Анализ киберугроз — это сбор и анализ данных о кибербезопасности из нескольких источников с использованием передовых аналитических алгоритмов. Собирая большие объемы данных о текущих угрозах и тенденциях кибербезопасности и проводя аналитику на основе этих данных, поставщики аналитики угроз могут получать полезные данные и аналитическую информацию, которые помогают их клиентам лучше обнаруживать киберугрозы и готовиться к ним.
Организации сталкиваются с широким спектром разведывательных потребностей, начиная от информации низкого уровня о вариантах вредоносного ПО, используемых в настоящее время в кампаниях атак, и заканчивая информацией высокого уровня, предназначенной для обоснования стратегических инвестиций и разработки политики. По этой причине аналитические данные об угрозах можно разделить на один из трех различных типов:
- Оперативная разведка угроз фокусируется на инструментах (вредоносных программах, инфраструктуре и т. д.) и методах, которые киберхакеры используют для достижения своих целей. Такой тип понимания помогает аналитикам и охотникам за угрозами выявлять и понимать кампании атак.
- Стратегическая разведка угроз находится на высоком уровне и фокусируется на широко распространенных тенденциях в сфере киберугроз. Этот тип анализа угроз ориентирован на руководителей (часто не имеющих опыта работы в области кибербезопасности), которым необходимо понимать киберриски своей организации в рамках стратегического планирования.
- Тактическая разведка угроз фокусируется на выявлении конкретных типов вредоносных программ или других кибератак с использованием индикаторов компрометации. Этот тип информации об угрозах используется решениями по кибербезопасности для обнаружения и блокирования входящих или продолжающихся атак.
Что должна предоставлять информация об угрозах?
Аналитика киберугроз разработана и предназначена для улучшения способности организации минимизировать киберриски, управлять киберугрозами и внедрять аналитику обратной связи во все продукты, защищающие любую из областей атаки. Чтобы эффективно поддерживать стратегию кибербезопасности организации, платформа анализа угроз должна обеспечивать определенную функциональность:
- Разные точки зрения дают разные данные и инсайты. Платформа анализа угроз должна объединять внутренние и внешние источники данных, чтобы обеспечить организации всестороннее представление о киберугрозах, с которыми она, вероятно, столкнется.
- Данные, собранные платформой, могут легко перегружать службу безопасности организации, лишая ее возможности эффективно их использовать. Платформа анализа угроз должна выполнять автоматизированный анализ, сортировку и определение приоритетов разведывательной информации, чтобы гарантировать, что аналитики первыми увидят наиболее важные данные.
- Наличие данных об угрозах в единой централизованной системе (и зависимость от аналитиков, которые вручную распределяют их по своим защитным решениям) ограничивает их эффективность. Платформа анализа угроз должна включать в себя средства интеграции для автоматического распространения данных по всему развертыванию системы безопасности организации.
- Ландшафт киберугроз быстро развивается, а данные разведки угроз быстро устаревают по мере того, как участники киберугроз начинают новые кампании и прекращают другие. Использование автоматизации для ускорения анализа и сбора информации об угрозах необходимо для того, чтобы обеспечить ценность для пользователя.
- Знание о существовании конкретной угрозы — это не то же самое, что знание того, как на нее реагировать. Платформа анализа угроз должна предоставлять действенные рекомендации и информацию о том, как организация может защитить себя от угроз, на которые обращает внимание аналитическая информация.
Как выбрать платформу для анализа угроз
Существует множество различных платформ и каналов сбора информации об угрозах, и в случае сбора информации об угрозах больше — не всегда лучше. Подписка на несколько информационных каналов об угрозах и попытки агрегировать и анализировать их собственными силами могут привести к потоку избыточных и некачественных данных. Вместо этого организация должна выбрать платформу анализа угроз, обладающую следующими качествами:
- Многие кампании по кибератакам длятся всего несколько часов или минут, а это означает, что информация об угрозах, которая обновляется ежедневно, по сути, бесполезна. Эффективная платформа для анализа угроз предоставит информацию, основанную на анализе данных в режиме реального времени.
- Различные кампании по кибератакам нацелены на различные факторы (размер компании, местоположение, отрасль и т. д.). Платформа анализа угроз должна обеспечивать видимость угроз, с которыми сталкивается более крупный рынок, а также угроз, нацеленных на конкретную отрасль организации.
- Платформа анализа киберугроз, которая выявляет потенциальные угрозы, но полагается на реагирование аналитиков, не предоставляет своим пользователям всех преимуществ своей автоматизации. Платформа анализа угроз должна интегрироваться с решениями по кибербезопасности и обладать способностью автоматически реагировать на выявленные угрозы.