Che cos'è una piattaforma di intelligence sulle minacce (TIP)?

Raccogliere, gestire e condividere le informazioni sulle minacce.

Scopo di una piattaforma di intelligence sulle minacce

Il panorama odierno della sicurezza informatica è caratterizzato da alcuni problemi comuni: volumi enormi di dati, mancanza di analisti e attacchi avversari sempre più complessi. Le attuali infrastrutture di sicurezza offrono molti strumenti per gestire queste informazioni, ma poco integrati tra loro. Ciò si traduce in un frustrante sforzo ingegneristico per la gestione dei sistemi e in un inevitabile spreco di risorse e tempo già limitati.

Per combattere questi problemi, molte aziende scelgono di implementare una Threat Intelligence Platform (TIP). Le piattaforme di intelligence delle minacce possono essere distribuite come soluzione SaaS o on-premise per facilitare la gestione delle informazioni sulle minacce informatiche e delle entità associate, come attori, campagne, incidenti, firme, bollettini e TTP. È definita dalla sua capacità di svolgere quattro funzioni chiave:

TIP definito

Minaccia

Il potenziale di qualsiasi altra parte di accedere o interferire con le normali operazioni pianificate di una rete informatica. Le minacce più comuni oggi includono:

APT
Botnet
DDOS
Ransomware

Intelligenza

Conoscenza di una minaccia acquisita da analisti umani o identificata da eventi all'interno del sistema. Intelligence è un termine ampio, ma un TIP presenta agli analisti tipi specifici di intelligence che possono essere automatizzati, tra cui:

Conoscenza tecnica degli attacchi, compresi gli indicatori
Intelligence finita - il risultato di esseri umani che esaminano le informazioni disponibili e giungono a conclusioni sulla consapevolezza della situazione, sulla previsione di risultati potenziali o di attacchi futuri, o sulla stima delle capacità dell'avversario.
Human intelligence: qualsiasi informazione raccolta da esseri umani, come ad esempio l'osservazione dei forum per verificare la presenza di attività sospette.

Piattaforma

Un prodotto confezionato che si integra con gli strumenti e i prodotti esistenti, presentando un sistema di gestione delle informazioni sulle minacce che automatizza e semplifica gran parte del lavoro svolto tradizionalmente dagli analisti.

Aggregazione dei dati

Una piattaforma di intelligence sulle minacce raccoglie e riconcilia automaticamente i dati provenienti da varie fonti e formati. L'acquisizione di informazioni da diverse fonti è una componente fondamentale per disporre di una solida infrastruttura di sicurezza. Le fonti e i formati supportati includono:

Fonti:

Fonte aperta
Terzo pagato
Governo
Comunità di condivisione affidabili (ISAC)
Interno

Formati:

STIX/TAXII
JSON e XML
Email
CSV, TXT, PDF, documento Microsoft Word

Normalizzazione e arricchimento dei dati

La raccolta di dati attraverso un'ampia varietà di feed si traduce in milioni di indicatori da smistare al giorno, rendendo fondamentale un'elaborazione efficiente dei dati. L'elaborazione comprende diverse fasi, ma si articola in tre elementi principali: normalizzazione, de-duplicazione e arricchimento dei dati.

Si tratta di processi costosi da affrontare in termini di sforzo computazionale, tempo degli analisti e denaro. Una piattaforma di intelligence sulle minacce automatizza questi processi, consentendo agli analisti di analizzare piuttosto che gestire i dati raccolti.

Normalizzazione - Consolidamento dei dati tra diversi formati di fonti.
De-duplicazione - Rimozione di informazioni duplicate
Arricchimento - Rimozione dei falsi positivi, assegnazione di un punteggio agli indicatori e aggiunta di un contesto.

Integrazioni

I dati normalizzati, controllati e arricchiti devono poi essere consegnati ai sistemi che possono utilizzarli per l'applicazione e il monitoraggio automatici. Lo scopo è quello di fornire a queste tecnologie una "lista di divieto di volo informatico", simile a quella che si può trovare in un aeroporto. Sulla base delle conoscenze di base, determinati IP, domini e altro non dovrebbero essere accessibili o consentiti all'interno della rete.

Una piattaforma di intelligence delle minacce lavora con i fornitori di sistemi SIEM e di gestione dei registri dietro le quinte, raccogliendo gli indicatori da trasmettere alle soluzioni di sicurezza all'interno dell'infrastruttura di rete del cliente. L'onere di stabilire e mantenere queste integrazioni viene quindi tolto agli analisti e trasferito ai fornitori di SIEM e TIP.

Le possibili integrazioni di prodotti di sicurezza includono:

SIEM
Punto finale
Firewall
IPS
API

Analisi e risposta

Una piattaforma di intelligence delle minacce fornisce funzioni che aiutano l'analisi delle minacce potenziali e la relativa mitigazione. In particolare, queste funzioni aiutano gli analisti a:

Esplora le minacce
Fornire flussi di lavoro di indagine
Comprendere il contesto più ampio e le implicazioni delle minacce.
Condividi informazioni

Un TIP prenderà tutti i dati, gli arricchimenti e gli altri contesti disponibili e visualizzerà queste informazioni in modo da fornire valore, ad esempio in dashboard, righelli, avvisi e note.

Una piattaforma di Threat Intelligence aiuta gli analisti anche automatizzando i processi di ricerca e raccolta, riducendo significativamente i tempi di risposta. Alcune funzionalità specifiche della parte di analisi di una piattaforma di intelligence sulle minacce includono:

Sostegno all'espansione dell'indicatore e alla ricerca
Processi di escalation e risposta agli incidenti
Processi di analisi del flusso di lavoro
Produrre prodotti di intelligence e condividerli con le parti interessate