O que é a plataforma de inteligência contra ameaças (TIP)? | Anomali

O que é a plataforma de inteligência contra ameaças (TIP)?

Colete, gerencie e compartilhe inteligência contra ameaças

O objetivo da plataforma de inteligência contra ameaças

O cenário de segurança cibernética da atualidade é marcado por alguns problemas comuns – grandes volumes de dados, falta de analistas e ataques cada vez mais complexos. As infraestruturas de segurança atuais oferecem muitas ferramentas para gerenciar essas informações, mas pouca integração entre elas. Isso se converte em uma quantidade frustrante de esforços de engenharia para gerenciar sistemas e um desperdício inevitável de recursos e tempo já limitados.

Para combater esses problemas, muitas empresas optam por implementar uma plataforma de inteligência contra ameaças (TIP). As plataformas de inteligência contra ameaças podem ser implementadas como um SaaS ou solução local para facilitar o gerenciamento da inteligência contra ameaças cibernéticas e entidades associadas como agentes, campanhas, incidentes, assinaturas, boletins e TTPs. Elas são definidas por sua capacidade de realizar quatro funções principais:

  1. Agregação de inteligência de várias fontes
  2. Curadoria, normalização, aprimoramento e classificação de risco dos dados
  3. Integrações com sistemas de segurança existentes
  4. Análise e compartilhamento de inteligência contra ameaças
78%

afirmam que a inteligência contra ameaças é essencial para alcançar uma postura de segurança sólida

70%

das empresas afirmam estar inundadas de dados de ameaças cibernéticas

TIP definida

Ameaça

O potencial de qualquer outra parte de acessar ou interferir nas operações normais planejadas de uma rede de informações. Atualmente, as ameaças comuns incluem:

Inteligência

Conhecimento de uma ameaça obtido por analistas humanos ou identificados por eventos no sistema. Inteligência é um termo amplo, mas uma TIP apresenta aos analistas tipos específicos de inteligência que podem ser automatizada, inclusive:

  • Conhecimento técnico sobre os ataques, incluindo indicadores
  • Inteligência concluída – o resultado de seres humanos que procuram informações disponíveis e chegam a conclusões sobre a consciência da situação, prevendo resultados potenciais ou ataques futuros ou estimando as capacidades dos inimigos
  • Inteligência humana – qualquer inteligência proveniente de humanos, como participar de fóruns em busca de atividade suspeita

Plataforma

Um pacote de produtos que se integra às ferramentas e produtos existentes, apresentando um sistema de gerenciamento de inteligência contra ameaças que automatiza e simplifica grande parte do trabalho que os analistas realizam tradicionalmente.

Plataforma de inteligência contra ameaças

Quem usa uma TIP?

A plataforma de inteligência contra ameaças é útil para muitas partes dentro da empresa.

Equipes da central de operações de segurança (SOC)

Essas equipes focam em tarefas operacionais do dia a dia e em responder às ameaças conforme aparecem. Uma TIP oferece automação para atividades de rotina, como integrações, aprimoramento e classificação.

Equipes de inteligência contra ameaças

Essas equipes buscam fazer previsões com base em associações e informações contextuais entre agentes, campanhas, etc. Uma TIP oferece a elas uma "biblioteca" de informações que simplifica e otimiza esse processo.

Equipes executivas e de gerenciamento

A TIP oferece à equipe de gerenciamento uma única plataforma por meio da qual é possível ver relatórios em níveis altos e técnicos. Isso permite que eles compartilhem e analisem os dados conforme os incidentes ocorrem.

Agregação de dados

A plataforma de inteligência contra ameaças coleta e concilia automaticamente os dados de várias fontes e formatos. Obter informações de várias fontes é um componente essencial para uma infraestrutura de segurança sólida. As fontes e formatos suportados incluem:

Fontes:

  • Aberta
  • Paga por terceiros
  • Governo
  • Comunidades de compartilhamento confiáveis (ISACs)
  • Interna

Formatos:

  • STIX/TAXII
  • JSON e XML
  • E-mail
  • Documento em formato .csv, .txt, PDF, Word
Agregação de inteligência contra ameaças

Normalização e enriquecimento de dados

Coletar dados de uma grande variedade de feeds resulta em milhões de indicadores para classificar por dia, fazendo com que seja vital para processar dados de maneira eficiente. O processamento inclui vários passos, mas é composto por três elementos principais: normalização, deduplicação e enriquecimento de dados.

A abordagem desses elementos é cara em relação ao esforço computacional, tempo do analista e dinheiro. A plataforma de inteligência contra ameaças automatiza esses processos, permitindo que os analistas analisem os dados coletados em vez de gerenciá-los.

  • Normalização – Consolidando dados em diferentes formatos de fonte
  • Deduplicação – Remoção de informações duplicadas
  • Enriquecimento – Remoção de falsos positivos, classificação de indicadores e adição de contexto
Plataforma de inteligência contra ameaças

Integrações

Dados que foram normalizados, verificados e aprimorados devem ser enviados a sistemas que possam usá-los para a execução e monitoramento automatizados. O objetivo é fornecer essas tecnologias com o que é, essencialmente, uma lista de zonas cibernéticas interditadas similar às listas de zonas interditadas a voos presentes nos aeroportos. Com base em conhecimentos prévios, alguns IPs, domínios e outros não devem ser acessados ou permitidos na rede.

A plataforma de inteligência contra ameaças trabalha com a SIEM e com fornecedores de sistemas de gestão de registros nos bastidores, obtendo indicadores para enviar às soluções de segurança da infraestrutura de rede do cliente. Assim, o peso de estabelecer e manter essas integrações é tirado dos ombros dos analistas e transferido para os fornecedores de TIP e SIEM.

As possíveis integrações de produtos de segurança incluem:

  • SIEM
  • Endpoint
  • Firewall
  • IPS
  • API
Integrações de inteligência contra ameaças

Análises & respostas

A plataforma de inteligência contra ameaças oferece recursos que auxiliam com a análise de potenciais ameaças e com a mitigação correspondente. Mais especificamente, esses recursos ajudam os analistas a:

  • Explorar as ameaças
  • Proporcionar fluxos de trabalho de investigação
  • Entender o contexto mais amplo e as consequências das ameaças
  • Compartilhar informações

A TIP pegará todos os dados, aprimoramentos e outros contextos disponíveis e exibirá essa informação de forma que ofereça valor, como em painéis, réguas, alertas e observações.

A plataforma de inteligência contra ameaças também auxilia os analistas ao automatizar a pesquisa e os processos de coleta, reduzindo consideravelmente o tempo de resposta. Algumas funcionalidades específicas da parte de análise da plataforma de inteligência contra ameaças incluem:

  • Suporte para pesquisa e expansão do indicador
  • Escalação de incidentes e processos de resposta
  • Processos de fluxo de trabalho de analistas
  • Produção de produtos de inteligência e compartilhamento desses produtos com as partes interessadas