Cos'è una Threat Intelligence Platform (TIP)?
Raccogli, gestisci e condividi informazioni sulle minacce.
Purpose of a Threat Intelligence Platform
L'odierno panorama della sicurezza informatica è caratterizzato da alcuni problemi comuni: enormi volumi di dati, mancanza di analisti e attacchi contraddittori sempre più complessi. Le attuali infrastrutture di sicurezza offrono molti strumenti per gestire queste informazioni ma poca integrazione tra di essi. Ciò si traduce in un frustrante impegno ingegneristico per la gestione dei sistemi e in un inevitabile spreco di risorse e tempo già limitati.
Threat Intelligence Platform (TIP) Definition:
Threat Intelligence Platforms can be deployed as a SaaS or on-premise solution to facilitate the management of cyber threat intelligence and associated entities such as actors, campaigns, incidents, signatures, bulletins, and TTPs. It is defined by its capability to perform four key functions:
- Aggregazione di informazioni da più fonti
- Gestione, normalizzazione, arricchimento e valutazione del rischio dei dati
- Integrazioni con i sistemi di sicurezza esistenti
TIP definito
Minaccia
La possibilità per qualsiasi altra parte di accedere o interferire con le normali operazioni pianificate di una rete di informazioni. Le minacce più comuni oggi includono:
L'intelligenza
Conoscenza di una minaccia acquisita dagli analisti umani o identificata da eventi all'interno del sistema. Intelligenza è un termine generico, ma un TIP offre agli analisti tipi specifici di intelligenza che possono essere automatizzati, tra cui:
piattaforma
Un prodotto confezionato che si integra con gli strumenti e i prodotti esistenti, presentando un sistema di gestione dell'intelligence sulle minacce che automatizza e semplifica gran parte del lavoro che gli analisti hanno tradizionalmente svolto da soli.
Chi utilizza un TIP?
Una piattaforma di Threat Intelligence è utile a molte parti all'interno di un'organizzazione.
Team del Security Operations Center (SOC)
I clienti ThreatStream possono facilmente provare e acquistare informazioni sulle minacce dai partner dell'APP Store. Trova l'intelligence giusta per la tua organizzazione, settore, area geografica, tipo di minaccia e altro ancora.
Threat intelligence teams
ThreatStream customers can trial and purchase data enrichment services, sandboxes, and other analytic tools directly from Anomali APP Store partners. Identify the right enrichment data and analysis tools to add context to your indicators.
Management and executive teams
ThreatStream provides the industry’s most complete set of proven, turnkey integrations into leading enterprise SIEM, EDR, firewall, SOAR, and other security controls, delivering fast time to value.
Aggregazione dei dati
Una piattaforma di Threat Intelligence raccoglie e riconcilia automaticamente i dati provenienti da varie fonti e formati. L'acquisizione di informazioni da una varietà di fonti è una componente fondamentale per disporre di una solida infrastruttura di sicurezza. Le fonti e i formati supportati includono:
Fonti:
Formati:
Normalizzazione e arricchimento dei dati
La raccolta di dati su un'ampia varietà di feed comporta milioni di indicatori da ordinare ogni giorno, il che rende fondamentale l'elaborazione dei dati in modo efficiente. L'elaborazione prevede diverse fasi ma è composta da tre elementi principali: normalizzazione, deduplicazione e arricchimento dei dati.
Questi sono costosi da affrontare per quanto riguarda lo sforzo computazionale, il tempo degli analisti e il denaro. Una piattaforma di Threat Intelligence automatizza questi processi, permettendo agli analisti di analizzare anziché gestire i dati raccolti.
Integrazioni
I dati che sono stati normalizzati, controllati e arricchiti devono quindi essere consegnati a sistemi in grado di utilizzarli per l'applicazione e il monitoraggio automatizzati. Lo scopo è fornire a queste tecnologie quella che è essenzialmente una «cyber no-fly list», molto simile al tipo di no-fly list che potresti incontrare in aeroporto. In base alle conoscenze di base, determinati IP, domini e altro non dovrebbero essere accessibili o consentiti all'interno della rete.
Una piattaforma di Threat Intelligence collabora con i fornitori di sistemi SIEM e di gestione dei log dietro le quinte, estraendo gli indicatori per passare alle soluzioni di sicurezza all'interno dell'infrastruttura di rete del cliente. L'onere di stabilire e mantenere queste integrazioni viene quindi sollevato dagli analisti e trasferito invece ai fornitori SIEM e TIP.
Le possibili integrazioni dei prodotti di sicurezza includono:
Analisi e risposta
Una piattaforma di Threat Intelligence fornisce funzionalità che aiutano l'analisi delle potenziali minacce e la corrispondente mitigazione. Più specificamente, queste funzionalità aiutano gli analisti a:
Un TIP prenderà in considerazione tutti i dati, gli arricchimenti e gli altri contesti disponibili e visualizzerà queste informazioni in modi che forniscono valore, ad esempio in dashboard, righelli, avvisi e note.
Una piattaforma di Threat Intelligence aiuta inoltre gli analisti automatizzando i processi di ricerca e raccolta, riducendo significativamente i tempi di risposta. Alcune funzionalità specifiche della parte di analisi di a Piattaforma di threat intelligence includere:
Scopri di più sulle piattaforme di Threat Intelligence
