Már az elmúlt évben is nagy hangsúlyt fektettünk a CTI (Cyber Threat Intelligence) iránti igények felmérésére, illetve a CTI megoldások bemutatására, aminek mostanra beérett a gyümölcse: egyre több szervezet ismeri fel a kiberhírszerzésben rejlő lehetőségeket. A leggyakoribb cél a tényleges védelmi funkciók erősítése, illetve a security analyst csapatok mentesítése.
Fontos látni, hogy a vállalatok számára nagy segítség lehet, ha van olyan külső információforrás, ami könnyen használható és segít a mindennapokban az IT biztonsági rendszerek hatékonyabb használatát. Sokan hiszik, hogy ezeket az információkat kézzel is össze lehet gereblyézni, de elég belegondolni, hogy mekkora kapacitás szükségeltetne ahhoz, hogy folyamatosan figyeljük azt a több mint egymillió forrást, amelyből például a Recorded Future dolgozik. Gyorsan rájöhetünk, hogy kézzel gyűjtve, vagy kevésbé professzionális, ingyenes feed-ek használatával sem jutunk olyan mennyiségű és minőségű információhoz, ami valódi segítséget jelenthet.
Ezek a platformok az IOC (Indicators of Compromise, a támadási technikákat leíró adatsorok) listáik, és a hozzá tartozó háttérinformációik miatt kerülnek a középpontba. Értékes tud lenni, ha nemcsak arra támaszkodunk, hogy a tűzfalgyártónk vagy végpontvédelmi megoldásunk milyen támadásokat vagy támadókat ismer, hanem kinyílik a világ, és az internet legmélyebb bugyraiból is tudunk információkat szerezni a támadók által használt technológiákról és ezeket kontextusba is tudjuk helyezni.
De egy modern CTI platform már nemcsak a védelmi rendszereinkhez szolgáltat extra információkat, hanem modulárisan, különböző célokra is tudjuk használni a kiterjedt képességeket. A Recorded Future esetén ilyen például az Attack Surface Management, azaz a támadási felületünket monitorozó képesség, amely folyamatosan kívülről vizsgálja az internetet, és rávilágít arra, hogy milyen sérülékenységek illetve problémák vannak a hozzánk tartozó szerverek, szolgáltatások esetén. Ne várjuk meg azt, amíg egy támadó felfedi és kihasználja ezeket, hiszen mi magunk, proaktívan, a jelzések alapján kezelhetjük a felmerülő problémáinkat.
Nemrég jelent meg a Recorded Future kínálatában egy újdonság, a sandboxolás lehetősége. A sandbox technológia korábban is egy fontos pillére volt a vállalati security elemzéseknek, viszont a Recorded Future esetén külső szolgáltatásként volt csak elérhető. Jelenleg a CTI platfomon belül, bizonyos szolgáltatásokhoz akár ingyenesen elérhető a Recorded Future Hatching sandbox, ami hasznos információkkal lát el minket azzal kapcsolatban, hogy a fájlról futtatással, illetve statikus elemzéssel konkrétan mit sikerült észlelnie a rendszernek, például adott esetben azt is megmutatja, hogy melyik malware családhoz tartozik a bejutni próbáló kártevő. Ezeket kombinálva a rendszeren belül már megtalálható információkkal egy nagyon ütőképes eszközt kapunk a kezünkbe.
Szintén hasznos lehet, ha felhasználóink adataival kapcsolatosan is kapunk visszajelzéseket. Képzeljük el azt az ideális állapotot, amikor regisztrált felhasználóinknak, vagy céges, belső rendszer esetén a kollégáinknak egy jól kialakított workflow segítségével tudjuk jelezni, hogy vélhetően kiszivárogtak a belépési adataik. Ezekhez a forrásokat a deep és darkweb különböző piactereiről, illetve egyéb forrásokból is közösen kezelve figyeli a rendszer, és riaszt, amikor szükséges.
Sokat emlegetjük az integrációt, kicsit vizsgáljuk meg részletesebben: egy jól működő CTI platform legfontosabb tulajdonsága, hogy a különféle rendszereinkkel is tudjuk integrálni, tud az adott rendszernek értelmezhető, értékes információt átadni. A különbségeket CTI és CTI között főleg akkor fogjuk megtapasztalni, ha az integrációk minőségét vizsgáljuk, illetve azt, hogy ezek egy vagy két irányú integrációk. A Recorded Future esetén a legtöbb integrációk könnyen kezelhetőek és api kulcsok megadásával működnek. Ezek segítségével tudunk többek között különálló rendszerekkel, mondjuk végpontvédelmi megoldásokkal is integrálódni (ilyen például a Clico portfóliójában található SentinelOne), vagy lehetőségünk van dedikált információ-elosztó, ún. TIP (Threat Intelligence Platform) megoldással integrálódni, mint például az open source MISP-el, ami utána szétosztja az egyes alrendszerek között az infókat. Ezek a komplexebb integrációk, amiket TIP vagy SOAR (Security Orchestration Automation and Response) irányba hozunk létre, képesek a folyamatainkat automatizálni, és a CTI platformba közvetlenül nem beköthető rendszereinket is táplálni.
Az integrációkon és a korábbi funkciókon felül még egy vadonatúj megoldással újított április közepén a Recorded Future: a nyelvi modell alapú generatív mesterséges intelligencia rendszerek felé is nyitott, elsőként az Open AI üstökösét, a ChatGPT-t építették be. A platform a rendelkezésére álló óriási mennyiségű adatból és már elkészült elemzői riportokból, teljesen önállóan képes AI és GPT alapokon saját szöveges riportokat is gyártani. Ezek a használatával tovább javítható a rendszer hatékonysága, és még több terhet képes levenni az elemzők válláról. Ugyan a riportkészítés a gyártó szerint, és a használt technológia természetéből fakadóan is igényelhet emberi felülvizsgálatot, de még így is hatalmas mértékben képes csökkenteni az elemzőktől elvárt munkamennyiséget.
A blogbejegyzés az IT Business cikkének átdolgozott változata.