Cos'è una Piattaforma di gestione di Threat intelligence (TIP)?
Raccogli, gestisci e condividi Threat intelligence
Scopo di una piattaforma di gestione di Threat intelligence
Il panorama della sicurezza informatica odierno è contrassegnato da una serie di problematiche comuni: enormi volumi di dati, mancanza di analisti e attacchi degli avversari sempre più complessi. Le infrastrutture di sicurezza attuali offrono molti strumenti per gestire queste informazioni, ma limitata integrazione tra loro. Ciò si traduce in una frustrante quantità di sforzi tecnici per gestire i sistemi, ed un'inevitabile spreco di già limitate risorse e tempo.
Per combattere tali problematiche, molte aziende scelgono di implementare una Piattaforma di gestione di Threat intelligence (TIP). Le Piattaforme di gestione di Threat intelligence possono essere disponibili sia come soluzione SaaS che on-premise per facilitare la gestione di Cyber Threat intelligence ed entità associate quali singoli, campagne, incidenti, firme, bollettini e TTP. Una Piattaforma di gestione di Threat intelligence (TIP) sarà normalmente capace di gestire quattro funzioni chiave:
- Aggregazione di intelligence da sorgenti multiple
- Cura, normalizzazione, arricchimento e classificazione del rischio dei dati
- Integrazioni con sistemi di sicurezza attuali
- Analisi e condivisione di Threat intelligence
afferma che la Threat intelligence è fondamentale per il raggiungimento di una posizione di sicurezza robusta
delle organizzazioni afferma di essere inondata da dati sulle minacce informatiche
Definito da TIP
Minaccia
Il potenziale di accesso o di interferire con le normali operazioni pianificate di una rete informatica da parte di terzi. Fra le minacce comuni attuali vi sono:
Intelligence
Definita come la conoscenza di una minaccia ottenuta dal lavoro di analisti (umani) o identificata mediante eventi all'interno del sistema. Intelligence è un termine ampio, ma una TIP presenta agli analisti tipi specifici di intelligence che sarà possibile automatizzare, fra cui:
- Conoscenze tecniche di attacchi che includono IOCs (indicatori)
- Intelligence rifinita - il risultato della ricerca di analisti che guardano alle informazioni disponibili e giungono a conclusioni sulla consapevolezza situazionale, prevedendo possibili esiti o attacchi futuri, oppure facendo una stima della capacità dell'avversario
- Intelligence umana - qualsiasi intelligence raccolta da essere umani, ad esempio sbirciando nei forum per controllare attività sospette
Piattaforma
Software che si integra con strumenti e prodotti attuali, presentando un sistema di gestione di Threat intelligence che automatizza e semplifica la gran parte del lavoro che solitamente gli analisti hanno sempre fatto da soli.
Chi usa una TIP?
Una Piattaforma di gestione di Threat intelligence è utile a diversi ruoli nell'ambito di un'organizzazione.
Team del Security Operations Center (SOC)
Questi team si concentrano su attività operative giornaliere e alla risposta alle minacce man mano che si verificano. Una TIP fornisce automatizzazione per attività di routine quali integrazioni, arricchimento e classificazione.
Team di Threat intelligence
Questi team tentano di fare previsioni in base ad associazioni e informazioni contestuali tra attori, campagne ecc. Una TIP fornisce loro una "libreria" di informazioni che semplifica questo processo.
Dirigenti
Una TIP fornisce ai vostri dirigenti un'unica piattaforma attraverso cui visualizzare rapporti sia a livello panoramico che dettagliato. Ciò consente loro di condividere ed analizzare in modo efficace i dati man mano che si verificano gli incidenti.
Aggregazione di dati
Una Piattaforma di gestione di Threat intelligence raccoglie e riconcilia automaticamente i dati da varie sorgenti e formati. L'ingestione di informazioni da una varietà di sorgenti è un componente fondamentale per una robusta infrastruttura di sicurezza. Fra le sorgenti e i formati supportati vi sono:
Sorgenti:
- Open Source
- Terze parti a pagamento
- governative
- Community di condivisione (ISAC)
- Interne
Formati:
- STIX/TAXII
- JSON e XML
- Documento .csv, .txt, PDF, Word
Normalizzazione e arricchimento di dati
La raccolta di dati in un'ampia varietà di feed ha come conseguenza milioni di IOCs (indicatori) da riorganizzare giornalmente, il che rende vitale l'elaborazione efficiente dei dati. L'elaborazione comprende varie fasi, ma consiste in tre elementi principali: normalizzazione, deduplicazione e arricchimento di dati.
Si tratta di operazioni costose in rapporto allo sforzo computazionale, al tempo speso degli analisti e dall'alto costo economico. Una piattaforma di gestione di Threat intelligence automatizza tali processi, liberando gli analisti in modo che possano focalizzarsi sul loro lavoro di analisi invece che gestire i dati raccolti.
- Normalizzazione - Consolidamento di dati per tutti i formati delle varie sorgenti
- Deduplicazione - Eliminazione delle informazioni duplicate
- Arricchimento - Eliminazione di falsi positivi, classificazione di indicatori e aggiunta di contesto
Integrazioni
I dati che sono stati standardizzati, esaminati e arricchiti devono successivamente essere inviati ai sistemi che possono utilizzarli per il monitoraggio e l'esecuzione automatizzata. Lo scopo è fondamentalmente fornire a queste tecnologie un "elenco di esclusione informatico" simile a quello di un aeroporto. In base alle conoscenze di fondo, non dovrebbe essere possibile accedere a/o autorizzare determinati indirizzi IP, domini, ecc. all'interno della rete.
Una piattaforma di gestione di Threat intelligence lavora dietro le quinte con la gestione degli incidenti e degli eventi di sicurezza (SIEM) e con i fornitori del sistema di amministrazione dei registri, selezionando indicatori da inviare alle soluzioni di sicurezza all'interno dell'indicatore di rete del cliente. Pertanto, l'onere di stabilire e mantenere queste integrazioni viene trasferito dagli analisti verso la SIEM e i fornitori della TIP.
Le possibili integrazioni con i prodotti di sicurezza includono:
- SIEM
- Endpoint
- Firewall
- IPS
- API
Analisi e risposta
Una Piattaforma di gestione di Threat intelligence fornisce funzioni che aiutano nell'analisi di possibili minacce e della relativa mitigazione. In particolare, queste funzioni aiutano gli analisti a:
- Esplorare le minacce
- Fornire workflow relativi alle indagini
- Comprendere il contesto di sfondo e le implicazioni delle minacce
- Condividere le informazioni
Una TIP prenderà tutti i possibili dati, arricchimenti ed informazioni contestuali disponibili e visualizzerà tali informazioni secondo modalità che apportano valore, quali dashboard, avvisi e note.
Una Piattaforma di gestione di Threat intelligence inoltre aiuta gli analisti automatizzando i processi di ricerca e raccolta, riducendo notevolmente il tempo di risposta. Alcune funzioni specifiche della parte di analisi di una Piattaforma di gestione di Threat intelligence includono:
- Supporto per l'espansione e la ricerca degli indicatori
- Aumento di incidenti e processi di risposta
- Workflow degli analisti
- Produzione di prodotti di intelligence e loro condivisione con le parti interessate