Платформа анализа угроз

Платформа анализа угроз (TIP) — это новая технологическая дисциплина, которая помогает организациям объединять, сопоставлять и анализировать об угрозах данные из нескольких источников в режиме реального времени для поддержки защитных действий. TIP были разработаны для обработки растущего объема данных, генерируемых различными внутренними и внешними ресурсами (такими как системные журналы и каналы аналитики об угрозах), и помогают группам безопасности выявлять угрозы, имеющие отношение к их организации. Импортируя данные об угрозах из нескольких источников и форматов, сопоставляя эти данные, а затем экспортируя их в существующие системы безопасности организации или системы обработки заявок, TIP автоматизирует упреждающее управление угрозами и их смягчение. Настоящий TIP отличается от типичных продуктов безопасности предприятия тем, что это система, которую могут программировать сторонние разработчики, в частности пользователи платформы. TIP также могут использовать API для сбора данных для анализа конфигурации , Whois информации , обратного поиска IP-адресов , анализа содержимого веб-сайта и т. д. серверы имен и сертификаты SSL .

Традиционный подход к безопасности предприятия

Традиционный подход к корпоративной безопасности предполагает, что группы безопасности используют различные процессы и инструменты для реагирования на инциденты, защиты сети и анализа угроз. Интеграция между этими группами и обмен данными об угрозах часто представляют собой ручной процесс, который опирается на электронную почту, электронные таблицы или систему заявок на портале. Этот подход не масштабируется по мере роста команды и предприятия, а также увеличения количества угроз и событий. Поскольку источники атак меняются каждую минуту, час и день, масштабируемость и эффективность становятся затруднительными. Например, инструменты, используемые крупными центрами управления безопасностью (SOC), генерируют сотни миллионов событий в день, от оповещений конечных точек и сетей до событий регистрации, что затрудняет фильтрацию до управляемого количества подозрительных событий для сортировки.

Платформы анализа угроз

Платформы анализа угроз позволяют организациям получить преимущество над противником, обнаруживая присутствие субъектов угроз, блокируя и отражая их атаки или ухудшая свою инфраструктуру. Используя анализ угроз, предприятия и правительственные учреждения могут также определить источники угроз и данные, которые являются наиболее полезными и актуальными для их собственной среды, потенциально сокращая затраты, связанные с ненужными коммерческими потоками угроз. ^[1]

Варианты тактического использования аналитики угроз включают планирование безопасности, мониторинг и обнаружение, реагирование на инциденты , обнаружение и оценку угроз. TIP также возвращает более разумные методы в SIEM , обнаружение вторжений и другие инструменты безопасности благодаря тщательно подобранной, актуальной и широкодоступной информации об угрозах, которую производит TIP.

Преимуществом TIP является возможность делиться информацией об угрозах с другими заинтересованными сторонами и сообществами. Злоумышленники обычно координируют свои усилия на разных форумах и платформах. TIP обеспечивает общую среду, которая позволяет группам безопасности обмениваться информацией об угрозах со своими доверенными кругами, взаимодействовать с экспертами по безопасности и разведке, а также получать рекомендации по реализации скоординированных контрмер. Полнофункциональные TIP позволяют аналитикам безопасности одновременно координировать эти тактические и стратегические действия с группами реагирования на инциденты, операциями по обеспечению безопасности и управления рисками , одновременно агрегируя данные от доверенных сообществ. ^[2]

Возможности платформы анализа угроз

Платформы анализа угроз состоят из нескольких основных функциональных областей. ^[3] которые позволяют организациям реализовать подход к безопасности, основанный на аналитике. Эти этапы поддерживаются автоматизированными рабочими процессами, которые оптимизируют процессы обнаружения, управления, анализа и защиты от угроз и отслеживают их до завершения:

Сбор. TIP собирает и агрегирует данные разных форматов из разных источников, включая CSV, STIX, XML, JSON, IODEK, OpenIOC, электронную почту и различные другие каналы. В этом TIP отличается от платформы SIEM . Хотя SIEM могут обрабатывать несколько каналов TI, они менее подходят для специального импорта или для анализа неструктурированных форматов, которые регулярно требуются для анализа. Эффективность АПИ будет во многом зависеть от качества, глубины, широты и своевременности выбранных источников. Большинство TIP обеспечивают интеграцию с основными коммерческими и открытыми источниками разведывательной информации.
Корреляция. TIP позволяет организациям начать автоматически анализировать, сопоставлять и анализировать данные, чтобы можно было получить действенную информацию о том, кто, почему и как совершил данную атаку, и ввести меры по блокированию. Автоматизация этих процессов обработки имеет решающее значение.
Обогащение и контекстуализация. Чтобы создать расширенный контекст вокруг угроз, TIP должен иметь возможность автоматически дополнять или позволять аналитикам по анализу угроз использовать сторонние приложения для анализа угроз для дополнения данных об угрозах. Это позволяет командам SOC и IR иметь как можно больше данных об определенном субъекте угрозы, его возможностях и его инфраструктуре для правильного реагирования на угрозу. TIP обычно дополняет собранные данные такой информацией, как геолокация IP, сети ASN и различной другой информацией из таких источников, как списки IP-адресов и заблокированных доменов.
Анализ. TIP автоматически анализирует содержание индикаторов угроз и взаимосвязи между ними, чтобы обеспечить получение полезной, актуальной и своевременной информации об угрозах на основе собранных данных. Этот анализ позволяет идентифицировать тактику, методы и процедуры (TTP) субъекта угрозы. Кроме того, возможности визуализации помогают отображать сложные взаимосвязи и позволяют пользователям поворачиваться, чтобы выявить более подробную информацию и тонкие взаимосвязи. Проверенный метод анализа в рамках TIP — это ромбовидная модель анализа вторжений. ^[4] Алмазная модель позволяет командам составить четкое представление о том, как действуют злоумышленники, и более эффективно информировать об общих мерах реагирования. Этот процесс помогает командам уточнить и поместить данные в контекст для разработки эффективного плана действий. Например, аналитик по анализу угроз может выполнить моделирование взаимоотношений с фишинговым электронным письмом, чтобы определить, кто его отправил, кто получил электронное письмо, домены, в которых оно зарегистрировано, IP-адреса, соответствующие этому домену и т. д. Отсюда аналитик может выполнить поворот Кроме того, чтобы выявить другие домены, которые используют тот же преобразователь DNS, внутренние хосты, которые пытаются подключиться к нему, а также какие другие запросы хоста/доменного имени были предприняты. Алмазная модель отличается от подхода Cyber Kill Chain® (приписываемого Lockheed Martin). ^[5]), который предполагает, что в качестве защитника организации достаточно разорвать одно звено в цепи, чтобы скомпрометировать атаку. Однако не все этапы атаки очевидны защитнику. Хотя действия разведки можно обнаружить, если злоумышленник просматривает веб-сайт своей жертвы, стадия создания оружия остается скрытой. Однако ромбовидная модель больше фокусируется на понимании злоумышленника (его TTP и мотивов). Вместо рассмотрения серии событий Модель рассматривает взаимосвязи между функциями, чтобы помочь защитникам лучше понять угрозу. Это обеспечивает более эффективный общий ответ. ^[6] Вместо того, чтобы играть в «ударь крота» с постоянными угрозами, организации создают картину того, как они работают, и могут предпринять шаги для непосредственного устранения этих фактов.
Интеграция. Интеграция является ключевым требованием TIP. Данные с платформы должны найти путь обратно в инструменты и продукты безопасности, используемые организацией. Полнофункциональные TIP обеспечивают поток информации, собранной и проанализированной из каналов и т. д., а также распространение и интеграцию очищенных данных в другие сетевые инструменты, включая SIEM , внутренние системы обработки заявок, межсетевые экраны , системы обнаружения вторжений и многое другое. Более того, API позволяют автоматизировать действия без прямого участия пользователя. ^[7]
Действуйте: зрелая платформа анализа угроз также занимается обработкой ответов. Встроенные рабочие процессы и процессы ускоряют сотрудничество внутри группы безопасности и более широких сообществ, таких как центры обмена и анализа информации (ISAC) и организации по обмену и анализу информации (ISAO), так что команды могут взять под контроль разработку курса действий, планирование мер по устранению последствий и исполнение. Такого уровня участия сообщества невозможно достичь без сложной платформы анализа угроз. Мощные СОВЕТЫ позволяют этим сообществам создавать инструменты и приложения, которые можно использовать, чтобы продолжать менять правила игры для профессионалов в области безопасности. В этой модели аналитики и разработчики свободно обмениваются приложениями друг с другом, выбирают и изменяют приложения, а также ускоряют разработку решений с помощью автоматических действий. Кроме того, на основе информации об угрозах можно также действовать стратегически, чтобы информировать о необходимых изменениях в сети и архитектуре безопасности, а также оптимизировать работу служб безопасности.
Совместная работа: платформа анализа угроз также позволяет людям сотрудничать как с внутренними, так и с внешними заинтересованными сторонами.

Оперативное развертывание

Платформы анализа угроз могут быть развернуты в виде программного обеспечения или устройства (физического или виртуального) локально или в выделенных или общедоступных облаках для улучшения совместной работы сообщества.

Ссылки

^ «Платформы анализа угроз: следующее необходимое средство для напряженных оперативных групп по обеспечению безопасности» . Мрачное чтение . 2 июня 2015 года . Проверено 3 февраля 2016 г.
^ Попута-Клин, Павел (15 января 2015 г.). «Автоматизированная защита с использованием анализа угроз для повышения безопасности» . Читальный зал Инфобезопасности Института SANS .
^ «Обзор технологий для платформ анализа угроз» . www.gartner.com . Проверено 3 февраля 2016 г.
^ «Ромбовидная модель анализа вторжений | Threatconnect.com» . www.threatconnect.com . Проверено 15 марта 2023 г.
^ Эрик М. Хатчинс; Майкл Дж. Клопперт; Рохан М. Амин (2009). «Интеллектуальная защита компьютерных сетей на основе анализа враждебных кампаний и цепочек убийств вторжений» (PDF) . Локхид Мартин .
^ МакГрегор, Роб (29 мая 2015 г.). «Бриллианты или цепи» .
^ «Что такое настоящая платформа анализа данных об угрозах?» . ThreatConnect | Платформа анализа корпоративных угроз . Проверено 3 февраля 2016 г.

Внешние ссылки

Платформы анализа угроз: следующее необходимое средство для напряженных служб безопасности , Тим Уилсон, Dark Reading, 2 июня 2015 г.
Источники информации об угрозах с открытым исходным кодом: Abuse.ch , MalcOde.

[1] «Платформы анализа угроз: следующее необходимое средство для напряженных оперативных групп по обеспечению безопасности» . Мрачное чтение . 2 июня 2015 года . Проверено 3 февраля 2016 г.

[2] Попута-Клин, Павел (15 января 2015 г.). «Автоматизированная защита с использованием анализа угроз для повышения безопасности» . Читальный зал Инфобезопасности Института SANS .

[3] «Обзор технологий для платформ анализа угроз» . www.gartner.com . Проверено 3 февраля 2016 г.

[4] «Ромбовидная модель анализа вторжений | Threatconnect.com» . www.threatconnect.com . Проверено 15 марта 2023 г.

[5] Эрик М. Хатчинс; Майкл Дж. Клопперт; Рохан М. Амин (2009). «Интеллектуальная защита компьютерных сетей на основе анализа враждебных кампаний и цепочек убийств вторжений» (PDF) . Локхид Мартин .

[6] МакГрегор, Роб (29 мая 2015 г.). «Бриллианты или цепи» .

[7] «Что такое настоящая платформа анализа данных об угрозах?» . ThreatConnect | Платформа анализа корпоративных угроз . Проверено 3 февраля 2016 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]