News

Платформа анализа угроз. Что это такое и зачем это нужно?

News | 17.09.2020

Платформа анализа угроз состоит из множества первичных модулей, которые реализуют ориентированный на угрозы подход к безопасности, опираясь при этом на существующие ресурсы - инфраструктуру и людей. Ориентированный на угрозы подход помогает группам безопасности понять наиболее релевантные вызовы, стоящие перед организацией, принять правильные решения и предпринять правильные действия. Несмотря на отличительные характеристики платформ различных поставщиков, можно выделить их основные функции:

Cбор данных

Платформа выступает центральным хранилищем данных об угрозах, поступающих из внешних и внутренних источников. Она получает данные из коммерческих, открытых и правительственных источников, от партнеров по отрасли и от существующих поставщиков безопасности; объединяет данные в одном месте и переводит в единый формат. Платформа также объединяет данные о внутренних угрозах и событиях из внутренних источников, включая информацию SIEM, хранилища управления журналами, системы запросов и системы управления задачами.

Корреляция и наполнение контекстом

С учетом всех данных об угрозах, платформа сравнивает события и показатели внутри среды с внешними данными об индикаторах и методах атак, чтобы обеспечить контекст и понять, кто, где, когда и как атакует.

Интеграция

Платформа анализа угроз интегрируется в существующую инфраструктуру, включая SIEM и систему управления событиями, и автоматически экспортирует информацию об угрозах с наивысшим приоритетом. Это позволяет системам управления работать эффективнее и отправлять меньшее количество false positives, а также интегрироваться с сетью сенсоров (брандмауэры, IPS / IDS, Netflow, маршрутизаторы, веб шлюзы и шлюзы электронной почты, защита конечных точек и т.д.) для создания и применения обновленных политик и правил.

Действие

Платформа анализа угроз показывает центрам безопасности (SOC) и аналитикам по безопасности, какие меры необходимо предпринять против наиболее релевантных угроз. Это сокращает время на выявление угроз и реагирование, получая при этом ценные данные для прогнозирования рисков в дальнейшем.

 

 

Зачем вам нужна платформа анализа угроз?

От зала заседаний до SOC-а, руководители и аналитики могут воспользоваться платформой анализа угроз для осуществления угрозо - ориентированных операций безопасности.

  • CISOs

Менеджеры отделов информационной безопасности могут снизить риск, улучшить защиту и выполнять стратегические и тактические задачи, оставаясь в рамках бюджета. Это возможность вооружить свои SOC команды, команды реагирования на инциденты и аналитиков угроз платформой для эффективного структурирования, организации и использования аналитической информации об угрозах по всему предприятию.

  • SOC аналитики

Аналитики SOC могут улучшить ситуационное понимание, ускорить выявление и реагирование, повысить окупаемость инвестиций в безопасность и эффективно сотрудничать как команда.

  • Команды реагирования на инциденты

Команды реагирования могут автоматизировать определение приоритетности угроз и инцидентов безопасности, ускорить расследование и автоматически направить данные к инструментам обнаружения и реагирования.

  • TI аналитики

TI аналитики могут эффективно структурировать и организовывать аналитические данные об угрозах с учетом контекста и приоритетности для создания досье на хакера, внедрения наиболее эффективных решений.

Платформа анализа угроз THREATQ

Чем ThreatQ отличается от других платформ аналитики угроз?

ThreatQuotient предлагает полноценное решение, ориентированное на угрозы безопасности, которое включает ThreatQ, - надежную платформу аналитики угроз. В дополнение к основным функциям ThreatQ предоставляет уникальное сочетание возможностей и управление следующими операциями безопасности:

1️⃣Клиенто-ориентированная оценка

Объем опубликованных сегодня индикаторов опережает возможности большинства защитных технологий. Кроме того, вся аналитика одинакова; что выглядит угрозой для одной организации, может быть нерелевантно для другой. ThreatQ снижает информационный шум, тем самым повышая эффективность операций безопасности. Пользователи могут ранжировать приоритетность угроз на основе параметров относительно источника, типа, атрибутов и контекста определенного индикатора, а также атрибутов противника. Команды безопасности могут менять диапазоны оценок для большей детализации, автоматически перепрофилировать и переосмысливать аналитические данные, тогда как новые данные, события и знания будут постоянно обновляться.

2️⃣Расследование

ThreatQ Investigations - это первая ситуационная система кибербезопасности, созданная для совместного анализа угроз, общего понимания и скоординированной реакции. Построена поверх платформы аналитики ThreatQ, она встраивает визуализацию и документацию событий в общей среде для большего понимания и сосредоточения в течение всего процесса анализа. Это ускоряет расследование, улучшает сотрудничество между командами и позволяет руководителям команд управлять действиями, назначать задачи и видеть результаты практически в реальном времени.

3️⃣Интеграции

Двусторонняя интеграция (данные, поступающие на платформу и выходящие из нее) - это волна будущего, поскольку она автоматизирует полный цикл обмена данными. ThreatQ поддерживает двунаправленную интеграцию со всеми технологиями безопасности в экосистеме организации. Это позволяет аналитикам принимать решения значительно быстрее, используя данные, которые уже есть под рукой.

Некоторые из ключевых примеров использования включают интеграцию с:

  1. SIEM или хранилищами логов для повышения эффективности этих систем, уменьшения false positive результатов и упрощения расследования "rear-view mirror".
  2. Системами запросов для обогащения и ускорения начала расследований с более глубоким смыслом.
  3. Решениями управления уязвимостями для выявления возможных маршрутов атак, определения приоритетности исправлений и постоянной перенастройки, что позволяет быть на шаг впереди противника.

4️⃣Право собственности на данные

Обмен обогащенными данным о внешних угрозах, например, от производителей технологий или центров анализа и обмена информацией (ISAC), помогает усилить защиту большинства пользователей. Однако организации должны четко понимать, каким количеством информации эти группы готовы делиться и с кем. ThreatQ обеспечивает полный контроль, когда, какие данные и в каком объеме обмениваются. Варианты развертывания также влияют на право собственности на данные. В отличие от облачной платформы, где данные клиентов могут быть перекомпонованы поставщиком как часть их собственного канала, ThreatQ - это дополнительная платформа, которая позволяет организациям сохранять полное право собственности на данные.

Платформа ThreatQ выходит за рамки типичной платформы анализа угроз и включает следующие функции:

✔ Управление анализом угроз

Превратите данные об угрозах в информацию о них с помощью контекста и автоматически определите приоритеты на основе проставленных пользователем баллов и релевантности.

✔ Охота на угрозы

Предоставьте возможность командам активно искать злонамеренную активность, которая еще не определена сенсорной сеткой. Получите глобальную видимость для защитных тактик, приемов и процедур для улучшения качества, увеличения покрытия и скорости восстановления. 

✔ Реагирование на инциденты

Получите глобальную видимость тактик и приемов противника для улучшения качества, расширения зоны наблюдения и увеличения скорости восстановления. 

✔ Целевой фишинг

Упростите процесс разбора и анализа электронных писем с фишингом для предотвращения последствий и быстрого реагирования. 

✔ Сортировка уведомлений

Присылайте только ту аналитическую информацию, которая имеет значение для уменьшения количества уведомлений, которые требуют расследования. 

✔ Управление уязвимостями

Сосредоточьтесь на ресурсах с самым высоким риском и определите уязвимые места на основе знаний о том, как они используются.