаження IoCs з SSAP використовується стандартний для пристроїв безпеки інтерфейс який працює з протоколами STIX/TAXII, тобто будь-який пристрій безпеки який підтримує взаємодію за цим протоколом може під'єднатися до SSAP і завантажити списки з “чистими” індикаторами. А наявність відкритого API у кожного з модулів, дозволяє робити й інші інтеграції.

Завантажити індикатори в базу SSAP можна або як файл, або як URL з наступними форматами джерел це MISP, STIX, STIX/TAXII, HTML, TXT, XML, PDF, CSV. Після обробки індикаторів, їх валідації, нормалізації є можливість їх вивантаження на пристрої безпеки.

В SSAP є можливість контролювати ліцензії для Cisco Secure Firewall та приватних джерел IoC, це відбувається наступним чином:

  • - Для Cisco Secure Firewall шляхом інтеграції SSAP з Cisco Smart Account де зберігаються відповідні ліцензії продуктів Сisco, і є можливість відстежувати стан конкретних ліцензій в режимі реального часу.
  • - Для джерел IoC, в ручному режимі, при створенні або редагуванні джерела виконується налаштування дати закінчення конкретної ліцензії.

В SSAP реалізовано функціонал оцінки якості джерела. Це дозволяє оцінити наскільки джерело підходить для кожного конкретного впровадження.

Для того, щоб оцінити якість джерела, SSAP використовує метадані сформовані на основі інформації про джерела, такі як загальна кількість індикаторів, дублікати, індикатори з білих списків і т.п. А також даних з пристроїв безпеки про кількість спрацювань цих індикаторів.

Після цього алгоритми SSAP аналізують отримані дані й формують рейтинг кожного з джерел.

SSAP не має власних джерел з індикаторами компрометації, і працює виключно з джерелами які в нього додали. Але SSAP допомагає автоматизувати процес забору IoC з джерела згідно з графіком, або завантажити нову порцію індикаторів за “вимогою”. Якщо про загрозу стало відомо зовсім нещодавно і джерело вже містить цей індикатор ви отримаєте його в SSAP. Після всіх перевірок, як тільки індикатор потрапить до бази “чистих” індикаторів. Його можна на вимогу вивантажити на пристрій безпеки.

Контакти
Напишіть нам та задайте запитання що вас цікавить
і ми відповімо вам протягом одного робочого дня.
Для отримання додаткової інформації ознайомтесь з нашою політикою конфіденційності
Відправити
м. Таллінн, Округ Харью, район Кесклінн, пл. Виру 2, 10111
м. Київ, проспект Степана Бандери 16-Б