Open Threat Exchange
Open Threat Exchange — платформа для обмена информацией о киберугрозах, основанная на принципах краудсорсинга. В сообществе OTX участвуют более 180 000 специалистов из 140 стран, ежедневно делящихся более чем 19 миллионами потенциальных угроз. Использование платформы является бесплатным.
Основанная в 2012 году, OTX создана и поддерживается компанией AlienVault (AT&T Cybersecurity, ныне LevelBlue), которая разрабатывает коммерческие и открытые решения для управления кибератаками. Совместная платформа обмена данными возникла, в том числе, как противовес тому, что киберпреступники часто координируют свои действия и обмениваются информацией о вирусах, вредоносных программах и других атаках.
Общие сведения
| Open Threat Exchange | |
|---|---|
| Тип | Безопасность / SIEM |
| Разработчики | LevelBlue (также известен как AT&T Cybersecurity и AlienVault) |
| Сайт | cybersecurity.att.com/op… |
Компоненты
OTX размещается в облаке. Платформа позволяет обмениваться широким спектром информации по вопросам безопасности, включая данные о вирусах, вредоносных программах, обнаружении атак и файерволах. Автоматизированные инструменты OTX очищают, агрегируют, валидируют и публикуют информацию, предоставленную участниками. Платформа также удаляет сведения, позволяющие идентифицировать участников.
В 2015 году в OTX 2.0 был добавлен социальный компонент: пользователи получили возможность обмениваться, обсуждать и исследовать угрозы, а также отслеживать их через поток обновлений в реальном времени. Можно делиться IP-адресами или сайтами, откуда исходили атаки, либо искать сведения о конкретных угрозах и узнавать, оставлял ли кто-либо о них информацию.
Пользователи могут подписываться на так называемые «пульсы» — анализ конкретных угроз с данными об индикаторах компрометации (IoC), последствиях и затронутом ПО. Пульсы экспортируются в форматы STIX, JSON, OpenIoC, MAEC и CSV и могут использоваться для автоматического обновления локальных средств защиты. Кроме того, пользователи могут голосовать и комментировать отдельные пульсы, помогая другим определить наиболее значимые угрозы.
OTX сочетает социальный подход с автоматизированными инструментами машинного взаимодействия, поддерживает интеграцию с основными продуктами для защиты, такими как файерволы и периферийные системы безопасности. Платформа умеет обрабатывать отчёты о безопасности в форматах .pdf, .csv, .json и других открытых форматах, выявляя релевантную информацию для облегчения анализа данных специалистами.
Среди специфических возможностей OTX: панель управления с анализом наиболее опасных IP-адресов по всему миру, сервис проверки статуса конкретных IP, уведомления о появлении IP или домена организации на форумах хакеров, в чёрных списках или списках OTX, а также функция анализа журналов для выявления соединений с известными вредоносными IP.
В 2016 году AlienVault представила новую версию OTX, позволившую организовывать частные сообщества и группы для обмена данными о киберугрозах только между участниками группы. Это призвано облегчить углубленное обсуждение угроз, специфичных для отдельных отраслей или регионов. Данные о киберугрозах из таких групп могут распространяться подписчикам управляющих сервис-провайдеров, использующих OTX[1].
Технологии
OTX представляет собой платформу обработки больших данных, интегрирующую методы обработки естественного языка и машинного обучения для сбора и корреляции информации из различных источников: сторонних лент угроз, сайтов, внешних API и локальных агентов[2].
Партнёры
В 2015 году AlienVault объявила о партнёрстве с Intel для координации обмена информацией о киберугрозах на базе OTX. Аналогичное соглашение было достигнуто с Hewlett Packard в том же году.