Platformy analizy zagrożeń (TIP) to doskonałe rozwiązanie do centralizacji wielu strumieni informacji o zagrożeniach i zarządzania nimi. Pomimo spowolnienia stosowania TIP-ów w zeszłym roku, nadal stanowią one dużą siłę na rynku. Jeśli Twoja organizacja nie chce inwestować w TIP, oto wszystko, co musisz wiedzieć.
Jak działają platformy analizy zagrożeń?
TIP łączą wiele źródeł TI w ujednoliconym środowisku, aby pomóc SOC, analitykom i innym zespołom ds. bezpieczeństwa zrównoważyć pozyskiwane informacje.
Naturalnie podstawową funkcją TIP jest agregacja danych z wielu źródeł TI. Zwykle wymagają od dostawców dostarczenia TI w określonym formacie lub przynajmniej według ustalonego schematu specyficznego dla dostawcy. Przeprowadzą także normalizację i deduplikację surowych danych, ale niektóre umożliwiają także pozyskiwanie danych w dowolnym formacie w celu dostosowania do różnorodności OSINT.
Oprócz tej podstawowej funkcji wskazówki TIP mogą również zapewniać narzędzia do analizy informacji o zagrożeniach, takie jak wizualizacja, nawigacja, ustalanie priorytetów lub ostrzeganie.
Wiele z nich pomaga także partnerom integrować analizę zagrożeń z istniejącymi narzędziami, takimi jak SIEM lub SOAR, poprzez wbudowane złącza.
Automatyzacja
Automatyzacja jest jedną z kluczowych funkcji TIP, ponieważ może pomóc zespołom ds. bezpieczeństwa w przyjmowaniu dużych ilości reputacyjnych/taktycznych TI od wielu dostawców. Dane te mogą następnie posłużyć do wykorzystania zautomatyzowanych narzędzi bezpieczeństwa, takich jak NGFW, IDPS, CASB i inne.
Analitycy branżowi zgadzają się, że na rynku TI dominuje „koopetycja”, w ramach której klienci współpracują z wieloma dostawcami jednocześnie, wykorzystując zalety każdego z nich do pokrycia swoich baz.
Tendencja ta jest wszechobecna w różnych przypadkach użycia, a szczególnie powszechna wśród nabywców TI, którzy szukają wskazówek w celu ulepszenia swoich systemów automatycznego wykrywania i ochrony. Dzieje się tak dlatego, że proces normalizacji TIP pomaga zespołom ds. bezpieczeństwa obniżyć koszty rozwoju.
Analitycy SOC i badacze bezpieczeństwa
TIP są wyposażone tak, aby pomagać analitykom SOC wszystkich szczebli w ich codziennych zadaniach. Analiza zagrożeń to podstawa centrów operacji bezpieczeństwa, dlatego analitycy mogą wiele zyskać na platformie ujednolicającej ich źródła TI.
TIP mogą być szczególnie przydatne dla SOC, gdy oferują możliwości analizy danych i opcję importowania innych źródeł TI, zwykle wewnętrznych lub niezawodnych OSINT.
Wreszcie TIP, które chcą zapewnić SOC i badaczom płynną obsługę, oferują również jakąś formę dynamicznej analizy złośliwego oprogramowania, aby pomóc w reagowaniu na incydenty, kryminalistyce cyfrowej, dochodzeniach, wydobywaniu informacji TI i nie tylko.
Zarządzanie i inni decydenci
Chociaż TIP kładą duży nacisk na reputację i analizę zagrożeń operacyjnych, niektóre z nich obejmują również źródła danych i usług strategicznych TI (tzw. raporty tematyczne kierowane przez człowieka). Te raporty wysokiego szczebla przedstawiają trendy branżowe, godne uwagi wydarzenia lub inne informacje, które mogą pomóc w podejmowaniu decyzji i alokacji zasobów.
Jeśli strategiczne TI jest wymogiem dla potrzeb Twojej organizacji, wskazówki nie są pierwszą rekomendacją od zespołu Bitdefender. Dane faktyczne potwierdzające sprawozdania będą albo skąpe, albo niewystarczające. Lepiej współpracować bezpośrednio z dostawcami TI, koncentrując się na odpowiednich dla Ciebie regionach lub typach zagrożeń.
Kluczowe funkcje
Aby zrozumieć wymagania TIP, ważne jest, aby przeanalizować kilka szczegółów, takich jak źródła danych, istniejący zestaw narzędzi i potrzeby operacyjne.
Źródło danych
Żaden dostawca TI nie może zapewnić pełnego wglądu we wszelkiego rodzaju zagrożenia. Nawet globalnym dostawcom, którzy mają przyzwoity zasięg, będzie brakować potrzebnej głębi informacji, możliwego do zastosowania progu pewności lub szybkości przekazywania informacji. Niektórzy dostawcy mogą zapewnić cenne informacje na temat luk w zabezpieczeniach, inni wyróżniają się dużą ilością surowych danych gotowych do scenariuszy MRTI (Machine-Readable Threat Intelligence), a jeszcze inni specjalizują się w ułatwianiu nawigacji w ciemnej sieci.
Pierwszym krokiem w podjęciu decyzji, w jaką platformę do analizy zagrożeń zainwestować, jest zrozumienie różnych źródeł TI i podjęcie decyzji, którzy dostawcy lub typy dostawców są ważni dla Twojej organizacji.
Rodzaj analizy zagrożeń
Medium TI nie ma jednolitej nomenklatury dla różnych typów informacji o zagrożeniach. Dlatego, aby szybko podsumować informacje, warto zdefiniować konkretne typy TI. Bitdefender definiuje różne typy TI w następujący sposób:
- Reputacja TI: surowe dane z czujników na żywo, zwykle wskaźniki kompromisu, takie jak skróty plików, adresy IP, domeny itp.
- Operacyjny TI: wzbogacone i skorelowane IoC, przypisane różnym aktorom zagrażającym lub typom zagrożeń, takim jak oprogramowanie ransomware, phishing i oszustwa itp.
- Strategiczny TI: raporty okresowe i raporty na żądanie dotyczące zainteresowań klientów, takie jak podmioty zagrażające, typy złośliwego oprogramowania, rozwój sytuacji geopolitycznej i inne.
Przed zainwestowaniem w TIP ważne jest, aby zdecydować, jakiego rodzaju analizy zagrożeń potrzebuje Twoja organizacja. Jeśli chcesz ulepszyć automatyczne wykrywanie, najcenniejsza jest reputacja TI. Jeśli prowadzisz SOC, operacyjny TI może być szczególnie przydatny w dochodzeniach, wykrywaniu zagrożeń lub reagowaniu na incydenty. Jeśli potrzebujesz wkładu w podejmowanie decyzji, idealnym rozwiązaniem będzie to zawierające strategiczne TI.
Integracja i standaryzacja
Dostawcy TI używają różnych formatów do dostarczania danych, co może prowadzić do niezgodności między niektórymi dostawcami a rozwiązaniami istniejącymi w Twojej organizacji. Wskazówki odgrywają główną rolę w standaryzacji informacji pochodzących od dostawców, ale mogą być również niekompatybilne z niektórymi rozwiązaniami.
Na przykład, jeśli korzystasz już ze Splunk lub QRadar, poszukaj platformy, która umożliwi płynną integrację z nim. Jeśli już korzystasz z formatu MISP w przypadku niektórych TI, ale chcesz go ulepszyć za pomocą komercyjnych kanałów, sprawdź, czy preferowany TIP obsługuje integrację MISP.
Jeśli zidentyfikujesz potencjalne niezgodności między obecnymi rozwiązaniami a TIP, uwzględnij zasoby programistyczne wymagane do analizowania danych lub tworzenia konektorów.
Dodatkowe funkcje
Dodatkowe funkcje mogą w niektórych przypadkach stworzyć lub zepsuć platformy analizy zagrożeń. Na przykład narzędzia do analityki i wizualizacji danych dotyczące odpowiedniego krajobrazu zagrożeń są kluczowe dla analityków SOC i badaczy bezpieczeństwa. Inne funkcje, które należy wziąć pod uwagę, obejmują zarządzanie alertami, narzędzia do eksploracji MITER TTP, ceny, integrację z piaskownicą, ocenę zagrożeń i pewności lub zasięg ciemnej sieci.
Platforma, portal czy licencjonowanie bezpośrednie?
Platformy analizy zagrożeń mają wiele zalet, takich jak ujednolicenie wielu źródeł TI, normalizacja danych dla partnerów i oferowanie dodatkowych narzędzi analitycznych. Istnieją jednak również wady tego rozwiązania.
Licencjonowanie TI poprzez TIP może być droższe niż bezpośrednie skontaktowanie się ze źródłem. Ponadto duże ilości danych mogą być wadą, jeśli nie masz zasobów, aby przekształcić je w przydatne informacje. Mogą powodować zmęczenie i generować dużo szumu w systemach.
Alternatywą jest praca z TI dostarczanymi bezpośrednio od globalnych dostawców. Zwykle jest udostępniany za pośrednictwem prostych interfejsów API i w różnych formatach. Jest to opcja zalecana, jeśli chcesz mieć pełną kontrolę nad tym, jakiego rodzaju TI kupujesz, w jakich ilościach, poziomie szczegółowości i sposobie jego integracji z istniejącą infrastrukturą.
Bardziej dojrzali dostawcy mogą również oferować dostęp do dedykowanego portalu Threat Intelligence Portal, w którym centralizują wszystkie swoje narzędzia IT i udostępniają je za pośrednictwem zoptymalizowanego, prostego interfejsu użytkownika. Jest to opcja zalecana dla analityków SOC i badaczy bezpieczeństwa, którzy korzystają z TI podczas dochodzeń.
Kluczowe wnioski
Wskazówki z platformy analizy zagrożeń mogą zapewnić ogromną wartość właściwemu integratorowi, ale nie są najlepszym rozwiązaniem dla każdego. Decyzja o zakupie zależy od rodzaju potrzebnego TI, jego zastosowania i budżetu.
Jeśli chcesz dowiedzieć się, w jaki sposób platforma analizy zagrożeń Bitdefender może pomóc Twojej organizacji w zachowaniu wysokiego poziomu cyberbezpieczeństwa, to sprawdź tę stronę.