Odločil sem se postavit OpenCTI. Kaj je sploh OpenCTI? OpenCTI je platforma za upravljanje in deljenje obveščevalnih informacij o kibernetski varnosti. Organizacijam omogoča, da zbirajo, obdelujejo, analizirajo in distribuirajo informacije o grožnjah in ranljivostih. OpenCTI podpira standarde in protokole, ki olajšajo integracijo z drugimi orodji za varnost in analizo podatkov. Namenjena je pomoči pri boljšem razumevanju groženj, izboljšanju varnostnih ukrepov ter povečanju splošne učinkovitosti obvladovanja kibernetskih tveganj.
Pomembno je opozoriti, da znotraj teme obveščanja o kibernetsnih grožnjah (CTI) obstaja več pomembnih podtem, ki jih je treba razumeti; kazalniki kompromisa, napredne vztrajne grožnje in protokol svetlobnega signala so tri ključna področja, ki jih je treba raziskati v zvezi s CTI.
Kazalniki kompromisa (IOCs)
Kazalniki kompromisa se nanašajo na podatke, ki lahko nakazujejo, da je bila organizacija morda ogrožena s strani zunanjega akterja. Uporabljajo jih varnostne ekipe za obogatitev dnevnikov v SIEM, tako da, na primer, če je nova domena označena za zlonamerno s strani ponudnika obveščevalnih informacij, in se zazna dejavnost med organizacijo in domeno, bi se morala varnostna ekipa opozoriti in izvesti preiskavo.
Vrste podatkov IOC vključujejo:
- IP naslove
- Imenske domene
- Zlonamerna imena datotek
- Hashi datotek
- URL naslove
Napredna vztrajna grožnja (APT) je zapleten, trajajoč kibernetski napad, v katerem napadalec vzpostavi neopaženo prisotnost v omrežju, da bi ukradel občutljive podatke skozi daljše časovno obdobje. Napad APT je skrbno načrtovan in zasnovan za infiltracijo specifične organizacije, izogibanje obstoječim varnostnim ukrepom in delovanje brez opazovanja.
Protokol svetlobnega signala (TLP) je bil ustvarjen z namenom olajšanja večje izmenjave informacij. TLP je niz oznak, ki se uporabljajo za zagotovitev, da se občutljive informacije izmenjujejo z ustrezno publiko. Uporablja štiri barve za označevanje pričakovanih meja deljenja, ki jih morajo upoštevati prejemniki.
OpenCTI je brezplačen za nastavitev in delovanje, uporablja obveščevalne podatke iz odprtokodnih in lastniških virov groženj. Idealno je za uporabo v domačem laboratoriju na dockerju, čeprav ga lahko namestite tudi v organizaciji (priporočamo uporabo Kubernetes). Ko začnete pridobivati podatke iz virov groženj, hitro pridobite dostop do IOCs, poročil o grožnjah, tehnik napada in še več. Platforma samodejno usklajuje podobne obveščevalne podatke o grožnjah, tako da lahko usklajujete več virov groženj z enotami.
Zaključne misli
OpenCTI je odličen način za spoznavanje obveščanja o grožnjah in je zabaven projekt, ki se ga lahko naučite doma, vendar ga lahko vedno namestite znotraj organizacije. OpenCTI se lepo integrira z MISP, kar je še en priljubljen vir odprtokodnih obveščevalnih informacij o grožnjah.
Lastniški viri obveščevalnih informacij o grožnjah iz organizacij, kot so Recorded Future in ReliaQuest, so lahko zelo dragi; zato je odličen način za dopolnitev vaših sistemov uporaba agregatorjev, kot sta MISP in OpenCTI (ali ustvarite svojega!). To lahko obogati vaš SIEM in SOAR izdelke z obveščevalnimi podatki o grožnjah, da dopolni omejene informacije, ki jih morda kupujete.
Za postavitev OpenCTI boste potrebovali virtualko z minimalno 16 GB spomina in 8 CPU, za začetek. V kolikor boste dodajali več in več konektorjev, bodo tudi apetiti bo strojni opremi večji. V enem naslednjih člankov bom opisal kako sem se lotil postavitve OpenCTI v Docker kontejnerjih.