УМЕЕШЬ В ИБ? ДЕЛИСЬ! Ближайший CIRF уже 14 ноябряРеклама. Рекламодатель ООО "МКО Системы", ИНН 7709458650, 18+Платформы для поиск и обнаружение атак (Threat Intelligence)
Поиск и обнаружение атак
Описание и назначение
Threat Intelligence Platform — это новый развивающийся класс технологий, который позволяет организовать агрегацию, корреляцию и анализ информации об угрозах, получаемую из различных источников в режиме реального времени, что в значительной степени помогает обеспечить надежную безопасность инфраструктуры. Концепция TIP была разработана для решения проблем безопасности с ростом объема данных, генерируемых различными внутренними и внешними ресурсами (такими как системные журналы и каналы анализа угроз), а также данный класс технологий помогает группам безопасности выявлять угрозы, имеющие отношение к их организации.
Импортируя данные об угрозах из нескольких источников и в разных форматах, сопоставляя их и затем экспортируя в существующие системы безопасности определенной организации, Threat Intelligence Platform автоматизирует проактивное управление угрозами, а также уменьшает степень негативного влияния. Решения данного типа отличаются от привычных стандартных технологий обеспечения информационной безопасности тем, что это система может дорабатываться сторонними разработчиками и очень тонко настраиваться пользователями. Также стоит заметить, что TIP-системы имеют поддержку API, что позволяет обрабатывать информацию и все полученные сведения централизованно.
Информационная безопасность в рамках корпоративного пространства включает в себя несколько подразделений, которые используют различные инструменты и обеспечивают реагирования на инциденты, систему безопасности сети и анализ данных. Интеграция между этими командами и обмен данными об угрозах часто является ручным процессом, который основывается на электронной почте или электронных таблицах. Такой подход не масштабируется по мере роста команды и предприятия и становиться затруднительным в реализации при том факте, что источники атак могут меняться с каждой минутой.
Threat intelligence platforms позволяют организациям получить преимущество над противником, обнаруживая присутствие организаторов атаки, блокируя и пресекая их действия или разрушая их инфраструктуру. Используя информацию об угрозах, предприятия и правительственные учреждения могут выявлять источники угроз и данные, которые являются наиболее полезными и релевантными на данный момент, потенциально снижая затраты, связанные с коммерческими фидами.
Платформы анализа угроз состоят из нескольких основных функциональных областей, которые позволяют организациям реализовать новый подход к безопасности, основанный на разведывательных данных:
- Сбор. Собираются и агрегируются данные разных форматов из источников, включая CSV, STIX, XML, JSON, IODEK, OpenIOC, электронную почту и различные другие каналы.
- Корреляция позволяет организациям автоматически анализировать, коррелировать и использовать имеющуюся информацию, чтобы узнать кто, почему и как совершил ту или иную атаку, и предпринять соответствующие меры.
- Обогащение и контекстуализация. Выполняется создание обогащенного контекста вокруг угроз, Threat Intelligence Platform должен иметь возможность автоматически увеличивать или разрешать аналитикам использовать сторонние приложения анализа угроз для увеличения полезных данных о них. Это позволяет командам SOC и IR получать как можно больше сведений об определенном субъекте угрозы, его возможностях и инфраструктуре для надлежащего реагирования.
- Анализ. Технология автоматически анализирует содержание индикаторов угроз и взаимосвязи между ними, чтобы обеспечить получение полезной, релевантной и своевременной информации об угрозах на основе собранных данных. Этот анализ позволяет идентифицировать тактику, методы и процедуры организатора атаки. Кроме того, возможности визуализации помогают изображать сложные отношения и позволяют пользователям увидеть более подробные и тонкие взаимосвязи между отдельными вредоносными проявлениями.
- Интеграция является ключевым требованием Threat Intelligence Platform. Данные с платформы должны возвращаться обратно в системы и продукты безопасности, используемые организацией, в такие, как SIEM-системы, брандмауэры, системы обнаружения вторжений и многие другие. Полнофункциональные TIP-системы обеспечивают непрерывный поток информации, собранной и проанализированной из фидов и других источников. Кроме того, API позволяют автоматизировать действия без непосредственного участия пользователя.
- Действие. Команды могут взять под контроль разработку курса действий по реагированию, планированию и смягчению последствий. Threat Intelligence Platform позволяет сообществам создавать инструменты и приложения, которые могут быть использованы для дальнейшего обеспечения безопасности. Аналитики и разработчики могут свободно обмениваться приложениями друг с другом, находить подходящие для конкретной инфраструктуры и модифицировать их, а также ускорять разработку решений с помощью операций быстрого подключения. Кроме того, разведка угроз также может быть использована стратегически для информирования о необходимых изменениях в архитектуре сети и систем защиты, а также применяется для оптимизации групп безопасности.
Список средств защиты
R-Vision Threat Intelligence Platform (TIP) – специализированная платформа анализа информации об угрозах
Сервис ESET Threat Intelligence предоставляет доступ к информации о деятельности киберпреступников
Мониторинг, анализ и прогнозирование угроз для компании, ее клиентов и партнеров
PT Cybersecurity Intelligence — это решения класса threat intelligence, которое призвана обогатить сторонние средства защиты инфраструктуры компании путем подключения различных фидов.
Anomali Threat Intelligence Platform — это система, которая позволяет собирать всю необходимую и уже имеющуюся информацию об угрозах безопасности, объединять ее и структурировать.
Palo Alto Networks AutoFocus — это облачная служба анализа угроз, которая позволяет компаниям разного масштаба легко выявлять критические атаки, эффективно отслеживать подозрительную активность и проводить структурирование полученной информации об угрозах
Система Group-IB Threat Intelligence & Attribution разработана для исследования киберугроз и охоты за киберпреступниками
Российская аналитическая платформа для сбора, хранения и обработки больших массивов данных с применением алгоритмов машинного обучения.
Система Гарда Threat Intelligence предоставляет структурированные данные о киберугрозах на основании анализа большого количества источников.