Нужна ли вам платформа киберразведки?
Многим организациям сложно управлять киберразведкой. Это происходит из-за обилия ненужных данных, что затрудняет их корреляцию, и зависимости от процессов, выполняемых вручную. Также возникают сложности при составлении актуальных отчетов об угрозах и распространении их корректным получателям.
Чтобы решить эти проблемы, нужна платформа киберразведки (она же TIP или Threat Intelligence Platform).
В целом платформу киберразведки можно охарактеризовать как единый центр, который собирает необработанные данные и информацию об угрозах из многочисленных источников в общий репозиторий. Чтобы найти нужную информацию об угрозах, платформа автоматически отбирает, сопоставляет, нормализует и обогащает полученные данные, а также оценивает риски. Платформа обеспечивает взаимодействие с СЗИ посредством анализа и передачи им актуальной и полезной информации об угрозах.
Основная польза платформы киберразведки — сокращение времени обнаружения угроз, возможность организовать совместную работу различных команд ИБ по вопросам киберразведки и предоставление актуальной информации заинтересованным лицам.
На что обратить внимание при выборе платформы киберразведки
Кто будет затронут проектом
Чтобы выбрать платформу, которая будет соответствовать требованиям организации, нужно иметь четкое представление об аудитории, для которой она предназначается. Чаще всего такими платформами пользуются аналитики киберразведки и SOC, директора ИБ, специалисты по хантингу и реагированию на инциденты безопасности. У каждого из них имеются свои потребности и ожидания от платформы киберразведки. Например, аналитики киберразведки могут использовать отобранные данные для создания досье на злоумышленника, а директора ИБ — для решения стратегических задач и сокращения расходов, поскольку автоматизация киберразведки позволяет значительно экономить время специалистов.
Совместная работа
Совместная работа разных команд ИБ над данными TI и обмен информацией об угрозах — фундаментальные возможности, которые дает платформа киберразведки. При выборе TIP крайне важно понимать структуру организации и то, как осуществляется коммуникация между командами. Специалисты ИБ должны иметь возможность обмениваться информацией из любого места в любое время, а также интегрировать платформу в существующие системы безопасности. Еще один фактор, связанный с взаимодействием команд и на который стоит обратить внимание, — это возможности платформы по созданию отчетов. Составление полноценных отчетов и рассылка сводок и алертов в режиме реального времени должны быть автоматизированы и настроены в соответствии с требованиями различных заинтересованных лиц и отраслевой спецификой организации.
Агрегация и сбор данных с контекстом
В основе платформы киберразведки лежит ее способность поддерживать разные форматы импорта данных из внутренних и внешних источников. Гибкая настройка импорта данных, а также автоматическое получение информации от поставщиков фидов или доверенных третьих лиц позволяют аналитикам ИБ работать эффективнее. Также имеется возможность анализировать и индексировать как структурированные данные (например, с серверов STIX/TAXII), так и неструктурированные (например, из блогов, технических документов и т. д.).
Еще одна важная функция TIP — курирование собранных данных. Оптимизация данных критически важна для уточнения контекста, то есть всего того, что окружает и дополняет данные TI. Благодаря данным киберразведки можно вычислить злоумышленников, которые нацелены на конкретную организацию и всю отрасль в целом. Таким образом, способ импорта данных от вендоров и их адаптация к конкретным потребностям организации имеют решающее значение. Алгоритмы машинного обучения должны сортировать информацию и ранжировать индикаторы компрометации (IoC) на основе контекста и пользовательской оценки релевантности.
Когда речь идет о контексте, нужно также брать во внимание уязвимости, которым подвержена организация. Платформа киберразведки должна сопоставлять критичные индикаторы компрометации с ценными активами (Crown Jewels) и другими значимыми аспектами организации. Для защиты наиболее важной инфраструктуры используется процесс патичнга. Заблаговременно определяя и сообщая контекст уязвимости, TIP помогает оптимизировать этот процесс в организации.
Внедрение
Инсталляции, при которых продукт развернут за пределами организации (например, SaaS), можно легко запустить. Также они требуют меньших затрат на управление. Тем не менее, существуют трудности, связанные с портами межсетевого экрана и интеграцией с локальными системами. В дополнение ко всему, перед покупкой платформы следует изучить и уточнить у поставщика информацию о правах собственности на киберразведку организации, которая хранится в облаке вендора.
Развертывание локальной платформы требует времени и затрат на настройку инфраструктуры и локальных конфигураций. После настройки платформы на площадке заказчика она обеспечивает более простую интеграцию с внутренними инструментами организации, постоянный доступ к данным и соответствующий уровень безопасности данных в соответствии с требованиями заказчика.
Независимо от того, развернута ли платформа локально или в облаке, она должна эффективно интегрироваться с СЗИ организации. Одна из основных функций платформы киберразведки — связка с защитными решениями для непрерывного улучшения процесса киберразведки. Идеальным вариантом является двусторонняя интеграция с текущими СЗИ. Платформа также может взаимодействовать с SIEM- и SOAR-решениями, тикетенгом и базой MITRE ATT&CK с наложенными уязвимостями.
Платформа киберразведки Anomali
Платформа Anomali построена на основе киберразведки со встроенными возможностями расширенного обнаружения и реагирования (XDR). Широкая партнерская экосистема дает возможность получать детальный контекст информации об угрозах. Платформа Anomali включает три основных продукта: Anomali ThreatStream, Anomali Match XDR и Anomali Lens.
Anomali ThreatStream — это платформа киберразведки, которая отсеивает ненужные данные, автоматически собирает и обрабатывает исходные данные и преобразует их в актуальную информацию об угрозах, которая затем рассылается командам ИБ.
Anomali Match — это XDR-решение, которое помогает организациям быстро обнаруживать угрозы и реагировать на них в режиме реального времени.
Anomali Lens — это многофункциональное аналитическое расширение, которое быстро предоставляет данные киберразведки после сканирования веб-страниц на наличие релевантных угроз, что оптимизирует их исследование и составление отчетов.
В постоянно меняющемся ландшафте угроз правильный выбор платформы киберразведки и ее эффективное внедрение позволят сократить расходы, максимально задействовать опыт специалистов ИБ и получить нужную информацию, необходимую для быстрого и эффективного реагирования.
Хотите узнать больше?
Закажите демонстрацию, тест или расчет стоимости платформы киберразведки Anomali по этой ссылке.
