Это перевод статьи Джулио Мартина, инженера Anomali. Оригинал в блоге Anomali.
В этом посте мы рассмотрим несколько популярных вариантов использования Anomali Enterprise, одного из основных компонентов платформы Anomali Threat Platform.
Anomali Enterprise — это мощный инструмент, который решает общеотраслевую дилемму о том, как эффективно использовать киберразведку. Ключевая проблема большинства инструментов ИБ заключается в том, что они не понимают TTP, кампании, бюллетени угроз и другие компоненты модели угроз и, следовательно, не могут обеспечить контекст при обнаружении индикаторов взлома (IOC). Anomali Enterprise решает эту серьезную проблему, отображая взаимосвязи по всей модели угроз при выявлении IOC в вашей среде.
1. Развивайтесь от детекции IOC к использованию всей модели угроз
Anomali Enterprise позволяет работать с киберразведкой на стратегическом уровне благодаря раскрытию взаимоотношений между элементами модели угроз. Это позволяет вам развивать свою зрелость и двигаться от простого «атомарного индикатора», поиска и блокирования отдельных IOC, к анализу обширной информации об угрозе, на основе которого можно проводить расследования и осуществлять реагирование на инциденты.
В рамках модели угроз вы, среди прочего, сможете увидеть контекст, в том числе соответствующие бюллетени об угрозах, инциденты, профили акторов (злоумышленников), кампании, TTP и уязвимости.
2. Пользуйтесь преимуществами MITRE ATT&CK
MITRE ATT&CK (Тактики, техники и общеизвестные знания о злоумышленниках) — это живая, растущая база знаний о вредоносных деятелях, основанная на реальных наблюдениях. Anomali интегрировала этот фреймворк в Anomali Enterprise, позволяя сопоставлять стратегическую информацию, такую как бюллетени об угрозах, профили акторов, TTP и кампании, охватывающие все аспекты ATT&CK. Например, этот функционал позволяет связывать индикаторы с акторами, что позволяет анализировать их TTP.
Матрица ATT&CK визуально интегрирована в Anomali Enterprise и подсвечивает TTP, которые используются индикатором, моментально обеспечивая дополнительный контекст вокруг рассматриваемой угрозы.
3. Приоритезируйте усилия на основе информации об индикаторах и найденных уязвимостях для оценки сводного уровня риска хостов
Anomali Enterprise позволяет рассчитывать сводный уровень риска для активов в вашей среде. Интегрируя данные из сканеров уязвимостей, таких как Qualys, и сработки индикаторов киберразведки, направленных на определенные активы, а также имея возможность назначать различные критичности для каждого актива или категорий активов, Anomali Enterprise становится центральной точкой принятия решений о расстановке приоритетов в Вашей инфраструктуре.
Каждый уровень риска вычисляется с использованием совокупности информации сканера уязвимости, критичности активов и обнаружения индикаторов киберразведки, предоставляя аналитику наглядную картину риска затронутых хостов.
4. Оценивайте историческую подверженность вновь выявленным угрозам
Типичный подход к использованию киберразведки внутри организаций состоит в отправке индикаторов в SIEM для поиска совпадений. Хотя такой способ может быть достаточным в некоторых сценариях, он имеет и явные ограничения:
- Как правило, SIEM ограничены с точки зрения сроков хранения данных. Обычно исторические массивы данных хранятся в холодном хранилище, что означает восстановление журналов из резервной копии для любого ретроспективного поиска или форензики.
- Совпадения требуют анализа исходных данных, что может существенно влиять на производительность и загруженность системы.
- Сработки не не используют все данные модели угрозы.
Anomali Enterprise — это специализированный инструмент, который решает эти распространенные проблемы. Экспортируя исторические события из SIEM и сохраняя только те метаданные, которые могут быть сопоставлены с индикаторами киберразведки, архитектура Anomali Enterprise позволяет достигать следующих преимуществ:
- Срок хранения событий практически безграничен.
- Поиск по большим объемам данных совершается практически в режиме реального времени.
- Результаты являются более полными, поскольку они проверяются по всей модели угрозы.
Согласно недавнему исследованию Ponemon, среднее время обнаружения проникновения составляет 191 день. Поэтому организациям важно не только обнаруживать текущие угрозы, но и иметь возможность оценивать исторический риск подверженности каждой вновь выявленной атаке.
Anomali Enterprise позволяет автоматизировать ретроспективный поиск вновь выявленных исторических индикаторов в вашей среде на скоростях и в масштабах, к которым другие инструменты даже не могут приблизиться.
5. Комплексный поиск IOC в вашей среде на базе нескольких инструментов
Компании обычно используют множество инструментов в своем стеке безопасности. Например, компания может использовать технологии EDR, IDS, SIEM и NGFW. Каждый из них генерирует значительные объемы журнальных даных.
Anomali Enterprise позволяет агрегировать данные из различных инструментов, в том числе упомянутых выше, а также из других распространенных источников, в том числе TAP, SPAN, syslog и BEATS. Эта возможность позволяет Anomali Enterprise сообщать о сработках индикаторов сразу по всем инструментам, которые компания использует в своем стеке безопасности.
Вы можете заказать демонстрацию и тестирование Anomali Threat Platform в компании Тайгер Оптикс.