Дополнительная информация
Источник: Web-сайт поставщикаПроект был сдан в срок
Бюджет не был превышен
Функциональность соответствует задаче
ThreatQ platform для Airbus Cybersecurity
Описание
Расширенный интеллект: Airbus Cybersecurity усиливает анализ угроз с помощью ThreatQuotient
«С 2011 года наша служба анализа угроз очень тесно сотрудничает с нашими группами реагирования на инциденты. Помимо прочего, это позволило нам быть очень актуальными и оперативными, когда дело доходит до отслеживания злоумышленников», - объясняет Жюльен Мениссез, менеджер по продукту для управляемых услуг в Европе в Airbus Cybersecurity. Эта близость окупилась, позволив службе лучше контекстуализировать предупреждения, которые в противном случае остались бы чисто техническими, например списки IP-адресов и другие индикаторы взлома (IoC). Технические оповещения эффективно блокируют определенные атаки, зачастую автоматически. Однако, когда они обогащены актуальной контекстной информацией, они могут стать реальными инструментами принятия решений, позволяющими аналитикам безопасности отвечать на такие вопросы, как:
Увеличение сложности
MISP (Платформа обмена информацией о вредоносном ПО) является обязательной в мире аналитики угроз. MISP, доступный в виде бесплатного решения, облегчает обмен IoC между исследователями. Но прежде чем IoC можно будет совместно использовать, их необходимо приобрести и консолидировать. Здесь все усложняется. Жюльен Мениссез вспоминает: «MISP очень хорош для распространения, но проглотить - непросто! Мы были вынуждены использовать множество других инструментов с открытым исходным кодом параллельно, что требовало большого количества сценариев и ручных операций перед доставкой информации нашим клиентам, при этом оставаясь в рамках временных рамок, предусмотренных нашими SLA ».
Служба распространения стала настолько успешной, что нагрузка на команду Airbus Threat Intelligence резко возросла. Поскольку клиенты требовали все больше и больше контекста и более обширной информации, помимо того, что MISP может делать с помощью функций тегов и комментариев, быстро стало ясно, что ручной подход не может быть расширен.
Затем команда Airbus Cybersecurity решила исследовать новый «бэк-офис киберразведки» - инструмент, способный изначально управлять такими понятиями, как актуальность информации, надежность, контекст и связанные данные.
«Мы быстро увидели в ThreatQuotient поставщика, наиболее подходящего для наших нужд. У нас была общая лексика (из оборонного сектора). Платформа ThreatQ соответствовала нашим критериям, а технический уровень профильных экспертов ThreatQuotient был превосходным, - поясняет Жюльен Мениссез.
От еженедельной доставки к непрерывной информации
Внедрение ThreatQ позволяет Airbus Cybersecurity достичь своих целей. «Теперь мы можем предоставлять те же услуги и те же знания, с тем же качеством, что и раньше, но гораздо быстрее и с гораздо меньшим количеством технических манипуляций», - поясняет Жюльен Мениссез. «И, очевидно, от этого выигрывают наши клиенты. Airbus перешла от еженедельной доставки информации к непрерывной ».
Более того, для немного более зрелых клиентов, которые еще не имеют собственного SOC, но все еще имеют внутреннюю группу CSIRT, команда Airbus теперь может предложить дополнительный инструмент, способный помочь им извлечь выгоду из своих знаний. Знания, полученные в ходе внутренних расследований клиента, легко интегрируются в платформу ThreatQ для обогащения информации, возвращаемой клиенту через службу Airbus.
Платформа ThreatQ полностью дополняет существующее решение MISP, позволяя заказчику создавать собственную базу знаний, адаптированную к их контексту. Клиенты также имеют право изменять свои каналы и источники аналитики угроз в любое время, поскольку они будут хранить все свои данные в библиотеке угроз ThreatQ и, следовательно, все знания, полученные их CSIRT.
Лучшая оперативность во время кризиса
Решение ThreatQuotient позволяет аналитикам Airbus Cybersecurity лучше и быстрее реагировать на запросы клиентов. «Большинство SOC работают с системой рабочих процессов для расследования IoC, собранных во время инцидента. Часто это ручной процесс, но, поскольку платформу ThreatQ можно интегрировать с SIEM для проведения исследования и автоматического определения закономерностей и связей, а также способов перехода от данного IoC, мы даже смогли сократить время ответа нашим клиентам, - говорит Жюльен Мениссез. «И очевидно, что в случае инцидента быстрое выявление опорных точек и максимально тщательный мониторинг вредоносных действий являются большим преимуществом».
Персонализированная информация
Наконец, выбор решения ThreatQuotient позволил Airbus Cybersecurity уточнить информацию, доставляемую клиентам, чтобы лучше управлять их состоянием безопасности. Платформа ThreatQ позволяет автоматически «упаковывать» наиболее релевантные потоки в соответствии с подверженностью клиента конкретным рискам и, таким образом, применять стратегический подход к снижению риска.
«С 2011 года наша служба анализа угроз очень тесно сотрудничает с нашими группами реагирования на инциденты. Помимо прочего, это позволило нам быть очень актуальными и оперативными, когда дело доходит до отслеживания злоумышленников», - объясняет Жюльен Мениссез, менеджер по продукту для управляемых услуг в Европе в Airbus Cybersecurity. Эта близость окупилась, позволив службе лучше контекстуализировать предупреждения, которые в противном случае остались бы чисто техническими, например списки IP-адресов и другие индикаторы взлома (IoC). Технические оповещения эффективно блокируют определенные атаки, зачастую автоматически. Однако, когда они обогащены актуальной контекстной информацией, они могут стать реальными инструментами принятия решений, позволяющими аналитикам безопасности отвечать на такие вопросы, как:
- Что мы знаем о текущих целях и кампаниях злоумышленника? Являемся ли мы потенциальной целью именно для этой группы?
Увеличение сложности
MISP (Платформа обмена информацией о вредоносном ПО) является обязательной в мире аналитики угроз. MISP, доступный в виде бесплатного решения, облегчает обмен IoC между исследователями. Но прежде чем IoC можно будет совместно использовать, их необходимо приобрести и консолидировать. Здесь все усложняется. Жюльен Мениссез вспоминает: «MISP очень хорош для распространения, но проглотить - непросто! Мы были вынуждены использовать множество других инструментов с открытым исходным кодом параллельно, что требовало большого количества сценариев и ручных операций перед доставкой информации нашим клиентам, при этом оставаясь в рамках временных рамок, предусмотренных нашими SLA ».
Служба распространения стала настолько успешной, что нагрузка на команду Airbus Threat Intelligence резко возросла. Поскольку клиенты требовали все больше и больше контекста и более обширной информации, помимо того, что MISP может делать с помощью функций тегов и комментариев, быстро стало ясно, что ручной подход не может быть расширен.
Затем команда Airbus Cybersecurity решила исследовать новый «бэк-офис киберразведки» - инструмент, способный изначально управлять такими понятиями, как актуальность информации, надежность, контекст и связанные данные.
«Мы быстро увидели в ThreatQuotient поставщика, наиболее подходящего для наших нужд. У нас была общая лексика (из оборонного сектора). Платформа ThreatQ соответствовала нашим критериям, а технический уровень профильных экспертов ThreatQuotient был превосходным, - поясняет Жюльен Мениссез.
От еженедельной доставки к непрерывной информации
Внедрение ThreatQ позволяет Airbus Cybersecurity достичь своих целей. «Теперь мы можем предоставлять те же услуги и те же знания, с тем же качеством, что и раньше, но гораздо быстрее и с гораздо меньшим количеством технических манипуляций», - поясняет Жюльен Мениссез. «И, очевидно, от этого выигрывают наши клиенты. Airbus перешла от еженедельной доставки информации к непрерывной ».
Более того, для немного более зрелых клиентов, которые еще не имеют собственного SOC, но все еще имеют внутреннюю группу CSIRT, команда Airbus теперь может предложить дополнительный инструмент, способный помочь им извлечь выгоду из своих знаний. Знания, полученные в ходе внутренних расследований клиента, легко интегрируются в платформу ThreatQ для обогащения информации, возвращаемой клиенту через службу Airbus.
Платформа ThreatQ полностью дополняет существующее решение MISP, позволяя заказчику создавать собственную базу знаний, адаптированную к их контексту. Клиенты также имеют право изменять свои каналы и источники аналитики угроз в любое время, поскольку они будут хранить все свои данные в библиотеке угроз ThreatQ и, следовательно, все знания, полученные их CSIRT.
Лучшая оперативность во время кризиса
Решение ThreatQuotient позволяет аналитикам Airbus Cybersecurity лучше и быстрее реагировать на запросы клиентов. «Большинство SOC работают с системой рабочих процессов для расследования IoC, собранных во время инцидента. Часто это ручной процесс, но, поскольку платформу ThreatQ можно интегрировать с SIEM для проведения исследования и автоматического определения закономерностей и связей, а также способов перехода от данного IoC, мы даже смогли сократить время ответа нашим клиентам, - говорит Жюльен Мениссез. «И очевидно, что в случае инцидента быстрое выявление опорных точек и максимально тщательный мониторинг вредоносных действий являются большим преимуществом».
Персонализированная информация
Наконец, выбор решения ThreatQuotient позволил Airbus Cybersecurity уточнить информацию, доставляемую клиентам, чтобы лучше управлять их состоянием безопасности. Платформа ThreatQ позволяет автоматически «упаковывать» наиболее релевантные потоки в соответствии с подверженностью клиента конкретным рискам и, таким образом, применять стратегический подход к снижению риска.
Подробности
Проблемы
Децентрализация информационных систем
Утечка конфиденциальной информации или ее риск
Угрозы хакерских атак
Риск потери и повреждения данных
Высокие расходы на ИТ специалистов
Бизнес задачи
Повышение продуктивности персонала
Безопасность и непрерывность бизнеса
Управление рисками
