Cos'è una Threat Intelligence Platform (TIP)?

Raccogli, gestisci e condividi informazioni sulle minacce.

Scopo di una piattaforma di Threat Intelligence

L'odierno panorama della sicurezza informatica è caratterizzato da alcuni problemi comuni: enormi volumi di dati, mancanza di analisti e attacchi contraddittori sempre più complessi. Le attuali infrastrutture di sicurezza offrono molti strumenti per gestire queste informazioni ma poca integrazione tra di essi. Ciò si traduce in un frustrante impegno ingegneristico per la gestione dei sistemi e in un inevitabile spreco di risorse e tempo già limitati.

Per combattere questi problemi, molte aziende stanno scegliendo di implementare una Threat Intelligence Platform (TIP). Le piattaforme di Threat Intelligence possono essere implementate come soluzione SaaS o on-premise per facilitare la gestione dell'intelligence sulle minacce informatiche e delle entità associate come attori, campagne, incidenti, firme, bollettini e TTP. È definito dalla sua capacità di svolgere quattro funzioni chiave:

TIP definito

Minaccia

La possibilità per qualsiasi altra parte di accedere o interferire con le normali operazioni pianificate di una rete di informazioni. Le minacce più comuni oggi includono:

ADATTO
Botnet
DDOS
Ransomware

L'intelligenza

Conoscenza di una minaccia acquisita dagli analisti umani o identificata da eventi all'interno del sistema. Intelligenza è un termine generico, ma un TIP offre agli analisti tipi specifici di intelligenza che possono essere automatizzati, tra cui:

Conoscenza tecnica degli attacchi, inclusi gli indicatori
Intelligenza finita: il risultato degli esseri umani che esaminano le informazioni disponibili e giungono a conclusioni sulla consapevolezza della situazione, prevedendo potenziali esiti o attacchi futuri o stimando le capacità dell'avversario
Intelligenza umana: qualsiasi informazione raccolta dagli umani, ad esempio nascondendosi nei forum per verificare la presenza di attività sospette

piattaforma

Un prodotto confezionato che si integra con gli strumenti e i prodotti esistenti, presentando un sistema di gestione dell'intelligence sulle minacce che automatizza e semplifica gran parte del lavoro che gli analisti hanno tradizionalmente svolto da soli.

Aggregazione dei dati

Una piattaforma di Threat Intelligence raccoglie e riconcilia automaticamente i dati provenienti da varie fonti e formati. L'acquisizione di informazioni da una varietà di fonti è una componente fondamentale per disporre di una solida infrastruttura di sicurezza. Le fonti e i formati supportati includono:

Fonti:

Open source
Pagato da terzi
Governo
Comunità di condivisione affidabili (ISAC)
Interno

Formati:

STIX/TAXI
JSON e XML
E-mail
CSV, TXT, PDF, documento Microsoft Word

Normalizzazione e arricchimento dei dati

La raccolta di dati su un'ampia varietà di feed comporta milioni di indicatori da ordinare ogni giorno, il che rende fondamentale l'elaborazione dei dati in modo efficiente. L'elaborazione prevede diverse fasi ma è composta da tre elementi principali: normalizzazione, deduplicazione e arricchimento dei dati.

Questi sono costosi da affrontare per quanto riguarda lo sforzo computazionale, il tempo degli analisti e il denaro. Una piattaforma di Threat Intelligence automatizza questi processi, permettendo agli analisti di analizzare anziché gestire i dati raccolti.

Normalizzazione — Consolidamento dei dati tra diversi formati di origine
Deduplicazione — Rimozione di informazioni duplicate
Arricchimento — Rimozione dei falsi positivi, valutazione degli indicatori e aggiunta del contesto

Integrazioni

I dati che sono stati normalizzati, controllati e arricchiti devono quindi essere consegnati a sistemi in grado di utilizzarli per l'applicazione e il monitoraggio automatizzati. Lo scopo è fornire a queste tecnologie quella che è essenzialmente una «cyber no-fly list», molto simile al tipo di no-fly list che potresti incontrare in aeroporto. In base alle conoscenze di base, determinati IP, domini e altro non dovrebbero essere accessibili o consentiti all'interno della rete.

Una piattaforma di Threat Intelligence collabora con i fornitori di sistemi SIEM e di gestione dei log dietro le quinte, estraendo gli indicatori per passare alle soluzioni di sicurezza all'interno dell'infrastruttura di rete del cliente. L'onere di stabilire e mantenere queste integrazioni viene quindi sollevato dagli analisti e trasferito invece ai fornitori SIEM e TIP.

Le possibili integrazioni dei prodotti di sicurezza includono:

SIEM
Punto finale
Firewall
IPS
API

Analisi e risposta

Una piattaforma di Threat Intelligence fornisce funzionalità che aiutano l'analisi delle potenziali minacce e la corrispondente mitigazione. Più specificamente, queste funzionalità aiutano gli analisti a:

Esplora le minacce
Fornisci flussi di lavoro di indagine
Comprendi il contesto più ampio e le implicazioni delle minacce
Condividi informazioni

Un TIP prenderà in considerazione tutti i dati, gli arricchimenti e gli altri contesti disponibili e visualizzerà queste informazioni in modi che forniscono valore, ad esempio in dashboard, righelli, avvisi e note.

Una piattaforma di Threat Intelligence aiuta inoltre gli analisti automatizzando i processi di ricerca e raccolta, riducendo significativamente i tempi di risposta. Alcune funzionalità specifiche della parte di analisi di a Piattaforma di threat intelligence includere:

Supporto per l'espansione e la ricerca degli indicatori
Processi di escalation e risposta agli incidenti
Processi del flusso di lavoro degli analisti
Produzione di prodotti di intelligence e condivisione con le parti interessate