用于分析有关威胁的信息的平台如何工作以及该领域的高级软件提供了哪些功能;基于ROI4CIO分析表的产品比较。
高级威胁(APT)数量的疯狂增加以及检测到攻击所需处理的数据量的增加,每天都使安全分析人员的工作更加困难。近年来,信息安全工程师的工作通常是手动筛选数百种警报,以发现真正的威胁。由于组织生成的数据集,手动威胁搜索团队不再有效。使用资源和软件来解决此问题,但通常由于集成到组织的基础结构中而妨碍了新工具的引入。
威胁情报平台可自动执行操作,并将上下文添加到基本威胁情报(源)中。提要是带有危害指标的数据流,可用来识别潜在威胁:恶意文件,IP地址和与犯罪活动相关的域的哈希。流程自动化释放了负担繁重的劳动力,提供了准确的实时分析工具,可以对威胁进行快速,准确的响应。
威胁情报平台之所以出现,是因为有关内部和外部的有关当前和正在出现的IT安全威胁的可用数据量很大。监视威胁(例如更新防病毒产品)的公司多年来一直维护着全球威胁数据库,其中包括在数百万台客户端计算机和其他设备上运行的软件代理。该数据与其他来源的提要一起构成平台工具。
什么是威胁情报平台?
威胁分析平台(Threat Intelligence Platform,TIP)-组织用于检测,阻止和消除对信息安全的威胁的软件解决方案。该平台集成了多个威胁情报渠道,可以与以前的事件进行比较,并为安全团队生成警报。 TIP与现有的安全信息和事件管理(SIEM)解决方案集成,并为警报分配值,并根据紧急程度对其进行优先级排序。
该平台的优势是信息安全团队能够与其他部门和外部安全专家安全地共享有关企业网络安全的信息。该系统收集和分析威胁数据,协调利益相关者的策略和行动。当安全团队检测到威胁时,所有相关部门都将参与调查。由于具有同步动作和管理工作的能力,该平台在关键时刻必不可少。
为什么需要平台?
与电影一样,黑客在生活中会立即造成伤害,因此黑客可以长时间隐藏在您的网络中。在这方面,安全正在将其重点从保护和响应转移到预防措施上-不是消除攻击的后果,而是在造成任何损害之前发现并消除威胁。让我们考虑平台执行的任务。
自动化日常任务并节省时间
Ponemon Institute最近对IT安全人员进行的一项调查发现,有84%的受访者认为威胁情报应该是强大安全系统的基本组成部分。根据传统的IS方案,团队对警报进行迭代搜索,以区分真实威胁和虚假警报。而该平台为团队提供了已经丰富的信息,可以确定威胁的类型和严重性,并自动丢弃虚假警报。
提高威胁情报的准确性
人们在重复性的日常任务中做得不好的原因之一是,他们的眼睛有时会变得模糊,最终会出现处理错误。该平台消除了此类错误的可能性。
查找自己的漏洞
通常,安全团队通常更关注外部威胁,而不是内部威胁。提示扫描漏洞,并提醒您IT基础架构和第三方生态系统中的弱点,从而有助于主动解决弱点并增强系统。
加速数据处理
手动数据处理过程既费力又费时。当需要即时反应来控制突围时,这成为进攻期间的决定性因素。
确保对威胁的一致反应
自动化平台为公司网络防御过程中涉及的每个人提供了相关的安全信息。这意味着整个团队将同时接收必要的信息,将对策略和安全流程进行协调。
工作原理
威胁情报平台具有三个主要功能:
- 聚合是渠道的集合,有关威胁的信息通过这些渠道进入集中供稿。
- 分析-使用指标识别和识别安全威胁的数据处理。
- 行动-将威胁数据通知事件响应团队。
这些功能由平台通过整个安全系统生命周期的工作流程自动化来实现。与威胁情报安全生命周期相关的阶段:
收集
来自多个渠道的数据汇总,包括STIX,XML,JSON,OpenIOC。重要的是要包含来自内部资源(例如Weblog)和外部资源(例如Internet和黑暗网络)的数据。 Feed越深越好,平台就越有效。
关联
自动化的TIP流程使用标签元数据对数据进行分类和组织,并删除不相关或多余的信息。然后与监督信息进行比较,找到用于检测威胁的模式和对应关系。
语境化
上下文是威胁情报中的关键参数。如果没有它,就很容易将异常与威胁混淆,反之亦然,从而忽略了真正的威胁。此时,TIP通过添加规范(IP地址,网络和域阻止列表)为排序后的数据提供上下文,从而消除误报,为团队提供有关潜在威胁的尽可能多的信息。
威胁分析
TIP实时分析威胁指标以建立数据关系。此外,安全分析人员可以“传播”此信息以发现隐藏的威胁。
积分
威胁情报平台与组织使用的安全工具集成在一起,以最大化信息流。在此阶段,平台将收集和分析的数据传输到相应部门进行处理。
当平台检测到威胁时,会向信息安全组发送有关需要启动事件响应的警告。
行动
有效的威胁情报平台具有响应能力。集成的TIP与信息交换与分析中心(ISAC)和信息交换与分析组织(ISAO)合作,为他们提供开发安全工具和应用程序所需的信息。
供应商交付模型
威胁情报服务提供商只是安全领域的新成员,因此提供的服务类型仍然相差很大。
其中一些服务仅提供清除误报的供稿。最常见的付费服务提供汇总和关联的提要(两个或多个),自定义警报以及针对客户风险状况的警报。
威胁情报服务的另一种类型是聚合和关联数据,并将信息自动合并到安全设备中-防火墙,安全信息和事件管理,行业威胁评估以及安全咨询。
每种类型的威胁情报平台都可通过订阅获得,通常有两个或三个定价层,并通过云交付,或者很少在内部部署或混合部署。
由于此类平台的高成本,以及由于需要用于本地部署的设备,因此此类服务现在针对大型组织和企业。但是,随着云服务扩展到较低的细分市场,威胁情报工具也将变得更加易于访问。
平台的成本与威胁情报服务本身的成本一样多。仅数据链接一个月就可能花费数千美元,但相关的成本包括维护由技术人员和分析人员组成的24/7安全运营中心的成本。相比之下,托管安全服务通常每月花费数万美元。最便宜的服务需要客户端更多的人力和时间。
由于威胁情报服务彼此之间非常不同,因此在选择方面的主要挑战是了解如何使用信息并让必要的人员适当地使用此服务。
我们根据以下特征比较了六个ROI4CIO威胁情报平台:
- 自己的饲料供应商或饲料预处理分析中心;
- 开箱即用的饲料供应商数量;支持的接收提要的方式;
- 有可能从外部来源(例如,WHOis,PassiveDNS,VirusTotal等)丰富数据;
- 在SIEM事件中搜索匹配项;
- 通过与第三方信息安全系统集成来直接响应事件;
- 使用复杂算法(剧本)的事件响应;
- 通过REST API集成的可能性;
- 在提要对象和内部工件之间建立链接图的功能。
ThreatQ通过ThreatQuotinet
ThreatQ是一个开放且可扩展的威胁情报平台,可为安全团队提供提高安全性并进行成功的威胁缓解和管理操作所需的上下文和高级自定义。
ThreatQuotient是一家成立于2013年的数字安全公司,该产品优先考虑威胁并自动执行流程以支持决策,同时充分利用有限的资源。该公司专门从事事件响应,威胁搜寻,网络钓鱼,警报分类和漏洞管理。
ThreatQ平台是ThreatQuotient的旗舰解决方案。该平台通过提供上下文并保持最新数据,为SOC分析人员,事件响应专家和分析人员提供了灵活性,可见性和控制能力。
工作原理
解决方案威胁库是外部威胁情报的中央存储库,其中补充并增强了内部威胁和事件数据,以针对您的独特业务环境定制最新的上下文信息。
使用集成的威胁库,自适应工作台,Open Exchange和ThreatQ调查,威胁分析师可以比安全运营中心更快地检测,调查并采取行动。
ThreatQ与您现有的流程和技术一起使用,以提高现有基础架构的效率-该平台使客户可以更深入地了解其安全资源。 Open Exchange ThreatQ库使用行业标准的接口和SDK / API来自定义,工具,命令和工作流的集成,从而为现有的安全投资增加价值。
界面
特征
自己的饲料供应商/饲料预处理分析中心:存在
开箱即用的饲料供应商数量: 100多种
支持的饲料接收方法: CSV,JSON
可以从外部来源(例如-WHOis,PassiveDNS,VirusTotal等)丰富数据。 ):目前
在SIEM事件中搜索匹配项:目前
通过与第三方信息安全系统集成来直接对事件做出响应:目前
使用复杂算法(剧本)对事件做出了响应:目前
通过REST API进行集成的
可能性:目前在提要对象与内部工件之间建立链接图的可能性:现在
ThreatStream by异常
Anomali与SIEM和其他日志源集成,可保持历史可见性而无需重复日志。不断分析历史数据,并将其与新的和现有的威胁数据进行比较,以识别违规迹象。
Anomali ThreatStream是一个SaaS威胁情报平台,也可以作为虚拟机本地部署。该工具包括140多个开放源代码渠道,可轻松通过Anomali APP Store纳入商业渠道。
ThreatStream平台的关键功能是调查仪表板,该仪表板用于使自己沉浸在感兴趣的威胁中。在这里,您可以在添加所需的可观察对象时轻松创建新调查-只需将它们分配给用户或团队,并在必要时使用ThreatStream与ServiceNow集成以分配故障单。
工作计划
ThreatStream包含一个内置沙箱,可让您上载和分析文件。您还可以导入情报报告或IoC列表。该产品与许多流行的SIEM集成在一起,包括用于分配研究任务的案例管理功能,支持分析师的工作流程,并允许您与可信赖的合作伙伴进行协作。使用ThreatStream Link,可以直接与企业中的设备交换数据。
除了专有的监视指标外,该平台还可以获取供稿,并使用其自身来源的信息来丰富供稿,将信息可视化并将其分解为各个组成部分,以便更好地理解。
调查报告以STIX,Kill Chain或Diamond格式发布。该平台与Splunk集成,提供了更多有用的工具。
界面
特征
自己的提要供应商/提要预处理分析中心:存在
开箱即用的提要供应商数量: 100多种
支持的提要接收方法: CSV,JSON,HTTP
可以从外部来源(例如-WHOis,PassiveDNS,VirusTotal)丰富数据等):存在
在SIEM事件中搜索匹配项:存在
通过与第三方信息安全系统集成,对事件的直接响应:存在
反应以使用复杂的算法(剧本)事件: N / A
REST API集成的可能性:本
建筑饲料目的和内部工件的链接的曲线图的可能性:本
EclecticIQ平台
EclecticIQ是一个平台,使分析人员能够进行更快,更好和更深入的调查,同时以机器速度传播情报。
EclecticIQ平台可处理来自开源,行业合作伙伴和内部资源的结构化和非结构化威胁数据,这些数据已合并为一个仪表板。该平台既可以部署在云中也可以部署在本地。
EclecticIQ不使用数据收集方法。相反,该公司雇用了一组分析人员,他们不断调查威胁,以结构化的形式收集所有情报,并提供具有实用解决方案的全面概述。
工作计划
该解决方案既是消费者平台又是生产平台。分析人员可以在此处为单个事件创建一个工作区,其中将包含与该事件有关的所有调查。完成后,组织可以将工作空间存档,并在事件再次发生时使其再次处于活动状态。
安全团队可以配置发现警报以伴随当前监视的威胁的出现。它还规范了警报的设置,以搜寻特定实体(恶意软件家族,威胁参与者等),并发出与这些实体相关的任何传入威胁变体的信号。
报表生成器功能演示了EclecticIQ生产环境。她可以根据特定选项创建报告,分析人员可以轻松地向报告中添加信息和上下文。该解决方案使用TLP来防止信息在平台外传播。
界面
特征
自己的供稿供应商/供稿预处理智囊团:存在
开箱即用的供稿供应商数量: 20-100
支持的供稿方式: CSV,JSON,HTTP
可以从外部来源(例如,WHOis,PassiveDNS, VirusTotal等):存在
在SIEM事件中搜索匹配项:存在
通过与第三方信息安全系统集成来对事件进行直接响应:存在
使用复杂算法(剧本)对事件进行响应:不适用
通过REST API进行集成的可能性:存在
在馈送对象和内部工件之间建立链接图的可能性:存在
ThreatConnect平台
ThreatConnect平台旨在了解对手的心态,自动化工作流程并使用情报减轻威胁。 ThreatConnect提供了一套基于分析自动化平台的产品。
ThreatConnect平台提供了自动聚合威胁情报源的功能,使团队摆脱了收集数据的常规任务。 ThreatConnect以其数据聚合功能为基础,与各种分析工具和服务集成在一起,以进一步简化和自动化团队工作。可以部署到云或本地。对于那些希望在多个环境中部署系统的人员,有一个业务流程选项。
工作计划
ThreatConnect研究小组-不断提供新情报的全球知名网络安全分析师。该小组包括来自情报机构和最有见识的分析界的业内最佳分析师。他们策划了TC Identify信息源,该信息源提供了来自100多个开源的经过验证的威胁情报以及来自数十个社区的众包数据。
ThreatConnect使安全团队可以创建和自定义满足特定需求的仪表板,而主仪表板则提供对最近观察到的指标和趋势主题的快速可视化。
该平台的剧本面板提供了数百种应用程序选项,可自动执行几乎所有动作。客户可以创建自己的应用程序或修改现有的应用程序。该平台支持带有标签的复杂过滤,以按行为,地理位置和一系列其他特征对元素进行分类。分析师可以在事件报告详细信息页面中进行协作。
该平台支持多种SIEM集成,尤其是Splunk,可在ThreatConnect和Splunk之间建立双向通信,因此威胁信息直接进入Splunk,团队可以在其中查看威胁摘要和其他信息。
界面
功能
自己的饲料供应商/饲料预处理分析中心:目前
开箱即用的提要提供者数量: 100多种
支持的提要接收方式: CSV,JSON,HTTP
可以从外部来源(例如,WHOis,PassiveDNS,VirusTotal等)丰富数据:当前
在SIEM事件中搜索匹配项:当前
直接通过与第三方信息安全系统集成的事件响应:存在
使用复杂算法(剧本)的事件响应: N / A
通过REST API进行集成的可能性:存在
在馈送对象和内部工件之间建立链接图的可能性:存在
R-Vision威胁情报平台
R-Vision TIP是一个平台,使您可以自动从自由和商业交换渠道收集危害指标,对其进行处理,为它们提供信息,并在内部安全系统中使用它们以及时发现威胁并调查事件。
R-Vision是俄罗斯网络安全系统开发商,自2011年以来一直致力于开发解决方案和服务,以应对当前的网络威胁并确保可靠的信息安全管理。
该公司的平台R-Vision TIP可以自动收集,标准化和完善危害指标,将处理后的数据传输到内部安全措施,使用传感器在组织的基础架构中搜索和检测指标。
支持的有关威胁的信息源包括来自俄罗斯联邦中央银行FinCERT,卡巴斯基,IB集团,IBM X-Force Exchange,AT&T网络安全的数据。一组传感器使平台可以实时监视,追溯搜索组织基础结构中恶意活动的痕迹,并在发生风险时通知安全分析人员。
R-Vision TIP通过收集,规范化和存储来自多个源的数据到单个数据库中,简化了威胁数据的工作,并通过使用传感器监视SIEM,syslog和DNS查询中的相关指标来促进隐藏威胁的识别。
工作计划
提示允许您通过自动将处理后的数据直接直接上传到内部防御中来及时阻止威胁。预处理可以减少使用原始数据时发生的误报次数。支持将指标自动上载到设备Cisco,PaloAlto Networks,Check Point。
R-Vision威胁情报平台允许您实施和自动化所需的指标使用方案。该场景可以包括充实,检测,分发到保护,通知。
该产品的新版本引入了链接图工具。它显示恶意指示器与其他实体的关系,以直观方式显示威胁。该图包含用于按各种属性缩放,过滤和聚类对象的工具。
界面
特征
自己的提要供应商/提要分析中心: N / A
开箱即用的提要供应商的数量: 20-100
支持的提要接收方式: CSV,JSON,HTTP
可以从外部来源丰富数据(例如-WHOis, PassiveDNS,VirusTotal等):存在
在SIEM事件中搜索匹配项:存在
通过与第三方的信息安全系统集成到事件直接反应:本
响应于使用复杂的算法事件(剧本): N / A
通过REST API集成的可能性:本
建筑饲料对象和内部的工件之间的联系的图的可能性: N / A
-
Natalka Chech for ROI4CIO