Платформа анализа угроз

Эта статья поднимает множество проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалить эти сообщения-шаблоны )

Использование внешних ссылок в этой статье может не соответствовать политикам или рекомендациям Википедии . Пожалуйста, улучшите эту статью , удалив лишние или неприемлемые внешние ссылки и преобразовав полезные ссылки, где это уместно, в сноски . ( Ноябрь 2018 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Эта статья содержит большое количество модных словечек . На странице обсуждения может быть обсуждение этого вопроса . Пожалуйста, помогите улучшить эту статью, если можете. ( Июль 2018 г. )

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Найти источники: «Threat Intelligence Platform» - новости · газеты · книги · ученый · JSTOR ( сентябрь 2019 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон )

( Узнайте, как и когда удалить этот шаблон сообщения )

Платформа Threat Intelligence Platform - это новая технологическая дисциплина, которая помогает организациям собирать, сопоставлять и анализировать данные об угрозах. из нескольких источников в режиме реального времени для поддержки защитных действий. TIP разработаны для обработки растущего объема данных, генерируемых различными внутренними и внешними ресурсами (такими как системные журналы и каналы аналитики угроз), и помогают группам безопасности выявлять угрозы, актуальные для их организации. Импортируя данные об угрозах из различных источников и форматов, сопоставляя эти данные, а затем экспортируя их в существующие системы безопасности или системы продажи билетов, TIP автоматизирует упреждающее управление угрозами и их смягчение. Настоящий TIP отличается от типичных продуктов корпоративной безопасности тем, что это система, которую могут программировать сторонние разработчики, в частности, пользователи платформы. TIP также могут использовать API для сбора данных для анализа конфигурации , Whoisинформация, обратный поиск IP-адресов , анализ содержимого веб-сайтов, серверы имен и сертификаты SSL .

Традиционный подход к безопасности предприятия [ править ]

Традиционный подход к корпоративной безопасности включает группы безопасности, использующие различные процессы и инструменты для реагирования на инциденты, защиты сети и анализа угроз. Интеграция между этими группами и обмен данными об угрозах часто осуществляется вручную с использованием электронной почты, электронных таблиц или системы продажи билетов на портале. Этот подход не масштабируется по мере роста команды и предприятия и увеличения количества угроз и событий. Поскольку источники атак меняются по минутам, часам и дням, масштабируемость и эффективность затруднены. Инструменты, используемые крупными операционными центрами безопасности (SOC), например, создают сотни миллионов событий в день, от предупреждений конечных точек и сети до событий журнала, что затрудняет фильтрацию до управляемого количества подозрительных событий для сортировки.

Платформы анализа угроз [ править ]

Платформы аналитики угроз позволяют организациям получить преимущество перед противником, обнаруживая присутствие субъектов угрозы, блокируя и отражая их атаки или ухудшая свою инфраструктуру. Используя анализ угроз, предприятия и государственные учреждения также могут определять источники угроз и данные, которые являются наиболее полезными и актуальными для их собственной среды, что потенциально снижает затраты, связанные с ненужными коммерческими потоками угроз. ^[1]

Тактические варианты использования аналитики угроз включают планирование безопасности, мониторинг и обнаружение, реагирование на инциденты , обнаружение угроз и оценку угроз. TIP также позволяет использовать более разумные методы в SIEM , средствах обнаружения вторжений и других инструментах безопасности благодаря тщательно подобранной, актуальной и широко используемой аналитике угроз, которую предоставляет TIP.

Преимущество TIP - это возможность делиться информацией об угрозах с другими заинтересованными сторонами и сообществами. Противники обычно координируют свои усилия на форумах и платформах. TIP обеспечивает общую среду обитания, которая позволяет группам безопасности обмениваться информацией об угрозах среди своих доверенных кругов, взаимодействовать с экспертами по безопасности и разведке и получать рекомендации по применению скоординированных контрмер. Полнофункциональные советы по безопасности позволяют аналитикам безопасности одновременно координировать эти тактические и стратегические действия с группами реагирования на инциденты, операций по обеспечению безопасности и управления рисками, собирая при этом данные из доверенных сообществ. ^[2]

Возможности платформы анализа угроз [ править ]

Платформы аналитики угроз состоят из нескольких основных функциональных областей ^[3], которые позволяют организациям реализовать подход к безопасности на основе аналитики. Эти этапы поддерживаются автоматизированными рабочими процессами, которые оптимизируют процесс обнаружения угроз, управления, анализа и защиты и отслеживают их до завершения:

Сбор - СОВЕТ собирает и объединяет несколько форматов данных из нескольких источников, включая CSV, STIX, XML, JSON, IODEK, OpenIOC, электронную почту и различные другие каналы. Этим TIP отличается от платформы SIEM . Хотя SIEM могут обрабатывать несколько каналов TI, они хуже подходят для специального импорта или для анализа неструктурированных форматов, которые регулярно требуются для анализа. Эффективность АПИ будет во многом зависеть от качества, глубины, широты и своевременности выбранных источников. Большинство TIP обеспечивают интеграцию с основными коммерческими и открытыми источниками информации .
Корреляция - СОВЕТ позволяет организациям начать автоматический анализ, корреляцию и анализ данных, чтобы можно было получить действенную информацию о том, кто, почему и как для данной атаки, и ввести меры блокировки. Автоматизация обработки кормов имеет решающее значение.
Обогащение и контекстуализация - для создания расширенного контекста вокруг угроз TIP должен иметь возможность автоматически дополнять или позволять аналитикам анализа угроз использовать сторонние приложения для анализа угроз для увеличения данных об угрозах. Это позволяет группам SOC и IR иметь как можно больше данных об определенном субъекте угрозы, его возможностях и его инфраструктуре для надлежащего реагирования на угрозу. TIP обычно обогащает собранные данные такой информацией, как геолокация IP, сети ASN и другой другой информацией из таких источников, как списки заблокированных IP-адресов и доменов.
Анализировать - TIP автоматически анализирует содержание индикаторов угроз и взаимосвязи между ними, чтобы на основе собранных данных получать полезные, актуальные и своевременные аналитические данные об угрозах. Этот анализ позволяет идентифицировать тактику, приемы и процедуры злоумышленника. Кроме того, возможности визуализации помогают отображать сложные отношения и позволяют пользователям поворачиваться, чтобы выявить более подробные и тонкие взаимосвязи. Проверенным методом анализа в рамках TIP является алмазная модель анализа вторжений. ^[4]Алмазная модель позволяет командам составить четкое представление о том, как действуют злоумышленники, и более эффективно информировать об ответных действиях. Этот процесс помогает командам уточнить и разместить данные в контексте для разработки эффективного плана действий. Например, аналитик по анализу угроз может выполнить моделирование отношений с фишинговым электронным письмом, чтобы определить, кто его отправил, кто получил электронное письмо, домены, на которые оно зарегистрировано, IP-адреса, относящиеся к этому домену и т. Д. Отсюда аналитик может выполнить поворот. далее, чтобы выявить другие домены, которые используют тот же преобразователь DNS, внутренние хосты, которые пытаются подключиться к нему, и какие другие запросы имени хоста / домена были предприняты. Алмазная модель отличается от подхода Cyber Kill Chain® (приписываемого Lockheed Martin ^[5]), который теоретизирует, что в качестве защитника организации нужно только нарушить одно звено в цепочке, чтобы скомпрометировать атаку. Однако не все этапы атаки видны защитнику. Хотя шаги разведки могут быть обнаружены, если злоумышленник просматривает веб-сайт своей жертвы, этап размещения оружия остается скрытым. Однако алмазная модель больше фокусируется на понимании злоумышленника (его TTP и мотивации). Вместо того, чтобы смотреть на серию событий, Модель рассматривает взаимосвязи между функциями, чтобы помочь защитникам лучше понять угрозу. Это обеспечивает более эффективный общий ответ. ^[6] Вместо того, чтобы возиться с постоянными угрозами, организации создают представление о том, как они действуют, и могут предпринять шаги для непосредственного рассмотрения этих фактов.
Интеграция - Интеграция является ключевым требованием АПИ. Данные с платформы должны быть возвращены в инструменты и продукты безопасности, используемые организацией. Полнофункциональные TIP обеспечивают поток информации, собираемой и анализируемой из каналов и т. Д., А также распространяют и интегрируют очищенные данные в другие сетевые инструменты, включая SIEM , внутренние системы продажи билетов, межсетевые экраны , системы обнаружения вторжений и т. Д. Кроме того, API-интерфейсы позволяют автоматизировать действия без прямого участия пользователя. ^[7]
Действие. Развертывание зрелой платформы анализа угроз также обеспечивает обработку ответов. Встроенные рабочие процессы и процессы ускоряют сотрудничество внутри группы безопасности и более широких сообществ, таких как центры обмена информацией и анализа.(ISAC) и организации по обмену и анализу информации (ISAO), чтобы группы могли контролировать разработку курса действий, планирование и выполнение мер по смягчению последствий. Такой уровень участия сообщества не может быть достигнут без сложной платформы анализа угроз. Мощные советы позволяют этим сообществам создавать инструменты и приложения, которые можно использовать, чтобы и дальше менять правила игры для профессионалов в области безопасности. В этой модели аналитики и разработчики свободно обмениваются приложениями друг с другом, выбирают и изменяют приложения, а также ускоряют разработку решений с помощью операций plug-and-play. Кроме того, аналитика угроз также может использоваться стратегически для информирования о необходимых изменениях архитектуры сети и безопасности и оптимизации групп безопасности.
Совместная работа - платформа анализа угроз также позволяет сотрудникам сотрудничать как с внутренними, так и с внешними заинтересованными сторонами.

Оперативное развертывание [ править ]

Платформы анализа угроз могут быть развернуты как программное обеспечение или устройство (физическое или виртуальное) локально или в выделенных или общедоступных облаках для расширенного сотрудничества с сообществом.

Ссылки [ править ]

^ «Платформы аналитики угроз: следующее« необходимое »для изощренных команд по обеспечению безопасности» . Темное чтение . Проверено 3 февраля 2016 .
^ Poputa-Clean, Пол (15 января 2015). «Автоматизированная защита с использованием аналитики угроз для повышения безопасности» . Читальный зал Инфобезопасности Института SANS .
^ «Обзор технологий для платформ анализа угроз» . www.gartner.com . Проверено 3 февраля 2016 .
^ "Алмазная модель анализа вторжений | ActiveResponse.org" . www.activeresponse.org . Проверено 3 февраля 2016 .
^ Эрик М. Хатчинс; Майкл Дж. Клопперт; Рохан М. Амин (2009). «Интеллектуальная защита компьютерной сети, основанная на анализе противоборствующих кампаний и цепочек уничтожения вторжений» (PDF) . Локхид Мартин .
↑ МакГрегор, Роб (29 мая 2015 г.). «Бриллианты или цепочки» .
^ "Что входит в настоящую платформу анализа данных об угрозах?" . ThreatConnect | Платформа корпоративной аналитики угроз . Проверено 3 февраля 2016 .

Внешние ссылки [ править ]

Блог Рика Холланда для специалистов по безопасности и рискам (Forrester)
Платформы аналитики угроз: следующее обязательное оборудование для опытных команд по обеспечению безопасности , Тим Уилсон, Dark Reading, 2 июня 2015 г.
Источники информации об угрозах с открытым исходным кодом: Abuse.ch , MalcOde.

[1] «Платформы аналитики угроз: следующее« необходимое »для изощренных команд по обеспечению безопасности» . Темное чтение . Проверено 3 февраля 2016 .

[2] Poputa-Clean, Пол (15 января 2015). «Автоматизированная защита с использованием аналитики угроз для повышения безопасности» . Читальный зал Инфобезопасности Института SANS .

[3] «Обзор технологий для платформ анализа угроз» . www.gartner.com . Проверено 3 февраля 2016 .

[4] "Алмазная модель анализа вторжений | ActiveResponse.org" . www.activeresponse.org . Проверено 3 февраля 2016 .

[5] Эрик М. Хатчинс; Майкл Дж. Клопперт; Рохан М. Амин (2009). «Интеллектуальная защита компьютерной сети, основанная на анализе противоборствующих кампаний и цепочек уничтожения вторжений» (PDF) . Локхид Мартин .

[6] МакГрегор, Роб (29 мая 2015 г.). «Бриллианты или цепочки» .

[7] "Что входит в настоящую платформу анализа данных об угрозах?" . ThreatConnect | Платформа корпоративной аналитики угроз . Проверено 3 февраля 2016 .

[1]