Что такое «Платформа анализа информации об угрозах» (TIP)? | Anomali
Get COVID-19 Cyber Security Resources Learn More

Что такое «Платформа анализа информации об угрозах» (TIP)?

Сбор, управление и обмен аналитической информацией об угрозах

Цель платформы анализа информации об угрозах

Сегодняшняя картина кибербезопасности характеризуется несколькими распространенными проблемами: огромные объемы данных, отсутствие аналитиков и все более сложные атаками злоумышленников. Современные инфраструктуры безопасности предлагают множество инструментов для управления этой информацией, но интеграция между этими инструментами очень слаба. В результате приходится прилагать очень много инженерных усилий для управления системами и неизбежно растрачивать и без того ограниченный запас времени и ресурсов.

Для борьбы с этими проблемами многие компании предпочитают внедрять Платформу анализа информации об угрозах (TIP). Платформы анализа информации об угрозах могут быть развернуты на оборудовании заказчика или в форме ПО как услуги для облегчения управления аналитической информацией о киберугрозах и связанными с ней объектами — участниками, кампаниями, инцидентами, сигнатурами, бюллетенями, тактикой, технологией и процедурами. Эта платформа определяется ее способностью выполнять четыре ключевые функции:

  1. Агрегирование аналитической информации из различных источников
  2. Корректировка, нормализация, обогащение данных и оценка рисков
  3. Интеграция с существующими системами безопасности
  4. Анализ и обмен информацией об угрозах
78%

считают аналитическую информацию об угрозах критически важной для достижения надежного положения в области безопасности

70%

организаций считают, что они завалены данными о киберугрозах

Определения TIP

Угроза

Возможность какого-либо субъекта получить доступ или вмешаться в обычную плановую деятельность информационной сети. Сегодня в число распространенных угроз входит следующее:

Аналитическая информация

Знания об угрозах, полученные специалистами-аналитиками или идентифицированные событиями внутри системы. Аналитическая информация — это широкий термин, но TIP предоставляет аналитикам определенные типы информации, которая может быть автоматизирована, в том числе следующую:

  • Технические знания об атаках, включая индикаторы
  • Готовая аналитическая информация — сведения, источником которых являются люди, анализирующие доступную информацию и делающие выводы относительно ситуационной информированности, прогнозирующие потенциальные последствия или будущие атаки либо оценивающие возможности злоумышленников
  • Человеческая аналитическая информация — любая информация, собранная людьми, например отслеживающими форумы в поисках подозрительной активности

Платформа

Готовый комплексный продукт, интегрирующийся с существующими инструментами и продуктами и представляющий собой систему управления аналитической информацией об угрозах, автоматизирующую и упрощающую значительную часть работы аналитиков, которую обычно они выполняют вручную.

Платформа анализа информации об угрозах

Кто использует TIP?

Платформа анализа информации об угрозах полезна многим группам в организации.

Центры обеспечения безопасности (SOC)

Эти группы ориентированы на оперативные повседневные задачи и реагируют на угрозы по мере их возникновения. TIP обеспечивает автоматизацию рутинных задач, таких как интеграция, обогащение и оценка.

Группы анализа информации об угрозах

Эти группы пытаются делать прогнозы на основе ассоциаций и контекстной информации между участниками, кампаниями и т. д. Платформа TIP предоставляет им «библиотеку» информации, которая упрощает и систематизирует этот процесс.

Руководящие и исполнительные группы

TIP обеспечивает управление в рамках единой платформы, с помощью которой можно просматривать отчеты как на техническом, так и на высшем уровне. Это позволяет эффективно обмениваться данными и анализировать их по мере возникновения инцидентов.

Агрегирование данных

Платформа анализа информации об угрозах автоматически собирает и сопоставляет данные разных форматов из разных источников. Получение информации из разных источников является критически важным компонентом надежной инфраструктуры безопасности. Поддерживаемые источники и форматы включают следующее:

Источники:

  • Открытый код
  • Оплаченные 3-й стороной
  • Госсектор
  • Доверенные сообщества по обмену информацией (ISAC)
  • Внутренние

Форматы:

  • STIX/TAXII
  • JSON и XML
  • Электронная почта
  • Документы .csv, .txt, PDF, Word
Агрегирование аналитической информации об угрозах

Нормализация и обогащение данных

Сбор данных из множества различных каналов приводит к тому, что каждый день приходится сортировать миллионы индикаторов. Поэтому эффективная обработка данных приобретает чрезвычайно важное значение. Обработка состоит из нескольких этапов и включает в себя три основных элемента: нормализация, дедупликация и обогащение данных.

С точки зрения затрат вычислительных мощностей, времени аналитиков и денежных средств это обходится недешево. Платформа анализа информации об угрозах автоматизирует эти процессы, освобождая время аналитиков, которые должны заниматься анализом, а не управлением собранными данными.

  • Нормализация — объединение данных разных форматов из разных источников
  • Дедупликация — удаление дублирующейся информации
  • Обогащение — исключение ложных результатов, оценка индикаторов и добавление контекста
Платформа анализа информации об угрозах

Интеграция

Нормализованные, проверенные и обогащенные данные затем должны быть доставлены в соответствующие системы, которые будут использовать их для автоматического приведения в исполнение и мониторинга. Целью этого является создание своеобразного «черного киберсписка», во многом аналогичного черному списку, который можно встретить в аэропортах. На основании фоновых знаний доступ к определенным IP-адресам, доменам и т. п. должен быть запрещен в рамках сети.

Платформа анализа информации об угрозах работает в фоновом режиме совместно с системой управления информационной безопасностью и событиями безопасности, а также с поставщиками систем управления журналами, извлекая индикаторы и передавая их в системы обеспечения безопасности в рамках сетевой инфраструктуры клиента. Таким образом, необходимость установления и поддержки этой интеграции снимается с плеч аналитиков и передается поставщикам SIEM и TIP.

Возможная интеграция продуктов безопасности включает следующее:

  • SIEM
  • Конечные точки
  • Брандмауэр
  • IPS
  • API
Интеграция аналитической информации об угрозах

Анализ и отклик

Платформа анализа информации об угрозах обладает функциями, которые позволяют анализировать потенциальные угрозы и предпринимать соответствующие меры по смягчению их последствий. Если говорить более конкретно, эти функции помогают аналитикам выполнять следующее:

  • Изучать угрозы
  • Предлагать рабочие процедуры расследований
  • Понимать более широкий контекст и последствия угроз
  • Обмениваться информацией

Платформа анализа информации об угрозах собирает все возможные данные, их обогащения и другой доступный контекст и представляет все это в таком виде, который имеет практическую ценность: в таблицах, правилах, предупреждениях и заметках.

Платформа анализа информации об угрозах также помогает аналитикам автоматизировать процессы изучения и сбора данных, что значительно сокращает время реакции на события. В числе конкретных функций аналитической части платформы анализа информации об угрозах можно назвать следующие:

  • Поддержка изучения и расширения индикаторов
  • Эскалация инцидентов и процессы отклика
  • Аналитические рабочие процессы
  • Создание информационных продуктов и обмен ими с заинтересованными сторонами