Киберразведка

Что дает PassiveTotal аналитикам SOC и киберразведки

Зачем аналитику SOC данные о сети Интернет

Аналитикам SOC и киберразведки, расследующим инциденты, необходима как можно более детальная и точная информация о злоумышленниках, их текущей и потенциальной инфраструктуре, в том числе IP-адресах, доменах, истории активности серверов, их взаимосвязях и так далее.

Эти данные помогают строить таймлайны инцидентов и активностей злоумышленника, находить связанную инфраструктуру и возможные другие источники взлома, пытаться предсказать будущие векторы атаки, а также провести атрибуцию злоумышленной кампании.

Все это возможно благодаря PassiveTotal — массивной базе знаний о сети Интернет.

Что такое PassiveTotal

RiskIQ PassiveTotal — это база знаний о сети Интернет, которая ускоряет расследования, позволяя связывать активность внутри периметра, такие как алерты, события и индикаторы компрометации (IOC) с тем, что происходит за пределами межсетевого экрана — внешними угрозами, злоумышленниками и связанной с ними инфраструктурой.

PassiveTotal дает аналитикам SOC и хантерам доступ к терабайтам консолидированных и обогащенных данных о сети Интернет, необходимых для исследования злоумышленников и их инфраструктуры. Сервис предоставляет исторические наборы данных о сети Интернет, собираемые с 2009 года, в простом и наглядном визуальном интерфейсе.

PassiveTotal Россия
История резолва домена в интерфейсе RiskIQ PassiveTotal

Работу в PassiveTotal можно начать с простого поиска по идентификатору взлома (IOC) или подозрительному артефакту, который вы нашли в ваших логах, например, домену, IP-адресу или адресу электронной почты, после чего RiskIQ отображает все данные, которые сервис обнаружил в отношении этого артефакта.

Наборы информации в PassiveTotal

PassiveTotal предоставляет доступ к следующей информации:

  • Данные пассивного DNS,
  • Регистрационные данные WHOIS и данные регистраторов (текущие и исторические),
  • Информация о сертификатах SSL,
  • Хэши связанных вредоносов,
  • Ссылки на аналитику по угрозам (OSINT),
  • Поддомены,
  • Куки,
  • Информация о веб-трекерах, находящихся на страницах, в том числе Google Analytics, Яндекс, Vk, Clicky, New Relic и др.,
  • Информация о веб-компонентах — сведения о программном обеспечении и платформах, работающих на веб-серверах,
  • Пары хостов — связи между веб-страницей и последующими запросами с этой страницы.

Многие из этих данных уникально доступны благодаря собственной инфраструктуре краулеров RiskIQ, так называемых «виртуальных пользователей», которые посещают различные Интернет-ресурсы из различных точек мира, «смотрят» на сайты глазами обычных пользователей и собирают полученные данные.

Визуализация и контекст Интернет-данных

Два инструмента PassiveTotal позволяют наглядно увидеть активность Интернет-ресурса и понять, что за ним стоит.

Первый инструмент, Heatmap (тепловая карта), наглядно показывает, когда и сколько IP-адресов были присвоены хосту, когда они появлялись впервые, когда их не было, когда у домена был маршрутизируемый IP, и когда нет.

Пример тепловой карты по резолвам RiskIQ PassiveTotal

Второй инструмент называется Analyst Insight (инсайт аналитиков), и, совместно с тэгами, он указывает на принадлежность индикатора к различным категориям и классификациям ресурсов, а также отражает различные наблюдения и особенности индикаторов.

PassiveTotal Россия Казахстан Беларусь
Analyst Insight (инсайт аналитиков) и тэги индикатора, связанного с Carbanak

Корреляция внешних угроз и событий внутри периметра

Внутренние системы защиты информации постоянно генерируют алерты на основе событий и аномалий, происходящих внутри организации. Зачастую алерты генерируются из-за действий, которые начинаются за периметром, или, наоборот, из-за попыток внутренних хостов связаться с определенным ресурсом вне периметра. В таких случаях алерты должны быть быстро обогащены для понимания контекста и приоритизации данных для последующего расследования.

PassiveTotal обеспечивает специалистов ИБ инструментами, необходимыми для проведения расследований и корреляции внутренних аномалий или индикаторов взлома (IOC) с злоумышленными группировками, их тактиками, техниками и процедурами (TTP), а также инфраструктурой, которую они используют.

PassiveTotal помогает ответить на следующие вопросы:

  • Кто меня атакует?
  • Откуда они?
  • Какие еще ресурсы им принадлежат?

Программный доступ к данным PassiveTotal (API)

Знания об Интернет-инфраструктуре полезны для предоставления контекста в различных СЗИ, в том числе в TIP, SOAR и SIEM-системах. Для этого заказчики могут использовать программный доступ к данным RiskIQ PassiveTotal.

Для SOC крупных компаний, сервис-провайдеров и MSSP существует RiskIQ SIS (Security Intelligence Services), расширенный API с доступом к исходным данным сервиса. RiskIQ SIS дает доступ к информации с частотой выгрузки до 250.000 запросов в день, и включает следующие данные:

  • pDNS,
  • Whois,
  • сертификаты SSL,
  • связанные хосты,
  • трекеров,
  • веб-компоненты,
  • куки.

Дополнительно в рамках SIS доступны аналитические датасеты, в том числе: новые домены, новые хосты, а также домены, IP-адреса, URL в четырех категориях:

  • вредоносы,
  • фишинг,
  • скам,
  • контентный фильтр (игры, оружие, сайты для взрослых и т.п.).

Бесплатный доступ к PassiveTotal

Всем пользователям доступен доступ к бесплатной версии PassiveTotal, ограниченой по числу запросов в день.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/