Scopo di una piattaforma di Threat Intelligence
L'odierno panorama della sicurezza informatica è caratterizzato da alcuni problemi comuni: enormi volumi di dati, mancanza di analisti e attacchi contraddittori sempre più complessi. Le attuali infrastrutture di sicurezza offrono molti strumenti per gestire queste informazioni ma poca integrazione tra di essi. Ciò si traduce in un frustrante impegno ingegneristico per la gestione dei sistemi e in un inevitabile spreco di risorse e tempo già limitati.
Per combattere questi problemi, molte aziende stanno scegliendo di implementare una Threat Intelligence Platform (TIP). Le piattaforme di Threat Intelligence possono essere implementate come soluzione SaaS o on-premise per facilitare la gestione dell'intelligence sulle minacce informatiche e delle entità associate come attori, campagne, incidenti, firme, bollettini e TTP. È definito dalla sua capacità di svolgere quattro funzioni chiave:
- Aggregazione di informazioni da più fonti
- Gestione, normalizzazione, arricchimento e valutazione del rischio dei dati
- Integrazioni con i sistemi di sicurezza esistenti
TIP definito
Minaccia
La possibilità per qualsiasi altra parte di accedere o interferire con le normali operazioni pianificate di una rete di informazioni. Le minacce più comuni oggi includono:
L'intelligenza
Conoscenza di una minaccia acquisita dagli analisti umani o identificata da eventi all'interno del sistema. Intelligenza è un termine generico, ma un TIP offre agli analisti tipi specifici di intelligenza che possono essere automatizzati, tra cui:
piattaforma
Un prodotto confezionato che si integra con gli strumenti e i prodotti esistenti, presentando un sistema di gestione dell'intelligence sulle minacce che automatizza e semplifica gran parte del lavoro che gli analisti hanno tradizionalmente svolto da soli.
Chi utilizza un TIP?
Una piattaforma di Threat Intelligence è utile a molte parti all'interno di un'organizzazione.
Team del Security Operations Center (SOC)
I clienti ThreatStream possono facilmente provare e acquistare informazioni sulle minacce dai partner dell'APP Store. Trova l'intelligence giusta per la tua organizzazione, settore, area geografica, tipo di minaccia e altro ancora.
Team di intelligence sulle minacce
I clienti ThreatStream possono provare e acquistare servizi di arricchimento dei dati, sandbox e altri strumenti di analisi direttamente dai partner dell'APP Store di Anomali. Identifica i dati di arricchimento e gli strumenti di analisi giusti per aggiungere contesto ai tuoi indicatori.
Team dirigenziali ed esecutivi
ThreatStream offre il set più completo del settore di integrazioni comprovate e chiavi in mano nei principali controlli di sicurezza aziendali SIEM, EDR, firewall, SOAR e altri, garantendo un rapido time-to-value.
Aggregazione dei dati
Una piattaforma di Threat Intelligence raccoglie e riconcilia automaticamente i dati provenienti da varie fonti e formati. L'acquisizione di informazioni da una varietà di fonti è una componente fondamentale per disporre di una solida infrastruttura di sicurezza. Le fonti e i formati supportati includono:
Fonti:
Formati:
Normalizzazione e arricchimento dei dati
La raccolta di dati su un'ampia varietà di feed comporta milioni di indicatori da ordinare ogni giorno, il che rende fondamentale l'elaborazione dei dati in modo efficiente. L'elaborazione prevede diverse fasi ma è composta da tre elementi principali: normalizzazione, deduplicazione e arricchimento dei dati.
Questi sono costosi da affrontare per quanto riguarda lo sforzo computazionale, il tempo degli analisti e il denaro. Una piattaforma di Threat Intelligence automatizza questi processi, permettendo agli analisti di analizzare anziché gestire i dati raccolti.
Integrazioni
I dati che sono stati normalizzati, controllati e arricchiti devono quindi essere consegnati a sistemi in grado di utilizzarli per l'applicazione e il monitoraggio automatizzati. Lo scopo è fornire a queste tecnologie quella che è essenzialmente una «cyber no-fly list», molto simile al tipo di no-fly list che potresti incontrare in aeroporto. In base alle conoscenze di base, determinati IP, domini e altro non dovrebbero essere accessibili o consentiti all'interno della rete.
Una piattaforma di Threat Intelligence collabora con i fornitori di sistemi SIEM e di gestione dei log dietro le quinte, estraendo gli indicatori per passare alle soluzioni di sicurezza all'interno dell'infrastruttura di rete del cliente. L'onere di stabilire e mantenere queste integrazioni viene quindi sollevato dagli analisti e trasferito invece ai fornitori SIEM e TIP.
Le possibili integrazioni dei prodotti di sicurezza includono:
Analisi e risposta
Una piattaforma di Threat Intelligence fornisce funzionalità che aiutano l'analisi delle potenziali minacce e la corrispondente mitigazione. Più specificamente, queste funzionalità aiutano gli analisti a:
Un TIP prenderà in considerazione tutti i dati, gli arricchimenti e gli altri contesti disponibili e visualizzerà queste informazioni in modi che forniscono valore, ad esempio in dashboard, righelli, avvisi e note.
Una piattaforma di Threat Intelligence aiuta inoltre gli analisti automatizzando i processi di ricerca e raccolta, riducendo significativamente i tempi di risposta. Alcune funzionalità specifiche della parte di analisi di a Piattaforma di threat intelligence includere: