Что такое платформа анализа угроз (TIP)?
Сбор, управление и обмен данными анализа угроз
Назначение платформы анализа угроз
Современный ландшафт кибербезопасности характеризуется несколькими распространенными проблемами: большими объемами данных, недостатком аналитиков и возрастающей сложностью атак злоумышленников. Существующие инфраструктуры обеспечения безопасности предлагают множество инструментов для управления этой информацией, но не обеспечивают ее полноценную интеграцию. Это приводит к чрезмерным усилиям разработчиков по управлению системами и неизбежной растрате и так ограниченных ресурсов и времени.
Для решения этих проблем многие компании переходят к использованию платформы анализа угроз (TIP). Платформы анализа угроз можно развертывать на базе модели SaaS или в качестве локального решения для упрощения управления аналитическими данными о киберугрозах и связанными с ними объектами, такими как источники угроз, кампании, инциденты, подписи, бюллетени и TTP. Данная платформа характеризуется способностью выполнять четыре основные функции:
- сбор аналитических данных из нескольких источников;
- фильтрация, нормализация, обогащение данных и оценка степени риска данных;
- интеграция с существующими системами безопасности;
- анализ и обмен данными анализа угроз.
ЗАЯВЛЯЮТ, ЧТО АНАЛИЗ УГРОЗ КРИТИЧЕСКИ ВАЖЕН ДЛЯ ОБЕСПЕЧЕНИЯ НАДЕЖНОСТИ СИСТЕМЫ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ СООБЩАЮТ, ЧТО ОНИ ПЕРЕГРУЖЕНЫ ДАННЫМИ О КИБЕРУГРОЗАХ
Определение TIP
Угроза
Возможность любого постороннего лица получить доступ или вмешаться в нормальные плановые операции в информационной сети. Сегодня наиболее распространены следующие угрозы:
- APT
- Фишинг
- Вредоносное ПО
- Ботнеты
- DDOS
- Программы-вымогатели
Анализ
Определение угрозы специалистами-аналитиками или на основе событий в системе. Анализ — это широкий термин, но TIP предоставляет аналитикам определенные аналитические возможности, которые можно автоматизировать, в том числе:
- Технические данные об атаках, включая индикаторы.
- Готовый анализ — результат анализа людьми имеющейся информации и получения выводов об актуальности знаний о текущей ситуации, предсказания потенциальных результатов или будущих атак или оценки возможностей злоумышленника.
- Анализ, проводимый человеком, — любые данные, собираемые людьми, например, при скрытом просмотре форумов для выявления подозрительной деятельности.
Платформа
Полноценный продукт, интегрируемый с существующими инструментами и продуктами, который представляет собой систему управления анализом угроз информационной безопасности, обеспечивающую автоматизацию и упрощение большой части работы, традиционно выполняемой аналитиками.
Кто использует TIP?
Платформа анализа угроз может оказаться полезной для многих подразделений организации.
Специалисты центра мониторинга и реагирования на инциденты информационной безопасности (SOC)
Такие специалисты занимаются повседневными оперативными задачами и отвечают на угрозы по мере их возникновения. TIP обеспечивает автоматизацию таких повседневных операций, как интеграция, обогащение данных и оценка.
Специалисты по анализу угроз информационной безопасности
Эти специалисты стремятся составлять прогнозы на основе сопоставлений и контекстной информации, объединяющей источники угроз, кампании и т. д. TIP предоставляет им доступ к «библиотеке» информации, позволяя упростить и оптимизировать этот процесс.
Руководители и высшее руководство
TIP предоставляет руководителям единую платформу, которая позволяет просматривать отчеты как на техническом, так и на более общем уровне. Благодаря этому руководители могут эффективно обмениваться данными и анализировать их по мере возникновения инцидентов.
Агрегация данных
Платформа анализа угроз обеспечивает автоматический сбор и синхронизацию данных в различных форматах из различных источников. Сбор информации из различных источников является критически важным аспектом для создания надежной инфраструктуры безопасности. Поддерживаемые источники и форматы:
Источники:
- Открытые источники
- Платные источники третьих сторон
- Правительство
- Доверенные сообщества обмена информацией (ISAC)
- Внутренние источники
Форматы:
- STIX/TAXII
- JSON и XML
- Электронная почта
- Документ .csv, .txt, PDF, Word
Нормализация и обогащение данных
Сбор данных по различным каналам приводит к необходимости ежедневной сортировки миллионов индикаторов, что делает эффективную обработку данных критически важной. Обработка включает в себя несколько этапов, но состоит из трех основных элементов: нормализации, исключения повторяющихся данных и обогащения данных.
Это дорогостоящие операции с точки зрения вычислительной нагрузки, времени аналитиков и финансовых средств. Платформа анализа угроз обеспечивает автоматизацию этих процессов, позволяя аналитикам заниматься непосредственно анализом, а не управлением собранными данными.
- Нормализация - консолидация данных из источников различных форматов.
- Исключение повторяющихся данных - удаление дублирующейся информации.
- Обогащение данных - удаление ложных результатов, оценка индикаторов и добавление контекста.
Интеграция
Нормализованные, проверенные и обогащенные данные затем необходимо передать в системы, которые будут использовать их для автоматического обеспечения безопасности и мониторинга. Цель состоит в том, чтобы предоставить этим технологиям, по сути, «черный список», во многом похожий на черный список пассажиров, который используют в аэропортах. На основе имеющихся знаний доступ к некоторым IP-адресам, доменам и другим элементам в сети запрещается или блокируется.
Платформа анализа угроз работает в фоне с системами SIEM и программами управления логами, извлекая индикаторы и отправляя их в программы для обеспечения безопасности в инфраструктуре сети заказчика. Таким образом, бремя создания и поддержки этой Таким образом, груз создания и поддержки этой интеграции снимается с аналитиков и вместо этого ложится на программы SIEM и TIP.
Возможные варианты интеграции с продуктами для обеспечения безопасности:
- SIEM
- Конечная точка
- Межсетевой экран (Firewall)
- IPS
- API
Анализ и реагирование
Платформа анализа угроз предоставляет функции, которые помогают анализировать потенциальные угрозы и соответствующие меры по их устранению. В частности, эти функции помогают аналитикам:
- исследовать угрозы;
- предоставлять рабочие процессы расследования атак;
- понимать более широкий контекст и последствия угроз;
- обмениваться информацией.
TIP собирает все возможные данные, обогащающие элементы и другой доступный контекст и отображает эту информацию таким образом, чтобы она представляла ценность, например, в виде информационных панелей, правил, предупреждений и заметок.
Кроме того, платформа анализа угроз облегчает работу аналитиков за счет автоматизации процесса исследований и сбора данных, значительно сокращая время реагирования. В число функций аналитической подсистемы a платформы анализа угроз входят:
- поддержка расширения и исследования индикаторов;
- процессы эскалации инцидентов и реагирования на них;
- рабочие процессы аналитиков;
- создание аналитических продуктов и обмен ими с заинтересованными сторонами.
