Платформы для поиск и обнаружение атак (Threat Intelligence)

Поиск и обнаружение атак

Вопрос
Задать вопрос

Описание и назначение

Threat Intelligence Platform — это новый развивающийся класс технологий, который позволяет организовать агрегацию, корреляцию и анализ информации об угрозах, получаемую из различных источников в режиме реального времени, что в значительной степени помогает обеспечить надежную безопасность инфраструктуры. Концепция TIP была разработана для решения проблем безопасности с ростом объема данных, генерируемых различными внутренними и внешними ресурсами (такими как системные журналы и каналы анализа угроз), а также данный класс технологий помогает группам безопасности выявлять угрозы, имеющие отношение к их организации. 

Импортируя данные об угрозах из нескольких источников и в разных форматах, сопоставляя их и затем экспортируя в существующие системы безопасности определенной организации, Threat Intelligence Platform автоматизирует проактивное управление угрозами, а также уменьшает степень негативного влияния. Решения данного типа отличаются от привычных стандартных технологий обеспечения информационной безопасности тем, что это система может дорабатываться сторонними разработчиками и очень тонко настраиваться пользователями. Также стоит заметить, что TIP-системы имеют поддержку API, что позволяет обрабатывать информацию и все полученные сведения централизованно. 

Информационная безопасность в рамках корпоративного пространства включает в себя несколько подразделений, которые используют различные инструменты и обеспечивают реагирования на инциденты, систему безопасности сети и анализ данных. Интеграция между этими командами и обмен данными об угрозах часто является ручным процессом, который основывается на электронной почте или электронных таблицах. Такой подход не масштабируется по мере роста команды и предприятия и становиться затруднительным в реализации при том факте, что источники атак могут меняться с каждой минутой.

Threat intelligence platforms позволяют организациям получить преимущество над противником, обнаруживая присутствие организаторов атаки, блокируя и пресекая их действия или разрушая их инфраструктуру. Используя информацию об угрозах, предприятия и правительственные учреждения могут выявлять источники угроз и данные, которые являются наиболее полезными и релевантными на данный момент, потенциально снижая затраты, связанные с коммерческими фидами.

Платформы анализа угроз состоят из нескольких основных функциональных областей, которые позволяют организациям реализовать новый подход к безопасности, основанный на разведывательных данных:

  • Сбор. Собираются и агрегируются данные разных форматов из источников, включая CSV, STIX, XML, JSON, IODEK, OpenIOC, электронную почту и различные другие каналы. 
  • Корреляция позволяет организациям автоматически анализировать, коррелировать и использовать имеющуюся информацию, чтобы узнать кто, почему и как совершил ту или иную атаку, и предпринять соответствующие меры. 
  • Обогащение и контекстуализация. Выполняется создание обогащенного контекста вокруг угроз, Threat Intelligence Platform должен иметь возможность автоматически увеличивать или разрешать аналитикам использовать сторонние приложения анализа угроз для увеличения полезных данных о них. Это позволяет командам SOC и IR получать как можно больше сведений об определенном субъекте угрозы, его возможностях и инфраструктуре для надлежащего реагирования. 
  • Анализ. Технология автоматически анализирует содержание индикаторов угроз и взаимосвязи между ними, чтобы обеспечить получение полезной, релевантной и своевременной информации об угрозах на основе собранных данных. Этот анализ позволяет идентифицировать тактику, методы и процедуры организатора атаки. Кроме того, возможности визуализации помогают изображать сложные отношения и позволяют пользователям увидеть более подробные и тонкие взаимосвязи между отдельными вредоносными проявлениями. 
  • Интеграция является ключевым требованием Threat Intelligence Platform. Данные с платформы должны возвращаться обратно в системы и продукты безопасности, используемые организацией, в такие, как SIEM-системы, брандмауэры, системы обнаружения вторжений и многие другие. Полнофункциональные TIP-системы обеспечивают непрерывный поток информации, собранной и проанализированной из фидов и других источников. Кроме того, API позволяют автоматизировать действия без непосредственного участия пользователя.
  • Действие. Команды могут взять под контроль разработку курса действий по реагированию, планированию и смягчению последствий. Threat Intelligence Platform позволяет сообществам создавать инструменты и приложения, которые могут быть использованы для дальнейшего обеспечения безопасности. Аналитики и разработчики могут свободно обмениваться приложениями друг с другом, находить подходящие для конкретной инфраструктуры и модифицировать их, а также ускорять разработку решений с помощью операций быстрого подключения. Кроме того, разведка угроз также может быть использована стратегически для информирования о необходимых изменениях в архитектуре сети и систем защиты, а также применяется для оптимизации групп безопасности.
 

Список средств защиты

Group-IB
0
0 отзывов
Мониторинг, анализ и прогнозирование угроз для компании, ее клиентов и партнеров
Positive Technologies
0
0 отзывов
PT Cybersecurity Intelligence — это решения класса threat intelligence, которое призвана обогатить сторонние средства защиты инфраструктуры компании путем подключения различных фидов.
Anomali
0
0 отзывов
Anomali Threat Intelligence Platform — это система, которая позволяет собирать всю необходимую и уже имеющуюся информацию об угрозах безопасности, объединять ее и структурировать.
Cisco
0
0 отзывов
Palo Alto Networks
0
0 отзывов
Palo Alto Networks AutoFocus — это облачная служба анализа угроз, которая позволяет компаниям разного масштаба легко выявлять критические атаки, эффективно отслеживать подозрительную активность и проводить структурирование полученной информации об угрозах