Threat Intelligence

Hlavné cieľe sú:

  • blokovanie cielených útokov na vašu infraštruktúru
  • phishing ochrana
  • blokovanie útokov bootnetov
  • detekcia pokročilých hrozieb


Definície

DATA FEEDS

 Informačný kanál je zoznam ukazovateľov poskytnutých treťou stranou, ktorý môže byť prepojený s vnútornými bezpečnostnými systémami slúžiac k nájdeniu zhody, na ktorú možno reagovať. Vašu Threat Intelligence platformu je doležité nakrmiť dátovými zdrojmi aby zabezpečovala dobré výsledky v detekcií.

STIX

Structured Threat Information eXpression je súbor schém XML, ktoré obsahujú jazyk na opis informácií o kybernetických hrozbách štandardizovaným spôsobom. Jazyk STIX má v úmysle poskytnúť celý rad potenciálnych informácií o kybernetických hrozbách a usiluje sa o to, aby bol plne expresívny, flexibilný, rozšíriteľný, automatizovaný a ľudsky čitateľný akokoľvek to je možné.

SIEM

Security information and event management je riešením, ktoré poskytuje prehľad o IT infraštruktúre. Spĺňa dva hlavné ciele:

 1.  zistenie incidentov v takmer reálnom čase

 2.  efektívne spravovanie logov

Tieto ciele sa nazývali SEM (Security Event Management) a SIM (security information management ), ale tieto funkcie sa v súčasnosti zlúčili do jedinej kapacity známej ako SIEM. SIEM zhromažďuje informácie (napr. protokoly, udalosti, toky) z rôznych zariadení v sieti, koreluje a analyzuje údaje na odhalenie incidentov a abnormálnych vzorov činnosti a nakoniec ukladá informácie pre neskoršie použitie (hlásenie, profilovanie správania atď.).



Krytéria pri výbere platformy

Data feeds – Údajové zdroje

mali by sme sa čo najviac dozvedieť o charakteristikách údajov a zdrojoch údajov jednotlivých poskytovateľoch 

  • Koľko data feeds máme dostupných , aké je ich zameranie? Môžu pokrývať IP/domain URLs, reputation, security risks, vulnerabilities?
  • Akú platformu poskytovateľ ponúka k spracovaniu dát? Potrebujeme k tomu nejake špeciáne hardwarové vybavenie?
  • Akého formátu sú údajové zdroje? Najbežnejšími formátmi sú CSV, XML, STIX and JSON. Mnoho poskytovateľov ponúka API management, ktorý ponúka zákazníkovi vyťahovať dáta prostredníctvom web servisu.
  • Z koľkých zdrojov spoločnosť vykresľuje dáta?
  • Odkiaľ pochádzajú zdrojové údaje? Väčšina poskytovateľov je ochotná sprístupniť na požiadanie svoje zdroje údajov o hrozbách , zatiaľ čo iní nemôžu alebo nechcú , pretože to považujú za dôvernú informáciu.

Threat intelligence alerts and reports 

  • Poskytuje spoločnosť v reálnom čase upozornenia a správy analytikov ako súčasť základného predplatného balíka alebo vyžaduje táto služba dalšíe príplatky?
  • Ako často sa vydávajú reporty alebo zhrnutia? Sú pre dané odvetvie špecifické?
  • Sú k dispozícií zhrnutia špecifické pre organizáciu?


Cena
  • Na aké časové obdobie si zákazník kupuje licenciu? Jedná sa o ročné predplatné alebo kupuje licenciu doživotne? Existujú balíky data feeds ktoré si zákazník môže zakúpiť?
  • Je potreba zakúpenia špecialného HW vybavenia pre spojazdnenie threat inteligence?
  • Existuje dodatočný poplatok pri reportoch generovaných pre danú organizáciu?

Service provider support

  • Poskytuje spoločnosť 24/7/356 telefonický prístup k technikom podpory?
  • Ako rýchlo dokáže spoločnosť reagovať na požiadavku podpory?
  • Zvyšujú sa náklady ak potrebujeme rýchlejšiu podporu alebo technikov vyššej úrovne?
  • Ak zákazník potrebuje pomoc pri riešení incidentov, aké sú náklady a podmienky tejto služby?

Komunita 

  •  Diskusné fóra
  • ·Skupiny na sociálnych sieťach
  • Veľkosť komunity okolo platformy