
Zweck einer Threat Intelligence-Plattform
Die heutige Cybersicherheitslandschaft ist durch einige gemeinsame Probleme gekennzeichnet: riesige Datenmengen, ein Mangel an Analysten und immer komplexere Angriffe durch Angreifer. Die aktuellen Sicherheitsinfrastrukturen bieten viele Tools zur Verwaltung dieser Informationen, sind aber kaum miteinander integriert. Dies führt zu einem frustrierenden technischen Aufwand bei der Verwaltung der Systeme und zu einer unvermeidlichen Verschwendung von bereits begrenzten Ressourcen und Zeit.
Um diese Probleme zu bekämpfen, entscheiden sich viele Unternehmen für die Implementierung einer Threat Intelligence Platform (TIP). Threat Intelligence-Plattformen können als SaaS- oder Vor-Ort-Lösung eingesetzt werden, um die Verwaltung von Cyber-Bedrohungsdaten und zugehörigen Elementen wie Akteuren, Kampagnen, Vorfällen, Signaturen, Bulletins und TTPs zu erleichtern. Sie ist durch ihre Fähigkeit definiert, vier Schlüsselfunktionen zu erfüllen:
- Aggregation von Informationen aus verschiedenen Quellen
- Kuratierung, Normalisierung, Anreicherung und Risikobewertung von Daten
- Integration in bestehende Sicherheitssysteme
- Analyse und Weitergabe von Informationen über Bedrohungen
TIP definiert
Bedrohung
Die Möglichkeit, dass eine andere Partei auf den normalen geplanten Betrieb eines Informationsnetzes zugreift oder diesen stört. Zu den heute üblichen Bedrohungen gehören:
Geheimdienst
Kenntnisse über eine Bedrohung, die von menschlichen Analysten gewonnen oder durch Ereignisse innerhalb des Systems identifiziert wurden. Intelligenz ist ein weit gefasster Begriff, aber ein TIP stellt den Analysten bestimmte Arten von Intelligenz zur Verfügung, die automatisiert werden können, darunter:
Plattform
Ein Produktpaket, das sich in vorhandene Tools und Produkte integrieren lässt und ein System zur Verwaltung von Bedrohungsdaten bietet, das einen Großteil der Arbeit, die Analysten bisher selbst erledigt haben, automatisiert und vereinfacht.
Wer verwendet ein TIP?
Eine Threat Intelligence-Plattform ist für viele Parteien innerhalb eines Unternehmens nützlich.
Teams des Sicherheitsoperationszentrums (SOC)
ThreatStream Kunden können Bedrohungsdaten von APP Store-Partnern problemlos testen und erwerben. Finden Sie die richtigen Informationen für Ihr Unternehmen, Ihre Branche, Ihre Region, Ihren Bedrohungstyp und vieles mehr.
Teams für Bedrohungsanalysen
ThreatStream Kunden können Datenanreicherungsdienste, Sandboxen und andere Analysetools direkt von Anomali APP Store-Partnern testen und erwerben. Identifizieren Sie die richtigen Datenanreicherungsdienste und Analysetools, um Ihren Indikatoren mehr Kontext zu verleihen.
Management und leitende Angestellte
ThreatStream bietet die branchenweit umfassendste Palette bewährter, schlüsselfertiger Integrationen in führende SIEM-, EDR-, Firewall-, SOAR- und andere Sicherheitskontrollen und sorgt so für eine schnelle Wertschöpfung.
Aggregation von Daten
Eine Threat Intelligence-Plattform sammelt automatisch Daten aus verschiedenen Quellen und Formaten und gleicht diese ab. Die Aufnahme von Informationen aus einer Vielzahl von Quellen ist eine entscheidende Komponente für eine starke Sicherheitsinfrastruktur. Zu den unterstützten Quellen und Formaten gehören:
Quellen:
Formate:
Normalisierung und Anreicherung von Daten
Das Sammeln von Daten über eine Vielzahl von Feeds führt dazu, dass täglich Millionen von Indikatoren sortiert werden müssen, was eine effiziente Datenverarbeitung unerlässlich macht. Die Verarbeitung umfasst mehrere Schritte, besteht aber aus drei Hauptelementen: Normalisierung, Entdopplung und Anreicherung der Daten.
Diese Prozesse sind teuer, was den Rechenaufwand, die Zeit der Analysten und die Kosten angeht. Eine Threat Intelligence-Plattform automatisiert diese Prozesse und gibt den Analysten die Möglichkeit, die gesammelten Daten zu analysieren, anstatt sie zu verwalten.
Integrationen
Die normalisierten, überprüften und angereicherten Daten müssen dann an Systeme weitergeleitet werden, die sie zur automatischen Durchsetzung und Überwachung verwenden können. Ziel ist es, diesen Technologien eine Art "Cyber-Flugverbotsliste" zur Verfügung zu stellen, ähnlich der Flugverbotsliste, die man an einem Flughafen findet. Auf der Grundlage von Hintergrundwissen sollte der Zugriff auf bestimmte IPs, Domänen usw. innerhalb des Netzwerks nicht erlaubt sein.
Eine Threat Intelligence Platform arbeitet im Hintergrund mit Anbietern von SIEM- und Protokollverwaltungssystemen zusammen und sammelt Indikatoren, die an die Sicherheitslösungen in der Netzwerkinfrastruktur des Kunden weitergeleitet werden. Die Last der Einrichtung und Pflege dieser Integrationen wird daher von den Analysten genommen und stattdessen auf die SIEM- und TIP-Anbieter verlagert.
Mögliche Integrationen von Sicherheitsprodukten umfassen:
Analyse und Antwort
Eine Threat Intelligence-Plattform bietet Funktionen, die bei der Analyse potenzieller Bedrohungen und der entsprechenden Schadensbegrenzung helfen. Genauer gesagt, helfen diese Funktionen den Analysten dabei:
Ein TIP nimmt alle möglichen Daten, Anreicherungen und sonstigen verfügbaren Kontexte auf und zeigt diese Informationen auf eine Weise an, die einen Mehrwert bietet, z. B. in Dashboards, Linealen, Warnungen und Notizen.
Eine Threat Intelligence-Plattform unterstützt die Analysten auch durch die Automatisierung der Recherche- und Erfassungsprozesse, was die Reaktionszeit erheblich verkürzt. Zu den spezifischen Funktionen des Analyse-Teils einer Threat Intelligence-Plattform gehören: