Угрожающие субъекты диверсифицируют свои методы, тактики и процедуры (TTP) монетизации с помощью новых методов атак, поскольку развитие технологий снизило входной барьер, а появление ransomware как услуги (RaaS) усугубило проблему.
Для того чтобы организация могла соответствовать такому уровню сложности, анализ угроз должен стать жизненно важной частью ее системы безопасности, поскольку он предоставляет действенную информацию о текущих угрозах и помогает защитить предприятия от вредоносных атак.
Что такое платформа анализа угроз?
Платформа анализа угроз (Threat Intelligence Platform, TIP) — это технология, позволяющая организациям собирать, анализировать и агрегировать данные об угрозах из различных источников. Эта информация позволяет компаниям проактивно выявлять и смягчать потенциальные риски безопасности и защищаться от будущих атак.
Анализ киберугроз является важным компонентом безопасности предприятия. Отслеживая последние киберугрозы и уязвимости, ваша организация может обнаруживать и реагировать на потенциальные нарушения безопасности до того, как они нанесут ущерб вашим ИТ-активам.
Как работает платформа анализа угроз?
Платформы анализа угроз помогают компаниям снизить риски нарушения безопасности данных, собирая данные об угрозах из различных источников, включая разведданные из открытых источников (OSINT), глубокую и темную паутину, а также собственные каналы анализа угроз.
TIP анализируют данные, выявляют закономерности, тенденции и потенциальные угрозы, а затем передают эту информацию команде SOC и другим системам безопасности, таким как брандмауэры, системы обнаружения вторжений и системы управления информацией о безопасности и событиями (SIEM), чтобы уменьшить ущерб для вашей ИТ-инфраструктуры.
Преимущества платформ анализа угроз
Платформы анализа угроз предоставляют организациям различные преимущества, включая:
- Повышение уровня безопасности
- Лучшее распределение ресурсов
Другие преимущества TIP включают автоматизированное реагирование на угрозы, экономию затрат и повышение прозрачности.
Основные характеристики платформ анализа угроз
Основными характеристиками платформ для анализа угроз являются:
- Возможность сбора данных
- Определение приоритетов угроз в режиме реального времени
- Анализ угроз
- Возможность мониторинга глубокого и темного Интернета
- Интеграция с существующими инструментами и системами безопасности
Лучшие TIP могут собирать, нормализовать, агрегировать и организовывать данные анализа угроз из различных источников и форматов.
AutoFocus
AutoFocus от Palo Alto Networks — это облачная платформа анализа угроз, которая позволяет выявлять критические атаки, проводить предварительную оценку и принимать меры по исправлению ситуации без привлечения дополнительных ИТ-ресурсов. Сервис собирает данные об угрозах из сети вашей компании, отрасли и глобальных каналов разведки.
AutoFocus предоставляет информацию от Unit 42 — группы исследования угроз Palo Alto Network — о последних кампаниях вредоносного ПО. Отчет об угрозах можно просмотреть на вашей приборной панели, что дает вам дополнительную информацию о методах, тактике и процедурах (TTP) злоумышленников.
Ключевые особенности:
- Исследовательский канал 42 подразделения обеспечивает обзор последних вредоносных программ с информацией об их тактике, методах и процедурах.
- Ежедневно обрабатывает 46 миллионов реальных DNS-запросов.
- Получает информацию из сторонних источников, таких как Cisco, Fortinet и CheckPoint.
- Инструмент предоставляет сведения об угрозах инструментам управления информацией о безопасности и событиях (SIEM), собственным системам и другим инструментам сторонних производителей с помощью открытого и гибкого RESTful API.
- Включает предварительно созданные группы тегов для программ-вымогателей, банковских троянов и инструментов взлома.
- Пользователи также могут создавать пользовательские теги на основе своих критериев поиска
- Совместимость с различными стандартными форматами данных, такими как STIX, JSON, TXT и CSV
Цены на инструмент не объявлены на сайте Palo Alto Network. Покупателям следует обращаться в отдел продаж компании для получения ценовых предложений, также можно запросить демонстрацию продукта, чтобы узнать больше о возможностях решения и о том, как его можно использовать на вашем предприятии.
ManageEngine Log360
ManageEngine Log360 — это инструмент управления журналами и SIEM, который обеспечивает компаниям видимость сетевой безопасности, аудит изменений в Active Directory, мониторинг серверов exchange и публичного облака, а также автоматизацию управления журналами.
Log360 объединяет возможности пяти инструментов ManageEngine, включая ADAudit Plus, Event Log Analyzer, M365 Manager Plus, Exchange Reporter Plus и Cloud Security Plus.
Модули анализа угроз Log360 включают в себя базу данных, содержащую глобальные вредоносные IP-адреса, и процессор каналов угроз STIX/TAXII, который часто извлекает данные из глобальных каналов угроз и обновляет их.
Ключевые особенности:
- Включает интегрированные возможности брокера безопасности доступа к облаку (CASB) для мониторинга данных в облаке, обнаружения теневых ИТ-приложений и отслеживания санкционированных и несанкционированных приложений.
- Обнаружение угроз в корпоративных сетях, конечных точках, брандмауэрах, веб-серверах, базах данных, коммутаторах, маршрутизаторах и других «облачных» источниках.
- Использует систему MITRE ATT&CK для определения приоритетности угроз, возникающих в цепочке атак.
- Обнаружение атак включает корреляцию в реальном времени на основе правил, анализ поведения пользователей и объектов (UEBA) на основе ML, а также MITRE ATT&CK на основе сигнатур.
- Включает интегрированное предотвращение потери данных (DLP) для eDiscovery, оценку рисков данных, защиту с учетом содержимого и контроль целостности файлов.
- Аналитика безопасности в режиме реального времени
- Интегрированное управление соответствием нормативным требованиям
Log360 можно загрузить одним файлом и поставляется в двух редакциях: бесплатной и профессиональной. Пользователи могут воспользоваться расширенными возможностями профессиональной версии в течение 30-дневного пробного периода, после чего эти возможности будут перенесены в бесплатную версию.
AlienVault USM
Платформа AlienVault USM разработана компанией AT&T. Решение обеспечивает обнаружение угроз, оценку, реагирование на инциденты и управление соответствием нормативным требованиям на единой унифицированной платформе.
AlienVault USM получает обновления от AlienVault Labs каждые 30 минут о различных типах атак, возникающих угрозах, подозрительном поведении, уязвимостях и эксплойтах, которые они обнаруживают по всему ландшафту угроз.
AlienVault USM обеспечивает единое представление архитектуры безопасности предприятия, позволяя контролировать сети и устройства на месте или в удаленных местах. Оно также включает возможности SIEM, обнаружение вторжений в облаке для AWS, Azure и GCP, обнаружение вторжений в сеть (NIDS), обнаружение вторжений на хост (HIDS), а также обнаружение и реагирование на конечные точки (EDR).
Ключевые особенности:
- Обнаружение ботнетов в режиме реального времени
- Идентификация командно-контрольного (C&C) трафика
- Обнаружение современных постоянных угроз (APT)
- Сигнатуры IDS для сетей и узлов
- Централизованный сбор событий и журнальных данных
- Обнаружение утечки данных
- AlientVault осуществляет мониторинг облачных и локальных сред из одного окна, включая AWS, Microsoft Azure, Microsoft Hyper-V и VMWare.
Цены на это решение начинаются от $1 075 в месяц за базовый тарифный план. Потенциальные покупатели могут подписаться на 14-дневную бесплатную пробную версию, чтобы узнать больше о возможностях инструмента.
Qualys Threat Protection
Qualys Threat Protection — это облачная служба, предоставляющая расширенные возможности защиты от угроз и реагирования на них. Он включает индикаторы угроз уязвимостей в режиме реального времени, сопоставляет результаты исследований из Qualys и внешних источников, а также постоянно соотносит информацию о внешних угрозах с вашими уязвимостями и инвентаризацией ИТ-активов.
С помощью Qualys threat protection вы можете вручную создать пользовательскую приборную панель из виджетов и поисковых запросов, а также сортировать, фильтровать и уточнять результаты поиска.
Ключевые особенности:
- Обеспечивает прямую трансляцию раскрытия уязвимостей
- RTI для атак нулевого дня, публичных эксплойтов, активных атак, высокого бокового движения, высокой потери данных, отказа в обслуживании, вредоносного ПО, отсутствия патча, набора эксплойтов и легкого эксплойта.
- Включает поисковую систему, позволяющую искать конкретные активы и уязвимости путем создания специальных запросов.
- Система защиты от угроз Qualys непрерывно сопоставляет информацию о внешних угрозах с вашими уязвимостями и инвентаризацией ИТ-активов
Компания предлагает 30-дневную бесплатную пробную версию, чтобы покупатели могли изучить возможности инструмента перед принятием решения о покупке.
SOCRadar
SOCRadar описывает себя как SaaS-платформу Extended Threat Intelligence (XTI), которая сочетает в себе управление поверхностью внешних атак (EASM), услуги по защите от цифровых рисков (DRPS) и разведку киберугроз (CTI).
Эта платформа повышает уровень безопасности вашей компании, обеспечивая видимость инфраструктуры, сети и данных. Возможности SOCRadar включают анализ угроз в режиме реального времени, автоматическое глубокое и темное веб-сканирование, а также интегрированное реагирование на инциденты.
Ключевые особенности:
- Интегрируется с существующими стеками безопасности, такими как SOAR, EDR, MDR и XDR, а также SIEM-решениями.
- Имеет более 150 источников информации
- Решение предоставляет информацию о различных рисках безопасности, таких как вредоносное ПО, ботнет, ransomware, фишинг, плохая репутация, взломанные веб-сайты, распределенные атаки типа «отказ в обслуживании» (DDOS), «медовые точки» и злоумышленники.
- Мониторинг по отраслям и регионам
- Картирование MITRE ATT & CK
- Имеет более 6 000 комбо-списков доступа (учетные данные и кредитные карты)
- Мониторинг глубокого и темного Интернета
- Обнаружение скомпрометированных учетных данных
SOCRadar имеет две редакции: анализ киберугроз для команд SOC (CTI4SOC) и расширенный анализ угроз (XTI). Оба плана доступны в двух версиях — бесплатной и платной. Стоимость плана CTI4SOC начинается от $9 999 в год.
Solarwinds Security Event Manager
SolarWinds Security Event Manager — это SIEM-платформа, которая собирает, нормализует и коррелирует данные журналов событий с более чем 100 предварительно установленных коннекторов, включая сетевые устройства и приложения.
С помощью SEM вы можете эффективно администрировать, управлять и контролировать политики безопасности и защищать свою сеть. Он анализирует собранные журналы в режиме реального времени и использует собранную информацию для уведомления о проблеме до того, как она нанесет серьезный ущерб инфраструктуре предприятия.
Ключевые особенности:
- Мониторинг вашей инфраструктуры 24 часа в сутки 7 дней в неделю
- SEM имеет 100 предварительно встроенных коннекторов, включая Atlassian JIRA, Cisco, Microsoft, IBM, Juniper Sophos, Linux и др.
- Автоматизирует управление рисками соответствия нормативным требованиям
- SEM включает мониторинг целостности файлов
- SEM собирает журналы, коррелирует события и отслеживает списки данных об угрозах — все это на одном стекле.
- Платформа имеет более 700 встроенных правил корреляции.
Solarwinds Security Event Manager предлагает 30-дневную бесплатную пробную версию с двумя вариантами лицензирования: подписка, стоимость которой начинается от $2 877, и бессрочное лицензирование, стоимость которого начинается от $5 607. Лицензирование инструмента основано на количестве узлов, отправляющих информацию о журналах и событиях.
Tenable.sc
Tenable.sc, созданная на основе технологии Nessus, представляет собой платформу управления уязвимостями, которая позволяет получить представление о состоянии безопасности и ИТ-инфраструктуры вашей организации. Она собирает и оценивает данные об уязвимостях в вашей ИТ-среде, анализирует тенденции развития уязвимостей во времени и позволяет определить приоритеты и предпринять корректирующие действия.
Семейство продуктов Tenable.sc (Tenanble.sc и Tenable.sc+) позволяет вам выявлять, исследовать, определять приоритеты и устранять уязвимости, чтобы вы могли защитить свои системы и данные.
Ключевые особенности:
- Это упростило соответствие отраслевым стандартам, таким как CERT, NIST, DISA STIG, DHS CDM, FISMA, PCI DSS и HIPAA/HITECH
- Его функции пассивного обнаружения активов позволяют вам обнаруживать и идентифицировать ИТ-ресурсы в вашей сети, такие как серверы, настольные компьютеры, ноутбуки, сетевые устройства, веб-приложения, виртуальные машины, мобильные устройства и облака
- Исследовательская группа Tenable регулярно обновляет информацию о последних проверках уязвимостей, исследованиях нулевого дня и контрольных показателях конфигурации, чтобы помочь вам защитить свою организацию
- Tenable поддерживает библиотеку из более чем 67 тыс. распространенных уязвимостей и подверженностей (CVE)
- Обнаружение ботнетов в режиме реального времени и командно-контрольный трафик
- Tenable.sc director включает в себя единую панель управления, которая поможет вам просматривать вашу сеть и управлять ею во всех доступных местах консоли sc
Tenable.sc лицензия выдается на год, а стоимость лицензии на 1 год для каждого актива начинается с 5364,25 долларов США. Вы можете сэкономить деньги, купив многолетнюю лицензию.
Заключение
В этом руководстве были проанализированы семь платформ для анализа угроз и их выдающиеся функции. Наилучший вариант для вас зависит от ваших потребностей и предпочтений в области анализа угроз. Вы можете запросить демонстрацию продукта или зарегистрироваться на бесплатную пробную версию, прежде чем выбрать конкретный инструмент.
Это позволит вам протестировать его, чтобы определить, будет ли он служить целям вашей компании. Наконец, убедитесь, что они предлагают качественную поддержку, и подтвердите, как часто они обновляют свои каналы угроз.
