Enriquecimento de inteligência contra ameaças

Last updated
Save as PDF
Share
1. Share
2. Tweet
3. Share

A inteligência de ameaças, também conhecida como inteligência de ameaças cibernéticas (CTI), é uma informação recolhida de várias fontes sobre ataques atuais ou potenciais contra a sua organização. Utilização de ferramentas como Splunk Enterprise Security , Splunk Threat Intelligence Management e Splunk Intel Management (Legacy), analisa, refina e organiza informações e, em seguida, usa-as para minimizar e mitigar os riscos de cibersegurança.

O principal objetivo da inteligência de ameaças é mostrar-lhe os vários riscos que enfrenta de ameaças externas, tais como ameaças de dia zero e ameaças persistentes avançadas (APTs). A inteligência sobre ameaças inclui informações detalhadas e contexto sobre ameaças específicas, tais como quem está a atacar, as suas capacidades e motivação, e indicadores de compromisso (IOCs). Com esta informação, pode tomar decisões informadas sobre como se defender contra os ataques mais prejudiciais.

Quais são os benefícios de um enriquecimento eficaz da inteligência contra ameaças?

Num contexto militar, empresarial ou de segurança, a inteligência é a informação que fornece a uma organização apoio à decisão e possivelmente uma vantagem estratégica. A inteligência contra ameaças faz parte de uma estratégia de inteligência de segurança maior. Inclui informações relacionadas com a proteção da sua organização contra ameaças externas e internas, bem como os processos, políticas e ferramentas utilizadas para recolher e analisar essas informações.

A inteligência de ameaças fornece uma melhor visão do cenário de ameaças e dos atores das ameaças, juntamente com as suas táticas, técnicas e procedimentos mais recentes. Permite-lhe ser proactivo na configuração dos seus controlos de segurança para detectar e prevenir ataques avançados e ameaças de dia zero. Muitos destes ajustes podem ser automatizados para que a segurança permaneça alinhada com as informações mais recentes em tempo real, e a inteligência integrada contra ameaças ajuda-o a ficar à frente das ameaças avançadas.

Quais são as melhores práticas de enriquecimento de inteligência contra ameaças?

Seleccione as fontes certas de dados de ameaças para a sua organização.
Nem toda inteligência de ameaças é igual — a inteligência de ameaças que é de valor para uma organização pode não ter valor para outra. O valor se resume à relevância e acessibilidade, o que requer curadoria em uma fonte de enriquecimento personalizada, agregando dados filtrados por uma série de fatores. Esses fatores podem incluir indústria, geografia, ambiente e infraestrutura da sua organização, os terceiros com os quais a sua organização trabalha, o perfil de risco da sua organização e muito mais.
Determinar quem irá adquirir os dados.
Embora possa ser ideal para fornecer acesso a dados de ameaças a um público amplo, provavelmente é melhor ter uma equipa responsável por adquirir e analisar a inteligência contra ameaças e apenas fornecer informações acionáveis. Nem todas as partes interessadas precisam de todos os níveis de inteligência, por isso pense em como o mesmo relatório terá impacto e será usado por várias equipas em toda a organização. Diferentes equipas podem usar diferentes aspetos do mesmo relatório de diferentes maneiras para alcançar os resultados desejados, por exemplo, modificar a política estratégica, lançar campanhas operacionais de caça ou disseminar indicadores técnicos táticos.
Estruturar os dados para análise.
Os dados de ameaças vêm numa infinidade de formatos que precisam de ser normalizados. Estas fontes podem ser tão diversas como STIX, técnicas MITRE ATT&CK, artigos de notícias, blogues, tweets, relatórios da indústria de segurança, indicadores de compromisso (IOCs) de feeds de ameaças, repositórios GitHub, regras Yara, assinaturas Snort e muito mais. Além disso, o volume de informação no panorama da inteligência contra ameaças é elevado e diferentes grupos usam nomes diferentes para se referir à mesma coisa. A normalização compensa isso e permite às equipas agregar e organizar a informação rapidamente.
Utilizar ferramentas para ajudar na análise.
Uma análise eficaz pode ser um grande desafio, particularmente durante um grande evento. Splunk Enterprise Security faz um bom trabalho de extração de contexto e pode ajudar as suas equipas a usar informações de várias maneiras para diferentes casos de uso e para suportar diferentes resultados - por exemplo, triagem de alertas, caça a ameaças, spear phishing, resposta a incidentes e muito mais. O Splunk Enterprise Security O framework Threat Intelligence ajuda a agregar, priorizar e gerir uma grande variedade de feeds de inteligência contra ameaças.

Que inteligência de ameaças processos de enriquecimento posso implementar ?

Estes recursos podem ajudá-lo a compreender e implementar estas orientações:

Tipo de produto: Utilizar a Gestão de Inteligência contra Ameaças
Guia de introdução: Utilizar a Gestão de Inteligência contra Ameaças

Aproveitando insights críticos sobre vulnerabilidades para uma resposta eficaz a incidentes

Saiba como a utilização conjunta da Tenable e do Splunk Enterprise permite-lhe sincronizar informações sobre vulnerabilidades de TI, TO e AD, priorizar a correção de vulnerabilidades, solicitar uma análise de correcção e visualizar o resumo de vulnerabilidades mais recente de uma máquina.
Monitorização de indicadores de ataques de ransomware

Splunk Enterprise Security ajuda-o a ingerir, monitorizar, investigar/analisar e agir sobre dados e informações de segurança.
Moção de Adoção Prescritiva - Inteligência sobre ameaças

A inteligência acionável sobre ameaças é uma função essencial para proteger a infraestrutura e os ativos digitais com sucesso. Auxilia o processamento e análise de dados de múltiplos feeds, melhorando a segurança e a visibilidade.
Utilizar a inteligência de ameaças em Splunk Enterprise Security

A inteligência de ameaças permite que as equipas de cibersegurança informem as equipas de SOC e de resposta a incidentes sobre potenciais e iminentes atividades prejudiciais e riscos empresariais.