Дополнительная информация
Источник: Web-сайт поставщикаПроект был сдан в срок
Бюджет не был превышен
Функциональность соответствует задаче
Anomali ThreatStream для американского банка
Описание
ЗАДАЧИ
Bank of Hope нуждался в способе легко обнару потенциально опасные IP-адреса без необходимости входа в несколько информационных панелей продуктов безопасности. Банк полагается на свой инструмент управления информацией и событиями безопасности (SIEM) как основу своей программы реагирования на инциденты, но когда SIEM помечает IP-адрес потенциальной проблемы, аналитикам необходимо потратить до получаса на подтверждение его репутации.
РЕШЕНИЕ
ThreatStream предоставил Bank of Hope возможность синхронизировать свою полезную информацию с инструментом SIEM организации и обеспечить анализ с минимальными усилиями. РЕЗУЛЬТАТЫ
• Сокращение среднего времени получения информации
• Интеграция SIEM
• Экономия персонала
ПРОБЛЕМА
Когда SIEM указывал на индикацию угрозы, аналитики ИТ-безопасности тратили чрезмерное количество времени на поиск потенциальных вредоносных IP-адресов, чтобы подтвердить свою текущую репутацию. У Bank of Hope было несколько систем в своей ИТ-среде, которые обеспечивали внешнюю аналитику угроз, связанных с вредоносными IP-адресами, но у каждой из них был свой портал и свои собственные информационные панели. Каждая система обеспечивала анализ угроз, но ни одна из них не была интуитивно встроена в SIEM. Таким образом, аналитикам пришлось выполнять ручной процесс, который требовал от них поиска информации в каждом ИТ-инструменте, имеющем собственную встроенную информацию об угрозах. Имея небольшой штат сотрудников, банк не мог позволить себе утечку ресурсов, которую поиск подозрительных IP-адресов наносил его операциям по обеспечению безопасности. Сотрудникам может потребоваться до получаса, чтобы просто определить, имеет ли IP-адрес заведомо плохую репутацию, не говоря уже о том, чтобы начать действовать в случае потенциального инцидента после подтверждения плохих новостей. «Исследование было трудоемким процессом», - сказал Ариндам Бозе, старший вице-президент и сотрудник службы безопасности Bank of Hope. «Нам пришлось обратиться к нескольким ресурсам, чтобы понять, насколько этот IP-адрес важен для нашей среды». Bank of Hope нуждался в упрощении процесса, чтобы лучше использовать пропускную способность своих аналитиков для более глубокой работы с криминалистикой и процессом реагирования на инциденты.
ОБЗОР Bank of Hope, владеющий активами на сумму 7,3 миллиарда долларов, является крупнейшим корейско-американским банком в стране. Как крупное финансовое учреждение сообщества с 50 филиалами в США, Bank of Hope по понятным причинам должен защищать себя от целого ряда атак на свои ИТ-системы. Чтобы следить за многочисленными системами контроля безопасности и мониторинга, которые у него есть, банк полагается на свою систему управления информацией и событиями безопасности (SIEM), чтобы коррелировать события и помогать своим аналитикам оставаться в курсе тенденций. К сожалению, до недавнего времени аналитики банка по ИТ-безопасности облагались налогом из-за объема работы, необходимой для анализа и проверки индикаторов компрометации (IOC), связанных с внешними IP-адресами, которые обнаруживались из его механизма корреляции SIEM.
РЕШЕНИЕ THREATSTREAM Чтобы сделать это, банк обратился к мощи ThreatStream. По словам Бозе, Bank of Hope выбрал ThreatStream по нескольким причинам. Прежде всего, платформа ThreatStream Threat Intelligence Platform всего за несколько кликов может сообщить аналитикам, какова оценка угрозы IP-адреса, а также уровень достоверности на основе рейтинга репутации.
Он не только может использовать потоки угроз, уже доступные для Bank of Hope, но также предоставляет другие каналы, которые повышают ценность анализа Bank of Hope. В дополнение к анализу репутации IP, инструмент также может воспроизводить исполняемые файлы в своей среде песочницы, чтобы дать аналитикам Bank of Hope возможность на раннем этапе анализа потенциальных IOC и индикаторов угроз.
Но самое главное, ThreatStream интегрируется в SIEM Bank of Hope, поэтому сотрудникам не нужно перенаправлять свой процесс анализа и они могут проводить раннее расследование с единой централизованной платформы. «SIEM - критически важный компонент нашей среды и сердце нашей программы. Он извлекает журналы из множества различных систем и сопоставляет эти показания, чтобы определить, злонамеренно или нет», - говорит Боз. «Интеграция ThreatStream в наш портал SIEM означает, что нам не нужно использовать пять разных систем, но мы можем проверять действительность IP-адреса или исполняемого файла из одного места. Это решение позволило свести к минимуму накладные расходы команды ».
Кроме того, банку требовался инструмент, который мог бы работать с потоком аналитических данных об угрозах FS-ISAC для получения информации, относящейся к финансовой отрасли.
ThreatStream работал с банком над созданием этой возможности. Именно этот последний момент действительно склонил чашу весов в пользу ThreatStream для Bank of Hope.
Развертывание было относительно безболезненным для Bank of Hope, потребовав всего около часа в неделю в течение первого месяца. Учреждение благодарит команду ThreatStream за то, что они предложили множество рекомендаций, чтобы избежать
наземный бег.
ВОЗДЕЙСТВИЕ THREATSTREAM Теперь, когда инструмент установлен, Bose сообщает Bank of Hope, что ценность ThreatStream заключается в том, что он экономит аналитикам и дает им возможность бороться с большим количеством угроз, чем они могли когда-то.
Время, необходимое для анализа угрозы, сократилось с 30 минут до нескольких минут - время, которое складывается в ходе расследования множества вредоносных IP-адресов каждую неделю. «С точки зрения времени, чтобы знать, произошло существенное сокращение, - говорит Боз.
Эта эффективность позволила Bank of Hope сэкономить на численности персонала. Поскольку инструмент автоматически обрабатывает большую аналитическую нагрузку, Bank of Hope смог увеличить емкость без необходимости нанимать одного или двух дополнительных аналитиков. Более того, количество ложных срабатываний было очень низким, что означает, что аналитики тратят очень мало времени на поиск несуществующих проблем.
В целом реализация ThreatStream оказалась огромным успехом для команды Bank of Hope, настолько, что теперь она рассматривает возможность интеграции этого инструмента в свою IDS / IPS, что дает ему возможность автоматически блокировать угрозы с очень высокими рейтингами вредоносной уверенности.
ThreatStream предоставил Bank of Hope возможность синхронизировать свою полезную информацию с инструментом SIEM организации и обеспечить анализ с минимальными усилиями. РЕЗУЛЬТАТЫ
• Сокращение среднего времени получения информации
• Интеграция SIEM
• Экономия персонала
ПРОБЛЕМА
Когда SIEM указывал на индикацию угрозы, аналитики ИТ-безопасности тратили чрезмерное количество времени на поиск потенциальных вредоносных IP-адресов, чтобы подтвердить свою текущую репутацию. У Bank of Hope было несколько систем в своей ИТ-среде, которые обеспечивали внешнюю аналитику угроз, связанных с вредоносными IP-адресами, но у каждой из них был свой портал и свои собственные информационные панели. Каждая система обеспечивала анализ угроз, но ни одна из них не была интуитивно встроена в SIEM. Таким образом, аналитикам пришлось выполнять ручной процесс, который требовал от них поиска информации в каждом ИТ-инструменте, имеющем собственную встроенную информацию об угрозах. Имея небольшой штат сотрудников, банк не мог позволить себе утечку ресурсов, которую поиск подозрительных IP-адресов наносил его операциям по обеспечению безопасности. Сотрудникам может потребоваться до получаса, чтобы просто определить, имеет ли IP-адрес заведомо плохую репутацию, не говоря уже о том, чтобы начать действовать в случае потенциального инцидента после подтверждения плохих новостей. «Исследование было трудоемким процессом», - сказал Ариндам Бозе, старший вице-президент и сотрудник службы безопасности Bank of Hope. «Нам пришлось обратиться к нескольким ресурсам, чтобы понять, насколько этот IP-адрес важен для нашей среды». Bank of Hope нуждался в упрощении процесса, чтобы лучше использовать пропускную способность своих аналитиков для более глубокой работы с криминалистикой и процессом реагирования на инциденты.
ОБЗОР Bank of Hope, владеющий активами на сумму 7,3 миллиарда долларов, является крупнейшим корейско-американским банком в стране. Как крупное финансовое учреждение сообщества с 50 филиалами в США, Bank of Hope по понятным причинам должен защищать себя от целого ряда атак на свои ИТ-системы. Чтобы следить за многочисленными системами контроля безопасности и мониторинга, которые у него есть, банк полагается на свою систему управления информацией и событиями безопасности (SIEM), чтобы коррелировать события и помогать своим аналитикам оставаться в курсе тенденций. К сожалению, до недавнего времени аналитики банка по ИТ-безопасности облагались налогом из-за объема работы, необходимой для анализа и проверки индикаторов компрометации (IOC), связанных с внешними IP-адресами, которые обнаруживались из его механизма корреляции SIEM.
РЕШЕНИЕ THREATSTREAM Чтобы сделать это, банк обратился к мощи ThreatStream. По словам Бозе, Bank of Hope выбрал ThreatStream по нескольким причинам. Прежде всего, платформа ThreatStream Threat Intelligence Platform всего за несколько кликов может сообщить аналитикам, какова оценка угрозы IP-адреса, а также уровень достоверности на основе рейтинга репутации.
Он не только может использовать потоки угроз, уже доступные для Bank of Hope, но также предоставляет другие каналы, которые повышают ценность анализа Bank of Hope. В дополнение к анализу репутации IP, инструмент также может воспроизводить исполняемые файлы в своей среде песочницы, чтобы дать аналитикам Bank of Hope возможность на раннем этапе анализа потенциальных IOC и индикаторов угроз.
Но самое главное, ThreatStream интегрируется в SIEM Bank of Hope, поэтому сотрудникам не нужно перенаправлять свой процесс анализа и они могут проводить раннее расследование с единой централизованной платформы. «SIEM - критически важный компонент нашей среды и сердце нашей программы. Он извлекает журналы из множества различных систем и сопоставляет эти показания, чтобы определить, злонамеренно или нет», - говорит Боз. «Интеграция ThreatStream в наш портал SIEM означает, что нам не нужно использовать пять разных систем, но мы можем проверять действительность IP-адреса или исполняемого файла из одного места. Это решение позволило свести к минимуму накладные расходы команды ».
Кроме того, банку требовался инструмент, который мог бы работать с потоком аналитических данных об угрозах FS-ISAC для получения информации, относящейся к финансовой отрасли.
ThreatStream работал с банком над созданием этой возможности. Именно этот последний момент действительно склонил чашу весов в пользу ThreatStream для Bank of Hope.
Развертывание было относительно безболезненным для Bank of Hope, потребовав всего около часа в неделю в течение первого месяца. Учреждение благодарит команду ThreatStream за то, что они предложили множество рекомендаций, чтобы избежать
наземный бег.
ВОЗДЕЙСТВИЕ THREATSTREAM Теперь, когда инструмент установлен, Bose сообщает Bank of Hope, что ценность ThreatStream заключается в том, что он экономит аналитикам и дает им возможность бороться с большим количеством угроз, чем они могли когда-то.
Время, необходимое для анализа угрозы, сократилось с 30 минут до нескольких минут - время, которое складывается в ходе расследования множества вредоносных IP-адресов каждую неделю. «С точки зрения времени, чтобы знать, произошло существенное сокращение, - говорит Боз.
Эта эффективность позволила Bank of Hope сэкономить на численности персонала. Поскольку инструмент автоматически обрабатывает большую аналитическую нагрузку, Bank of Hope смог увеличить емкость без необходимости нанимать одного или двух дополнительных аналитиков. Более того, количество ложных срабатываний было очень низким, что означает, что аналитики тратят очень мало времени на поиск несуществующих проблем.
В целом реализация ThreatStream оказалась огромным успехом для команды Bank of Hope, настолько, что теперь она рассматривает возможность интеграции этого инструмента в свою IDS / IPS, что дает ему возможность автоматически блокировать угрозы с очень высокими рейтингами вредоносной уверенности.
Подробности
Проблемы
Децентрализация информационных систем
Утечка конфиденциальной информации или ее риск
Высокие расходы на ИТ специалистов
Риск потери и повреждения данных
Угрозы хакерских атак
Бизнес задачи
Повышение продуктивности персонала
Безопасность и непрерывность бизнеса
Управление рисками
