ПоставщикамБлог

Платформы анализа информации об угрозах

Платформы анализа информации об угрозах

С каждым годом все больше организаций начинают активно интересоваться рисками, с которыми внезапно может столкнуться бизнес, и способами им противодействовать. Один из показателей такой активности – рост инвестиций в исследование информационных инцидентов и разведку угроз. Как продемонстрировал опрос, проведенный в США, в 2014 году в анализ рисков было вложено 904 миллиона долларов. Прогнозы утверждают, что к 2018 эта цифра вырастет до 1,4 миллиардов долларов.

Разведка угроз – основа безопасности компании. Она помогает найти правильные ответы на такие критически важные вопросы, как: определение приоритетных рисков, формирование адекватной стратегии ответа на информационные угрозы, оптимальные инвестиции в систему безопасности.

Фундаментально в разведке лежит анализ, основными составляющими которого являются: исследование текущих информационных инцидентов по всему миру, анализ инструментов, с помощью которых можно проникнуть сквозь систему безопасности, выявление максимально ценной секретной информации, определение мотивов атакующих, и оценка предыдущих действий компании. Подобное исследование позволяет выявить наиболее ценные коммерческие данные, защиту которых необходимо обеспечить в первую очередь. А также позволяет сфокусировать человеческие и материальные ресурсы на наиболее важных сегментах периметра безопасности.

Платформа анализа информации об угрозах - это готовый комплексный продукт, представляющий собой систему управления аналитической информацией об угрозах, автоматизирующую и упрощающую значительную часть работы аналитиков, которую обычно они выполняют вручную. Такие платформы стремятся блокировать повторных атакующих злоумышленников и идентифицировать общие векторы вторжения. Эта появляющаяся технология является прогрессом в традиционных антивирусных и межсетевых системах. Каждая установка платформы становится составным пакетом обнаружения, анализа и разрешения. Больше нет необходимости обновлять базу данных угроз из центральной лаборатории, поскольку каждая машина выполняет работу группы исследователей.

Разведка угроз – это система координат, позволяющая выявить наиболее незащищенные участки периметра безопасности, определить основные векторы атаки и грамотно распределить ресурсы для предотвращения утечек данных. Ни для кого не секрет, что не все информационные риски одинаково опасны. Все индивидуально и зависит как от специфики структуры компании, так и от сектора экономики, в котором она находится. Соответственно, последствия утечки информации или хакерской атаки могут быть абсолютно разными. Основная задача разведки угроз – дать возможность компании всегда быть на шаг впереди возможных опасностей, укрепить периметр именно в том месте, где его с наибольшей вероятностью постараются преодолеть, и где нанесенный урон может иметь наиболее значительные последствия.

Наиболее популярные продукты категории Платформы анализа информации об угрозах Все продукты категории

ANOMALI ThreatStream
20
2
THREAT INTELLIGENCE PLATFORM
9
12
R-VISION Threat Intelligence Platform
8
14
ECLECTICIQ Platform
15
13

Сравнение продуктов в категории Платформы анализа информации об угрозах

Поверните пожалуйста экран для оптимального отображения контента

Сравниваем: Платформы анализа информации об угрозах

Характеристики

Собственные feed-поставщики/аналитические центры предобработки feed’ов

Нормализация, дедупликация feed’ов

Количество feed-поставщиков из коробки

CSV-файлы

JSON-файлы

HTTP-feed

Email

Поддержка стандартов STIX/TAXII

Неструктурированные текстовые данные

Возможность обогащения данных из внешних источников (например — WHOis, PassiveDNS, VirusTotal и др.)

Подключение дополнительных feed-поставщиков

Поиск совпадений в событиях SIEM

Прямое реагирование на инциденты путем интеграции с сторонними системами ИБ

Реагирование на инциденты с использованием сложных алгоритмов (плэйбуков)

Возможность интеграции по REST API

Ручная настройка параметров «веса» для feed’ов

Возможность построения графа связей объектов feed’ов и внутренних артефактов

100+
20-100
20-100
100+
100+
Нашли ошибку? Напишите нам.

F.A.Q. Платформы анализа информации об угрозах

Что такое угроза?

Угроза - это возможность какого-либо субъекта получить доступ или вмешаться в обычную плановую деятельность информационной сети.

Что такое APT?

Развитая устойчивая угроза (APT) - это атака, в которой злоумышленник или команда злоумышленников устанавливает незаконное, долгосрочное присутствие в сети, чтобы добывать высокочувствительные данные. Цели этих нападений включают крупные предприятия или правительственные сети. Последствия таких вторжений очень опасны для организации.

Что такое фишинг?

Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание») - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фишинг - одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Что такое вредоносное ПО?

Вредоносное ПО (англ. malware - словослияние слов malicious и software) - любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путём копирования, искажения, удаления или подмены информации. Многие антивирусы считают крэки (кряки), кейгены и прочие программы для взлома приложений вредоносными программами, или потенциально опасными.

Что такое бот-сети?

Бнт-сети, ботнет (англ. botnet, произошло от слов robot и network) - компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности - рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (DoS- и DDoS-атаки).

Боты, как таковые, не являются вирусами. Они представляют собой набор программного обеспечения, который может состоять из вирусов, брандмауэров, программ для удаленного управления компьютером, а также инструментов для скрытия от операционной системы.

Что означает DDOS?

DDoS – это сокращение английского выражения Distributed Denial of Service, что переводится на русский язык как «Распределённый отказ от обслуживания». Это означает отказ от обслуживания сетевого ресурса в результате многочисленных распределенных (то есть происходящих с разных точек интернет-доступа) запросов. Отличие DoS-атаки (Denial of Service - «Отказ от обслуживания») от DDos состоит в том, что в этом случае перегрузка происходит в результате запросов с какого-либо определенного интернет-узла.

Что такое программы-вымогатели?

Программа-вымогатель, "шантажист" (англ. ransomware - контаминация слов ransom - выкуп и software - программное обеспечение) - это тип зловредного программного обеспечения, предназначенный для вымогательства, блокирующий доступ к компьютерной системе или предотвращающий считывание записанных в нём данных (часто с помощью методов шифрования), а затем требует от жертвы выкуп для восстановления исходного состояния.

Материалы