Сортировка

Внедрений найдено: 1

Airbus CyberSecurity (User) logo
ThreatQuotient, Inc. logo
Расширенный интеллект: Airbus Cybersecurity усиливает анализ угроз с помощью ThreatQuotient

«С 2011 года наша служба анализа угроз очень тесно сотрудничает с нашими группами реагирования на инциденты. Помимо прочего, это позволило нам быть очень актуальными и оперативными, когда дело доходит до отслеживания злоумышленников», - объясняет Жюльен Мениссез, менеджер по продукту для управляемых услуг в Европе в Airbus Cybersecurity. Эта близость окупилась, позволив службе лучше контекстуализировать предупреждения, которые в противном случае остались бы чисто техническими, например списки IP-адресов и другие индикаторы взлома (IoC). Технические оповещения эффективно блокируют определенные атаки, зачастую автоматически. Однако, когда они обогащены актуальной контекстной информацией, они могут стать реальными инструментами принятия решений, позволяющими аналитикам безопасности отвечать на такие вопросы, как:
  • Что мы знаем о текущих целях и кампаниях злоумышленника? Являемся ли мы потенциальной целью именно для этой группы?
Теоретически это привлекательно, но для того, чтобы реализовать это на практике, Airbus Cybersecurity необходимо было оборудовать, чтобы предлагать надежные, готовые для отрасли услуги. «В 2015 году мы решили создать предложение по распространению информации, которое позволило бы клиентам, работающим с собственными SOC, извлекать выгоду из этой увеличивающейся информации. Сначала мы работали с плоскими файлами, а затем развернули интерфейсы MISP для наших клиентов, - продолжает Жюльен Мениссез.

Увеличение сложности
MISP (Платформа обмена информацией о вредоносном ПО) является обязательной в мире аналитики угроз. MISP, доступный в виде бесплатного решения, облегчает обмен IoC между исследователями. Но прежде чем IoC можно будет совместно использовать, их необходимо приобрести и консолидировать. Здесь все усложняется. Жюльен Мениссез вспоминает: «MISP очень хорош для распространения, но проглотить - непросто! Мы были вынуждены использовать множество других инструментов с открытым исходным кодом параллельно, что требовало большого количества сценариев и ручных операций перед доставкой информации нашим клиентам, при этом оставаясь в рамках временных рамок, предусмотренных нашими SLA ».
Служба распространения стала настолько успешной, что нагрузка на команду Airbus Threat Intelligence резко возросла. Поскольку клиенты требовали все больше и больше контекста и более обширной информации, помимо того, что MISP может делать с помощью функций тегов и комментариев, быстро стало ясно, что ручной подход не может быть расширен.
Затем команда Airbus Cybersecurity решила исследовать новый «бэк-офис киберразведки» - инструмент, способный изначально управлять такими понятиями, как актуальность информации, надежность, контекст и связанные данные.
«Мы быстро увидели в ThreatQuotient поставщика, наиболее подходящего для наших нужд. У нас была общая лексика (из оборонного сектора). Платформа ThreatQ соответствовала нашим критериям, а технический уровень профильных экспертов ThreatQuotient был превосходным, - поясняет Жюльен Мениссез.

От еженедельной доставки к непрерывной информации
Внедрение ThreatQ позволяет Airbus Cybersecurity достичь своих целей. «Теперь мы можем предоставлять те же услуги и те же знания, с тем же качеством, что и раньше, но гораздо быстрее и с гораздо меньшим количеством технических манипуляций», - поясняет Жюльен Мениссез. «И, очевидно, от этого выигрывают наши клиенты. Airbus перешла от еженедельной доставки информации к непрерывной ».
Более того, для немного более зрелых клиентов, которые еще не имеют собственного SOC, но все еще имеют внутреннюю группу CSIRT, команда Airbus теперь может предложить дополнительный инструмент, способный помочь им извлечь выгоду из своих знаний. Знания, полученные в ходе внутренних расследований клиента, легко интегрируются в платформу ThreatQ для обогащения информации, возвращаемой клиенту через службу Airbus.
Платформа ThreatQ полностью дополняет существующее решение MISP, позволяя заказчику создавать собственную базу знаний, адаптированную к их контексту. Клиенты также имеют право изменять свои каналы и источники аналитики угроз в любое время, поскольку они будут хранить все свои данные в библиотеке угроз ThreatQ и, следовательно, все знания, полученные их CSIRT.

Лучшая оперативность во время кризиса
Решение ThreatQuotient позволяет аналитикам Airbus Cybersecurity лучше и быстрее реагировать на запросы клиентов. «Большинство SOC работают с системой рабочих процессов для расследования IoC, собранных во время инцидента. Часто это ручной процесс, но, поскольку платформу ThreatQ можно интегрировать с SIEM для проведения исследования и автоматического определения закономерностей и связей, а также способов перехода от данного IoC, мы даже смогли сократить время ответа нашим клиентам, - говорит Жюльен Мениссез. «И очевидно, что в случае инцидента быстрое выявление опорных точек и максимально тщательный мониторинг вредоносных действий являются большим преимуществом».

Персонализированная информация

Наконец, выбор решения ThreatQuotient позволил Airbus Cybersecurity уточнить информацию, доставляемую клиентам, чтобы лучше управлять их состоянием безопасности. Платформа ThreatQ позволяет автоматически «упаковывать» наиболее релевантные потоки в соответствии с подверженностью клиента конкретным рискам и, таким образом, применять стратегический подход к снижению риска.
... Узнать больше

Каталог внедрений ROI4CIO - это база данных о внедрениях программного обеспечения, оборудования и ИТ-услуг. Находите внедрения по вендору, поставщику, пользователю, бизнес-задачам, проблемам, статусу, фильтруйте по наличию ROI и референса.