Raccogli, gestisci e condividi Threat intelligence
Il panorama della sicurezza informatica odierno è contrassegnato da una serie di problematiche comuni: enormi volumi di dati, mancanza di analisti e attacchi degli avversari sempre più complessi. Le infrastrutture di sicurezza attuali offrono molti strumenti per gestire queste informazioni, ma limitata integrazione tra loro. Ciò si traduce in una frustrante quantità di sforzi tecnici per gestire i sistemi, ed un'inevitabile spreco di già limitate risorse e tempo.
Per combattere tali problematiche, molte aziende scelgono di implementare una Piattaforma di gestione di Threat intelligence (TIP). Le Piattaforme di gestione di Threat intelligence possono essere disponibili sia come soluzione SaaS che on-premise per facilitare la gestione di Cyber Threat intelligence ed entità associate quali singoli, campagne, incidenti, firme, bollettini e TTP. Una Piattaforma di gestione di Threat intelligence (TIP) sarà normalmente capace di gestire quattro funzioni chiave:
Il potenziale di accesso o di interferire con le normali operazioni pianificate di una rete informatica da parte di terzi. Fra le minacce comuni attuali vi sono:
Definita come la conoscenza di una minaccia ottenuta dal lavoro di analisti (umani) o identificata mediante eventi all'interno del sistema. Intelligence è un termine ampio, ma una TIP presenta agli analisti tipi specifici di intelligence che sarà possibile automatizzare, fra cui:
Software che si integra con strumenti e prodotti attuali, presentando un sistema di gestione di Threat intelligence che automatizza e semplifica la gran parte del lavoro che solitamente gli analisti hanno sempre fatto da soli.
Una Piattaforma di gestione di Threat intelligence è utile a diversi ruoli nell'ambito di un'organizzazione.
Questi team si concentrano su attività operative giornaliere e alla risposta alle minacce man mano che si verificano. Una TIP fornisce automatizzazione per attività di routine quali integrazioni, arricchimento e classificazione.
Questi team tentano di fare previsioni in base ad associazioni e informazioni contestuali tra attori, campagne ecc. Una TIP fornisce loro una "libreria" di informazioni che semplifica questo processo.
Una TIP fornisce ai vostri dirigenti un'unica piattaforma attraverso cui visualizzare rapporti sia a livello panoramico che dettagliato. Ciò consente loro di condividere ed analizzare in modo efficace i dati man mano che si verificano gli incidenti.
Una Piattaforma di gestione di Threat intelligence raccoglie e riconcilia automaticamente i dati da varie sorgenti e formati. L'ingestione di informazioni da una varietà di sorgenti è un componente fondamentale per una robusta infrastruttura di sicurezza. Fra le sorgenti e i formati supportati vi sono:
Sorgenti:
Formati:
La raccolta di dati in un'ampia varietà di feed ha come conseguenza milioni di IOCs (indicatori) da riorganizzare giornalmente, il che rende vitale l'elaborazione efficiente dei dati. L'elaborazione comprende varie fasi, ma consiste in tre elementi principali: normalizzazione, deduplicazione e arricchimento di dati.
Si tratta di operazioni costose in rapporto allo sforzo computazionale, al tempo speso degli analisti e dall'alto costo economico. Una piattaforma di gestione di Threat intelligence automatizza tali processi, liberando gli analisti in modo che possano focalizzarsi sul loro lavoro di analisi invece che gestire i dati raccolti.
I dati che sono stati standardizzati, esaminati e arricchiti devono successivamente essere inviati ai sistemi che possono utilizzarli per il monitoraggio e l'esecuzione automatizzata. Lo scopo è fondamentalmente fornire a queste tecnologie un "elenco di esclusione informatico" simile a quello di un aeroporto. In base alle conoscenze di fondo, non dovrebbe essere possibile accedere a/o autorizzare determinati indirizzi IP, domini, ecc. all'interno della rete.
Una piattaforma di gestione di Threat intelligence lavora dietro le quinte con la gestione degli incidenti e degli eventi di sicurezza (SIEM) e con i fornitori del sistema di amministrazione dei registri, selezionando indicatori da inviare alle soluzioni di sicurezza all'interno dell'indicatore di rete del cliente. Pertanto, l'onere di stabilire e mantenere queste integrazioni viene trasferito dagli analisti verso la SIEM e i fornitori della TIP.
Le possibili integrazioni con i prodotti di sicurezza includono:
Una Piattaforma di gestione di Threat intelligence fornisce funzioni che aiutano nell'analisi di possibili minacce e della relativa mitigazione. In particolare, queste funzioni aiutano gli analisti a:
Una TIP prenderà tutti i possibili dati, arricchimenti ed informazioni contestuali disponibili e visualizzerà tali informazioni secondo modalità che apportano valore, quali dashboard, avvisi e note.
Una Piattaforma di gestione di Threat intelligence inoltre aiuta gli analisti automatizzando i processi di ricerca e raccolta, riducendo notevolmente il tempo di risposta. Alcune funzioni specifiche della parte di analisi di una Piattaforma di gestione di Threat intelligence includono: