21.11.16

Одна из платформ Threat Intelligence внезапно прекращает свое сущестование

Год назад я поднимал вопрос о том, можно ли бороться с угрозами без собственного исследовательского центра, который бы мог самостоятельно писать сигнатуры/решающие правила/фиды/шаблоны аномалий для средств защиты, а также для SOC? Это тема схожа с той, к которой я обращался еще в 2003-м году, высказав предположение, что в России невозможно создать собственную систему обнаружения атак, которая определяется не столько движком (многие берут просто Snort), сколько базой решающих правил и способностью ее поддерживать. В первой из упомянутых заметок я описал два варианта для того, чтобы регулярно быть в курсе последних угроз и оснащать этим знанием свои решения - создавать собственную группу анализа и описания угроз или покупать уже имеющуюся на рынке информацию. В качестве рисков второго варианта я назвал только вариант с поглощением, когда поглощенный разработчик сигнатур или фидов больше не захочет поставлять их на рынок своим клиентам. Но вот на днях произошел случай, который хорошо укладывается в описанный мной риск, только немного с другой позиции.

Речь идет о компании Soltra, которая в декабре 2014-го года объявила совместно с корпорацией DTCC и финансовым центром обмена информацией об угрозах FS-ISAC (Soltra и есть совместное предприятие FS-ISAC и DTCC) о выпуске платформы для обмена информацией об угрозах (threat intelligence). Платформа Soltra Edge предоставлялясь бесплатно и за прошедшие 2 года была скачана свыше 11 тысяч раз 2900 компаниями в 77 странах мира. Soltra Edge собирала данные об угрозах из различных источников и конвертировала их в форматы STIX и TAXII, ставшие одним из стандартов де факто в области обмена данными о киберугрозах.

И вот 15-го ноября DTCC и FS-ISAC без предупреждения объявили о том, что решение Soltra Edge больше не будет развиваться, обновляться и, с 31 марта 2017 года, поддерживаться. В перспективе платформа Soltra Edge может перейти в разряд open source, но решение об этом пока не принято. Что делать клиентам Soltra непонятно, как непонятно и то, чем заменить платформу Soltra Edge и куда девать все полученные данные? Вот такие новости. Интересно, был ли у клиентов Soltra резервный вариант на такой случай и рассматривался ли он вообще?