Сканер безопасности и полная автоматизация управления уязвимостями. От обнаружения до автопатчинга и закрытияРеклама, ООО «Интеллектуальная безопасность», ИНН 7719435412, 16+Платформы для поиск и обнаружение атак (Threat Intelligence)
Поиск и обнаружение атак
Описание и назначение
Threat Intelligence Platform — это новый развивающийся класс технологий, который позволяет организовать агрегацию, корреляцию и анализ информации об угрозах, получаемую из различных источников в режиме реального времени, что в значительной степени помогает обеспечить надежную безопасность инфраструктуры. Концепция TIP была разработана для решения проблем безопасности с ростом объема данных, генерируемых различными внутренними и внешними ресурсами (такими как системные журналы и каналы анализа угроз), а также данный класс технологий помогает группам безопасности выявлять угрозы, имеющие отношение к их организации.
Импортируя данные об угрозах из нескольких источников и в разных форматах, сопоставляя их и затем экспортируя в существующие системы безопасности определенной организации, Threat Intelligence Platform автоматизирует проактивное управление угрозами, а также уменьшает степень негативного влияния. Решения данного типа отличаются от привычных стандартных технологий обеспечения информационной безопасности тем, что это система может дорабатываться сторонними разработчиками и очень тонко настраиваться пользователями. Также стоит заметить, что TIP-системы имеют поддержку API, что позволяет обрабатывать информацию и все полученные сведения централизованно.
Информационная безопасность в рамках корпоративного пространства включает в себя несколько подразделений, которые используют различные инструменты и обеспечивают реагирования на инциденты, систему безопасности сети и анализ данных. Интеграция между этими командами и обмен данными об угрозах часто является ручным процессом, который основывается на электронной почте или электронных таблицах. Такой подход не масштабируется по мере роста команды и предприятия и становиться затруднительным в реализации при том факте, что источники атак могут меняться с каждой минутой.
Threat intelligence platforms позволяют организациям получить преимущество над противником, обнаруживая присутствие организаторов атаки, блокируя и пресекая их действия или разрушая их инфраструктуру. Используя информацию об угрозах, предприятия и правительственные учреждения могут выявлять источники угроз и данные, которые являются наиболее полезными и релевантными на данный момент, потенциально снижая затраты, связанные с коммерческими фидами.
Платформы анализа угроз состоят из нескольких основных функциональных областей, которые позволяют организациям реализовать новый подход к безопасности, основанный на разведывательных данных:
- Сбор. Собираются и агрегируются данные разных форматов из источников, включая CSV, STIX, XML, JSON, IODEK, OpenIOC, электронную почту и различные другие каналы.
- Корреляция позволяет организациям автоматически анализировать, коррелировать и использовать имеющуюся информацию, чтобы узнать кто, почему и как совершил ту или иную атаку, и предпринять соответствующие меры.
- Обогащение и контекстуализация. Выполняется создание обогащенного контекста вокруг угроз, Threat Intelligence Platform должен иметь возможность автоматически увеличивать или разрешать аналитикам использовать сторонние приложения анализа угроз для увеличения полезных данных о них. Это позволяет командам SOC и IR получать как можно больше сведений об определенном субъекте угрозы, его возможностях и инфраструктуре для надлежащего реагирования.
- Анализ. Технология автоматически анализирует содержание индикаторов угроз и взаимосвязи между ними, чтобы обеспечить получение полезной, релевантной и своевременной информации об угрозах на основе собранных данных. Этот анализ позволяет идентифицировать тактику, методы и процедуры организатора атаки. Кроме того, возможности визуализации помогают изображать сложные отношения и позволяют пользователям увидеть более подробные и тонкие взаимосвязи между отдельными вредоносными проявлениями.
- Интеграция является ключевым требованием Threat Intelligence Platform. Данные с платформы должны возвращаться обратно в системы и продукты безопасности, используемые организацией, в такие, как SIEM-системы, брандмауэры, системы обнаружения вторжений и многие другие. Полнофункциональные TIP-системы обеспечивают непрерывный поток информации, собранной и проанализированной из фидов и других источников. Кроме того, API позволяют автоматизировать действия без непосредственного участия пользователя.
- Действие. Команды могут взять под контроль разработку курса действий по реагированию, планированию и смягчению последствий. Threat Intelligence Platform позволяет сообществам создавать инструменты и приложения, которые могут быть использованы для дальнейшего обеспечения безопасности. Аналитики и разработчики могут свободно обмениваться приложениями друг с другом, находить подходящие для конкретной инфраструктуры и модифицировать их, а также ускорять разработку решений с помощью операций быстрого подключения. Кроме того, разведка угроз также может быть использована стратегически для информирования о необходимых изменениях в архитектуре сети и систем защиты, а также применяется для оптимизации групп безопасности.
Список средств защиты
RT Protect TI — платформа для разведки киберугроз помогает автоматически выявить и предотвратить кибератаки, а также провести детализированное расследование с опорой на накопленные сообществом знания.