Che cos'è una piattaforma di intelligence sulle minacce (TIP)?
Raccogliere, gestire e condividere le informazioni sulle minacce.
Scopo di una piattaforma di intelligence sulle minacce
Il panorama odierno della sicurezza informatica è caratterizzato da alcuni problemi comuni: volumi enormi di dati, mancanza di analisti e attacchi avversari sempre più complessi. Le attuali infrastrutture di sicurezza offrono molti strumenti per gestire queste informazioni, ma poco integrati tra loro. Ciò si traduce in un frustrante sforzo ingegneristico per la gestione dei sistemi e in un inevitabile spreco di risorse e tempo già limitati.
Per combattere questi problemi, molte aziende scelgono di implementare una Threat Intelligence Platform (TIP). Le piattaforme di intelligence delle minacce possono essere distribuite come soluzione SaaS o on-premise per facilitare la gestione delle informazioni sulle minacce informatiche e delle entità associate, come attori, campagne, incidenti, firme, bollettini e TTP. È definita dalla sua capacità di svolgere quattro funzioni chiave:
- Aggregazione di informazioni da più fonti
- Curation, normalizzazione, arricchimento e risk scoring dei dati
- Integrazione con i sistemi di sicurezza esistenti
TIP definito
Minaccia
Il potenziale di qualsiasi altra parte di accedere o interferire con le normali operazioni pianificate di una rete informatica. Le minacce più comuni oggi includono:
Intelligenza
Conoscenza di una minaccia acquisita da analisti umani o identificata da eventi all'interno del sistema. Intelligence è un termine ampio, ma un TIP presenta agli analisti tipi specifici di intelligence che possono essere automatizzati, tra cui:
Piattaforma
Un prodotto confezionato che si integra con gli strumenti e i prodotti esistenti, presentando un sistema di gestione delle informazioni sulle minacce che automatizza e semplifica gran parte del lavoro svolto tradizionalmente dagli analisti.
Chi utilizza un TIP?
Una piattaforma di intelligence sulle minacce è utile a molti soggetti all'interno di un'organizzazione.
Team del Centro operativo di sicurezza (SOC)
ThreatStream i clienti possono facilmente provare e acquistare le informazioni sulle minacce dai partner dell'APP Store. Trovate l'intelligence giusta per la vostra organizzazione, il vostro settore, la vostra area geografica, il vostro tipo di minaccia e altro ancora.
Team di intelligence sulle minacce
ThreatStream i clienti possono provare e acquistare servizi di arricchimento dei dati, sandbox e altri strumenti analitici direttamente dai partner di Anomali APP Store. Identificate i giusti dati di arricchimento e gli strumenti di analisi per aggiungere contesto ai vostri indicatori.
Team manageriali ed esecutivi
ThreatStream offre la serie più completa del settore di integrazioni collaudate e chiavi in mano con i principali SIEM aziendali, EDR, firewall, SOAR e altri controlli di sicurezza, garantendo un rapido time to value.
Aggregazione dei dati
Una piattaforma di intelligence sulle minacce raccoglie e riconcilia automaticamente i dati provenienti da varie fonti e formati. L'acquisizione di informazioni da diverse fonti è una componente fondamentale per disporre di una solida infrastruttura di sicurezza. Le fonti e i formati supportati includono:
Fonti:
Formati:
Normalizzazione e arricchimento dei dati
La raccolta di dati attraverso un'ampia varietà di feed si traduce in milioni di indicatori da smistare al giorno, rendendo fondamentale un'elaborazione efficiente dei dati. L'elaborazione comprende diverse fasi, ma si articola in tre elementi principali: normalizzazione, de-duplicazione e arricchimento dei dati.
Si tratta di processi costosi da affrontare in termini di sforzo computazionale, tempo degli analisti e denaro. Una piattaforma di intelligence sulle minacce automatizza questi processi, consentendo agli analisti di analizzare piuttosto che gestire i dati raccolti.
Integrazioni
I dati normalizzati, controllati e arricchiti devono poi essere consegnati ai sistemi che possono utilizzarli per l'applicazione e il monitoraggio automatici. Lo scopo è quello di fornire a queste tecnologie una "lista di divieto di volo informatico", simile a quella che si può trovare in un aeroporto. Sulla base delle conoscenze di base, determinati IP, domini e altro non dovrebbero essere accessibili o consentiti all'interno della rete.
Una piattaforma di intelligence delle minacce lavora con i fornitori di sistemi SIEM e di gestione dei registri dietro le quinte, raccogliendo gli indicatori da trasmettere alle soluzioni di sicurezza all'interno dell'infrastruttura di rete del cliente. L'onere di stabilire e mantenere queste integrazioni viene quindi tolto agli analisti e trasferito ai fornitori di SIEM e TIP.
Le possibili integrazioni di prodotti di sicurezza includono:
Analisi e risposta
Una piattaforma di intelligence delle minacce fornisce funzioni che aiutano l'analisi delle minacce potenziali e la relativa mitigazione. In particolare, queste funzioni aiutano gli analisti a:
Un TIP prenderà tutti i dati, gli arricchimenti e gli altri contesti disponibili e visualizzerà queste informazioni in modo da fornire valore, ad esempio in dashboard, righelli, avvisi e note.
Una piattaforma di Threat Intelligence aiuta gli analisti anche automatizzando i processi di ricerca e raccolta, riducendo significativamente i tempi di risposta. Alcune funzionalità specifiche della parte di analisi di una piattaforma di intelligence sulle minacce includono:
.jpeg)
