🎁 Threat Intelligence Là Gì

Kaspersky Threat Intelligence Portal for Resilient (Tiếng Anh) Kaspersky Threat Intelligence Portal for Splunk Phantom (Tiếng Anh) Kaspersky CyberTrace 4.1. 4.0. 3.1. Kaspersky Scan Engine 2.1. 2.0. 1.0. Kaspersky Industrial CyberSecurity for Networks (Tiếng Anh) The Netgate 7100 desktop system is a state of the art Security Gateway with pfSense® Plus software, featuring the 4 Core Intel® Atom® C-3558 processor with Intel QuickAssist and AES-NI to support a high level of I/O throughput and optimal performance per watt. This appliance with pfSense Plus software can be configured as a firewall, LAN or WAN router, VPN appliance, DHCP Server, DNS Server Autonomous Threat Sweeper - Automated analysis and air-cover for your SOC; NDR - Analyze network events to detect and respond to advanced threats. NXLog - Gain a scalable data aggregation system with advanced log collection. Identity Analytics & Intelligence - Manage access decisions and user risk profiles based on application usage. Threat Intelligence là một lĩnh vực trọng điểm của ngành ATTT, tập trung vào việc thu thập và phân tích thông tin về các cuộc tấn công mạng hiện tại và tiềm năng đe dọa tới tài sản, uy tín cũng như sự an toàn của các tổ chức, đơn vị. TÍNH NĂNG THU THẬP DỮ LIỆU LifeLock là giải pháp phần mềm System Security Software Threat Intelligence Software. Giới thiệu, chức năng nổi bật, so sánh và Reviews LifeLock với các phần mềm, ứng dụng doanh nghiệp khác LifeLock là gì? Thông tin tổng quan, bảng giá, hướng dẫn sử dụng, reviews và đánh giá tính If your packet broker drops packets, you are creating blind spots that can interfere with network analytics, or, even worse, impact security. Keysight network packet brokers are built with a system architecture that enables line rate performance with no dropped traffic or packet loss. This means that your visibility infrastructure can deliver Detect unknown threats through real-time analytics. ArcSight Marketplace . Download and deploy pre-packaged content to dramatically save time and management. Interset . Security analytics for quick and accurate threat detection. Sentinel . A fully-featured, adaptable solution that simplifies the day-to-day use of SIEM What Is the OSI Model. The Open Systems Interconnection (OSI) model describes seven layers that computer systems use to communicate over a network. It was the first standard model for network communications, adopted by all major computer and telecommunication companies in the early 1980s. The modern Internet is not based on OSI, but on the . Giải Pháp Threat Intelligence – Kaspesky Hiện trạng Các tổ chức trên tất cả các lĩnh vực đang phải đối mặt với tình trạng thiếu dữ liệu cập nhật để giúp họ quản lý các rủi ro liên quan đến các mối đe dọa an toàn thông tin. Việc thu thập thông tin toàn cầu, theo dõi, phân tích, diễn giải các kết quả thu nhận được nhằm giảm thiểu các mối đe dọa bảo mật cần tiêu tốn rất nhiều nguồn lực. Chính vì vậy các tổ chức đang có xu hướng sử dụng các dịch vụ cung cấp tri thức về an toàn thông tin được cung cấp bởi các hãng bảo mật có uy tín để có thể tận dụng được kinh nghiệm cũng như kỹ năng từ những chuyên gia hàng đầu, trong khi vẫn có thể tùy chỉnh các thông tin cho phù hợp với nhu cầu. Threat Intelligence giúp nâng cao khả năng kiểm soát an toàn thông tin và khả năng điều tra với dữ liệu được cập nhật liên tục từ hãng. Báo cáo về các cuộc điều tra và phân tích mới nhất nhất của nhà cung cấp về các phương pháp, chiến thuật và công cụ được sử dụng bởi các cuộc tấn công. Bộ sản phẩm này bao gồm các gói sau Threat Data Feeds APT Intelligence Reporting Threat Lookup Threat Data Feeds Các cuộc tấn công mạng xảy ra mỗi ngày. Các mối đe dọa mạng không ngừng gia tăng về tần suất cũng như độ tinh vi. Các kẻ tấn công hiện đang sử dụng chuỗi, chiến dịch tấn công xâm nhập phức tạp và các chiến thuật, kỹ thuật và thủ tục tùy chỉnh TTP để vượt qua các lớp phòng thủ dày đặc nhằm gây thiệt hại cho mục tiêu. Để bảo vệ hệ thống, các chuyên gia cần có các thông tin đầy đủ và cập nhật nhất về các mối đe dọa. Threat Intelligence là giải pháp tổng hợp thông tin thám báo từ các nguồn có độ tin cậy cao như trình thu thập thông tin web, Dịch vụ giám sát Botnet Giám sát các mạng botnet 24/7/365, bẫy thư rác, nhóm nghiên cứu, web sâu, đối tác và dữ liệu lịch sử khác về các đối tượng độc hại. Tất cả dữ liệu tổng hợp được kiểm tra và tinh chỉnh cẩn thận trong thời gian thực sử dụng nhiều kỹ thuật tiền xử lý, chẳng hạn như tiêu chí thống kê, Hệ thống chuyên dụng hộp cát, công cụ heuristics, công cụ tương tự, hồ sơ hành vi, xác nhận bởi chuyên gia. Từ đó tạo ra dữ liệu chỉ báo mối đe dọa được kiểm tra kỹ lưỡng có nguồn gốc từ thế giới thực và trong thời gian thực. Bằng cách tích hợp nguồn cấp dữ liệu thông tin về mối đe dọa được cập nhật từng phút có chứa thông tin về các IPs, URL và mã băm đáng ngờ vào các biện pháp kiểm soát bảo mật hiện có như hệ thống SIEM, SOC, firewall…, các nhóm bảo mật có thể tự động hóa quy trình xử lý ban đầu và cung cấp cho các chuyên gia của họ đủ thông tin để xác định ngay các cảnh báo cần được điều tra hoặc chuyển ngay tới các nhóm Ứng phó Sự cố IR để điều tra và ứng phó thêm. Các tính năng chính của sản phẩm Củng cố các giải pháp bảo vệ mạng của bạn, bao gồm SIEM, Tường lửa, IPS / IDS, Proxy, giải pháp DNS, chống APT, với các chỉ dấu thỏa hiệp IOCs được cập nhật liên tục. Cung cấp cái nhìn sâu sắc về các cuộc tấn công mạng và hiểu rõ hơn về ý định, khả năng và mục tiêu của các kẻ tấn công. Các giải pháp SIEM được hỗ trợ HP ArcSight, IBM QRadar, Splunk, Phát triển hoặc tăng cường bảo vệ tấn công cho các thiết bị mạng Như routers, gateways, UTM. Cải thiện và tăng tốc khả năng ứng phó sự cố và điều tra bằng cách cung cấp cho các nhóm bảo mật / SOC các thông tin có ý nghĩa về các mối đe dọa và hiểu biết toàn cầu về những gì nằm đằng sau các cuộc tấn công có mục tiêu. Chẩn đoán và phân tích các sự cố bảo mật trên máy chủ và mạng hiệu quả hơn, và phân loại các tín hiệu từ các hệ thống nội bộ có liên quan tới các mối đe dọa không xác định để giảm thiểu thời gian ứng phó sự cố và phá vỡ chuỗi tấn công trước khi các hệ thống và dữ liệu quan trọng bị xâm phạm; Cung cấp thông tin về mối đe dọa cho các chuyên gia. Tận dụng thông tin trực tiếp về phần mềm độc hại đang phổ biến và các mối đe dọa khác để tăng cường năng lực phòng thủ; Giúp giảm thiểu các cuộc tấn công có mục tiêu. Tăng cường tình hình bảo mật của bạn bàng các thông tin về chiến thuật và chiến lược của các cuộc tấn công bằng cách điều chỉnh các chiến lược phòng thủ để chống lại các mối đe dọa cụ thể mà tổ chức của bạn phải đối mặt; Sử dụng thông tin về mối đe dọa để phát hiện nội dung độc hại được lưu trữ trên mạng và trung tâm dữ liệu của bạn; Ngăn chặn việc tiêu tẩy tài sản nhạy cảm và sở hữu trí tuệ từ máy bị nhiễm mã độc ra bên ngoài tổ chức, phát hiện tài sản bị nhiễm mã độc nhanh chóng, bảo vệ lợi thế cạnh tranh và mất cơ hội kinh doanh và bảo vệ uy tín thương hiệu của bạn; Tiến hành tìm kiếm sâu vào các chỉ báo mối đe dọa như giao thức lệnh và kiểm soát, địa chỉ IP, URL độc hại hoặc mã băm; các mối đe dọa được xác nhận bởi các chuyên gia cho phép phân loại các cuộc tấn công, cải thiện các quyết định phân bổ tài nguyên và chi tiêu công nghệ thông tin và hỗ trợ bạn tập trung vào việc giảm thiểu những mối đe dọa gây rủi ro nhất cho tổ chức; APT Intelligence Reporting APT Intelligence Reporting cung cấp cho bạn quyền truy cập liên tục vào thông tin từ các cuộc điều tra và khám phá của hãng. Các thông tin này là các dữ liệu kỹ thuật đầy đủ, được cung cấp trong một loạt các định dạng, trên mỗi cuộc tấn công APT, bao gồm cả những thông tin chưa được công khai. Các báo cáo APT là một lượng lớn dữ liệu, được tổng hợp và phân tích bởi các chuyên gia có chuyên môn và trình độ cao. Mỗi báo cáo chứa một bản tóm tắt điều hành cung cấp thông tin mô tả ngắn gọn cho các lãnh đạo cấp cao C-level report. Kèm theo đó là một bảng mô tả kỹ thuật chi tiết về APT với các IOCs và quy tắc Yara liên quan, cung cấp cho các nhà nghiên cứu bảo mật, nhà phân tích phần mềm độc hại, kỹ sư bảo mật, nhà phân tích bảo mật mạng và các nhà nghiên cứu APT dữ liệu có thể hành động để cho phép phản ứng nhanh chóng, chính xác với mối đe dọa liên quan. Threat Lookup Threat Lookup là một dịch vụ trong Threat Intelligence cung cấp quyền truy cập đầy đủ vào dữ liệu về các chỉ số thỏa hiệp indicatior of compromise, mối quan hệ của chúng với các chỉ số khác và tất cả các loại thống kê. Threat Lookup cung cấp tất cả kiến thức mà nhà cung cấp có được về các mối đe dọa mạng và các mối quan hệ của chúng, được tập hợp thành một dịch vụ web. Mục tiêu là cung cấp cho các nhóm bảo mật càng nhiều dữ liệu càng tốt, ngăn chặn các cuộc tấn công mạng trước khi chúng ảnh hưởng đến tổ chức. Nền tảng truy xuất thông tin về mối đe dọa chi tiết mới nhất về URL, tên miền, địa chỉ IP, băm tệp, tên mối đe dọa, dữ liệu thống kê / hành vi, dữ liệu WHOIS / DNS, thuộc tính tệp, dữ liệu vị trí địa lý, chuỗi tải xuống, dấu thời gian, Kết quả là khả năng hiển thị toàn cầu về các mối đe dọa mới và mới nổi, giúp tăng cường khả năng bảo vệ và ứng phó sự cố. Threat Lookup sẽ phát huy tác dụng tối đa với các tổ chức có bộ phận bảo mật thông tin chuyên biệt, vì dịch vụ này dành cho phân tích thủ công. Threat Lookup giảm thời gian xác định sự cố. Thông tin đầy đủ có sẵn ở một nơi duy nhất và các chuyên gia phân tích sẽ không phải chuyển sang các dịch vụ khác để kiểm tra hoặc bổ sung dữ liệu Tra cứu Mối đe dọa. Thông tin về đối tượng và các chỉ số liên quan giúp xác định mức độ nghiêm trọng của mối đe dọa Có rất nhiều người dùng gặp phải sự cố tương tự? Ở các quốc gia nào? Các mẫu mã độc tương tự hoạt động như thế nào? Trong quá trình ngăn chặn mối nguy Threat Lookup giúp các chuyên gia ứng phó tìm kiếm các các đối tượng liên quan đến chỉ báo được phát hiện đang hoạt động trên mạng, ngăn chặn URL và IPs là nguồn tải xuống đối tượng cũng như là đích để trích xuất dữ liệu ra ngoài Ở giai đoạn loại trừ nguy cơ, Threat Lookup là một nguồn thông tin về tên và vị trí của các tệp độc hại trên hệ thống. Các chuyên gia không cần phải dành thời gian tìm kiếm tất cả các tệp liên quan đến mối đe dọa. Tích hợp với SOC Giải pháp Threat Data Feed được tích hợp với giải pháp SIEM để phát hiện hoạt động độc hại trên mạng. Cán bộ quản trị nhận được các thông tin cần thiết để nhận biết các rủi ro, cũng như giảm thiểu hiệu quả các mối đe dọa mạng và bảo vệ chống lại các cuộc tấn công đang diễn ra. Luồng kết nối giữa nguồn thông tin mối đe dọa và hệ thống SIEM như sau Các sự kiện đến được gửi từ các biện pháp kiểm soát bảo mật khác nhau và được SIEM thu thập. SIEM chuyển tiếp các sự kiện đã nhận tới thành phần CyberTrace thông qua kết nối TCP. Thành phần CyberTrace nhận các sự kiện có chứa URL, băm hoặc địa chỉ IP từ SIEM. CyberTrace tự động nhận được nguồn cấp dữ liệu mối đe dọa cập nhật từ internet. CyberTrace khớp với các khả năng quan sát IP, URL, tên miền và băm trong các sự kiện đã nhận với nguồn cấp dữ liệu mối đe dọa. Nếu có kết quả khớp với Nguồn cấp dữ liệu mối đe dọa, CyberTrace sẽ gửi sự kiện phù hợp trở lại giải pháp SIEM, và thông báo cho quản trị viên SIEM về sự cố bảo mật. Ngoài ra, số liệu thống kê phát hiện được lưu trữ trong CyberTrace để cho phép theo dõi xu hướng và xác định sự bất thường trong mạng của mình bằng cách sử dụng giao diện web CyberTrace. Nếu chế độ retroscan được bật, CyberTrace sẽ lưu trữ các vật liệu quan sát từ các sự kiện được kiểm tra để phù hợp trong tương lai với nguồn cấp dữ liệu mới nhất. Các tính năng chính của hệ thống tích hợp giữa nguồn thông tin mối đe dọa và SIEM Cấu hình bảng thông tin trong SIEM để hiển thị và ưu tiên thông tin về URL, địa chỉ IP và băm tệp có trong các sự kiện khớp với nguồn cấp dữ liệu mối đe dọa Bộ lọc để gửi sự kiện phát hiện đến các giải pháp SIEM giúp giảm tải cho hệ thống cũng như các nhà phân tích. Nó cho phép gửi đến các giải pháp SIEM chỉ những phát hiện nguy hiểm và chắc chắn nhất. Tất cả các phát hiện khác sẽ được lưu vào cơ sở dữ liệu nội bộ và có thể được sử dụng trong quá trình phân tích nguyên nhân gốc rễ hoặc trong săn tìm mối đe dọa. Cung cấp bảng thông tin để xem tổng quan nhanh, cũng như thông tin chi tiết hơn về các sự kiện phù hợp. Vận hành thông tin về mối đe dọa cho các nhóm bảo mật / SOC và hỗ trợ các nhà phân tích mối đe dọa trong quá trình điều tra. Cải thiện và tăng tốc khả năng ứng phó sự cố và pháp y số. Tự động cập nhật nguồn dữ liệu Mối đe dọa. Loại bỏ dương tính giả và hình thành phòng thủ chủ động, dựa trên trí thông minh. Hỗ trợ nguồn sự kiện từ tất cả các biện pháp kiểm soát bảo mật hiện có Firewalls, IPS/IDS, Security Proxies, Anti-Virus, DNS, UTMs … Yêu cầu phần cứng cài đặt CyberTrace CPU ≥ 32 core RAM ≥ 32 GB SSD ≥ 1TB 2. HIỆU QUẢ ĐẦU TƯ Nhanh chóng cập nhật các thông tin và tri thức bảo mật cho đội ngũ chuyên gia Tích hợp và nâng cấp cho các quy trình và giải pháp bảo mật sẵn có Cải thiện và tăng tốc khả năng ứng phó sự cố và điều tra bằng cách cung cấp cho các nhóm bảo mật / SOC thông tin có ý nghĩa về các mối đe dọa và thông tin chi tiết về các cuộc tấn công có mục tiêu. Thực hiện phân tích mã độc mà không cần đầu tư hạ tầng phức tạp Hỗ trợ phát hiện và giảm thiểu các cuộc tấn công có mục tiêu. Tăng cường mức độ bảo mật của bạn bằng cách điều chỉnh các chiến lược phòng thủ để chống lại với các chiến thuật và kỹ thuật mới của kẻ tấn công. 3. ĐÁNH GIÁ NHẬN ĐỊNH TỪ CÁC NHÀ PHÂN TÍCH VÀ CHUYÊN GIA Giải pháp Threat Intelligence của Kaspersky được đánh giá nằm trong nhóm leader của Forrester wave quý 1 năm 2021 Liên hệ tư vấn và báo giá CÔNG TY CỔ PHẦN GIẢI PHÁP CÔNG NGHỆ SONIC Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội Tel Email Sales 4/08/2021 • 8 min. de leitura Conhecer e aplicar o conceito de Threat Intelligence pode ser a diferença entre ter ou não prejuízos com as ameaças do mundo cibernético. Um estudo recente da ClearSale sobre Mapa da Fraude mostra que muito se engana quem pensa que os crimes cibernéticos são cometidos por pessoas isoladas, em silêncio, na calada da noite. Os crimes virtuais, como a fraude, são complexos e sofisticados, e acontecem a qualquer dia e horário, muitas vezes cometidos por quadrilhas com profissionais altamente qualificados e conhecedores da tecnologia. Ao longo dos tempos, criminosos criaram redes de informação para compartilhar brechas em sistemas de segurança das empresas. Dessa maneira, grandes ataques passaram a ser mais comuns, fazendo com que empresas que negligenciam o trabalho de combate às ameaças sofram com prejuízos cada vez mais severos. Com isso, surgiu o conceito de Threat Intelligence, que pode ser um grande aliado das empresas no combate aos crimes cibernéticos e as suas respectivas redes de informação e inovação. Acompanhe o artigo que preparamos e fique por dentro das principais questões a respeito do assunto. Boa leitura! O que é a Threat Intelligence? Na tradução literal do inglês, o termo significa “inteligência de ameaças”. A ideia do conceito é englobar tudo o que envolve medidas necessárias para a prevenção de ataques cibernéticos e para mitigar os efeitos causados por eles em uma organização, como o estudo e o desenvolvimento de conhecimento e ferramentas, por exemplo. É uma espécie de plataforma de inteligência contra ameaças. A Threat Intelligence usa conhecimento com base na evidência, incluindo contextos, mecanismos, indicadores, conselhos e implicações sobre os riscos existentes ou emergentes. Ela é baseada em uma espécie de efeito de rede do bem, com compartilhamento constante de informações e experiências que ajudem na prevenção, detecção e solução de problemas relativos aos ataques de crackers, fraudadores e outros tipos de criminosos da internet. O principal objetivo da técnica é profissionalizar a coleta e a análise de informações que podem balizar decisões táticas e estratégicas para lidar com as ameaças. Além de permitir tomar decisões de segurança apoiadas em dados de forma mais ágil, bem como alterar seu comportamento de reativo para proativo no enfrentamento contra os agentes da ameaça. Para isso, há de se considerar, obviamente, as especificidades de cada modelo de negócio e suas respectivas ameaças, mas sem nunca perder de vista que uma ameaça, ainda que pareça distante, jamais deve ser desprezada. Como aplicá-la? Em geral, podemos dizer que o modo de atuação da segurança da informação tem sido pautado, nos últimos anos, na prevenção de fraudes, na utilização de tecnologias e na aplicação das melhores práticas para defesa das organizações. Porém, com o objetivo de desenvolver mecanismos de defesa eficazes e reduzir os riscos que podem afetar os resultados financeiros e a reputação das empresas, o Threat Intelligence tem como base outras vertentes de segurança. Existem, basicamente, dois níveis de aplicação da Threat Intelligence. Um deles é o tático operacional, que funciona para alimentar a inteligência de máquinas que operam as soluções voltadas à segurança, como as usadas para aplicar soluções antifraude, por exemplo. O outro nível de aplicação é o estratégico. Nele, há o estudo e o desenvolvimento de conhecimento e ferramentas voltadas à qualificação de profissionais que atuarão diretamente no combate às ameaças cibernéticas dentro das empresas. Nesse nível, discute-se objetivos, técnicas, ferramentas, procedimentos. O tipo de informação analisada é de mais alto nível, focando em comportamento. Em termos práticos, o tático operacional muda com mais regularidade do que o estratégico, uma vez que se altera uma infraestrutura de ataque, domínio ou servidor, mas não seu modo de operação. Em todos os níveis, a Threat Intelligence é direcionada para ações de prevenção, detecção, resposta rápida a incidentes, tomada de decisão, análise de indicadores, entre outras. Por que a Threat Intelligence é tão importante para as empresas? No mundo da cibersegurança, os criminosos estão constantemente tentando se superar, estando cada vez mais organizados e realizando ações mais sofisticadas e difíceis de serem identificadas em tempo hábil para interceder com ações paliativas. Portanto, as informações sobre o próximo movimento de um agente de ameaça são cruciais para adaptar proativamente suas defesas e prevenir ataques futuros. Diante disso, as organizações estão reconhecendo cada vez mais o valor da Threat Intelligence. Essa estratégia é importante para as empresas, sobretudo, pelos seguintes motivos esclarece as questões desconhecidas, permitindo que as equipes de segurança tomem melhores decisões; capacita as partes interessadas da segurança cibernética, revelando motivos adversários e suas táticas, técnicas e procedimentos TTPs; auxilia os profissionais de segurança a entenderem melhor o processo de tomada de decisão do responsável pela ameaça; prepara as partes interessadas do negócio, como conselhos executivos, CISOs, CIOs e CTOs, para investir com sabedoria, mitigar riscos, tornar-se mais eficiente e tomar decisões mais rápidas. Ter um conceito de Threat Intelligence bem-aplicado é um passo muito importante para que as empresas e organizações possam estar sempre à frente dos criminosos cibernéticos. É por meio dela que muitas empresas se tornam parte do efeito de rede de informações que os protege e mantêm informados sobre riscos e ameaças de várias fontes, bem como sobre os meios de combater cada uma delas. Ainda com base nos resultados de uma boa Threat Intelligence, as empresas conseguem se tornar mais proativas diante da simples possibilidade de estar no alvo das ameaças que se obtém conhecimento. Portanto, de forma resumida, as empresas se mantêm um passo à frente com essa estratégia, garantindo a proteção dos dados e a segurança da informação. Dessa forma, pode-se evitar vazamentos e outros crimes cibernéticos, minimizando as chances de prejuízos financeiros e de reputação à empresa. Qual o ciclo de vida da Threat Intelligence? O ciclo de vida da inteligência contra ameaças cibernéticas é um processo para transformar dados brutos em inteligência para tomada de decisão e ação. Existem diversas versões relativamente diferentes do ciclo de inteligência, mas o objetivo de todas é o mesmo guiar uma equipe de segurança cibernética no desenvolvimento e na execução de um programa eficaz de inteligência contra ameaças. O ciclo fornece uma estrutura que permite que as equipes otimizem seus recursos e respondam com eficácia ao cenário moderno de ameaças. Essa técnica consiste em seis etapas, resultando em um ciclo de feedback para encorajar a melhoria contínua. A seguir, confira como ele funciona! 1. Planejamento e direção Nessa fase de planejamento e direção, a equipe definirá os objetivos e a metodologia de seu programa de inteligência com base nas necessidades das partes interessadas envolvidas. Isso envolve entender e articular quem são os atacantes e suas motivações; qual é a área de ataque; quais ações específicas devem ser tomadas para fortalecer suas defesas contra um ataque futuro. Não se esqueça de priorizar os objetivos da Threat Intelligence baseado em fatores como o grau de adesão aos valores essenciais da sua empresa e o tamanho do impacto que terá a decisão. 2. Coleta Uma vez definido o direcionamento, a equipe deve coletar dados brutos que atendam às exigências determinadas. Dependendo dos objetivos, é necessário buscar registros de tráfego, fontes de dados disponíveis publicamente, fóruns relevantes, mídias sociais e especialistas no setor ou no assunto. Uma dica importante é automatizar a coleta e o processamento. Afinal, os analistas devem gastar menos tempo coletando dados, para, então, avaliar e comunicar informações sobre ameaças com mais cautela. 3. Processamento Depois que os dados forem coletados, eles devem ser processados em um formato adequado para análise. Na maioria das vezes, isso envolve classificá-los, organizar pontos de dados em planilhas, descriptografar arquivos, traduzir informações de fontes estrangeiras e avaliar a relevância e confiabilidade dos dados. 4. Análise A próxima fase é compreender os dados gerados. Depois que o conjunto de dados for processado, a equipe deve conduzir uma análise completa para buscar as respostas feitas na fase de direção, assim como pesquisar possíveis problemas de segurança. Durante a análise, a equipe também trabalha para decifrar o conjunto de dados em itens de ação e recomendações valiosas para as partes interessadas. 5. Disseminação A fase de disseminação requer que a equipe de inteligência de ameaças interprete sua análise em um formato mais simples e apresente os resultados às partes interessadas. Portanto, para que a estratégia seja eficaz, ela precisa chegar às pessoas certas no momento ideal. Na maioria dos casos, as recomendações devem ser apresentadas de maneira concisa, sem confundir o jargão técnico. 6. Feedback A fase final do ciclo envolve obter o feedback sobre o relatório fornecido para determinar se ajustes precisam ser realizados para futuras operações de inteligência de ameaças. Desse modo, depois de receber o resultado da estratégia finalizado, o solicitante o analisa e determina se suas questões foram respondidas. Como se proteger de ameaças cibernéticas? Tão velozes quanto o desenvolvimento de novas tecnologias, os criminosos cibernéticos permanecem muito próximos, desenvolvendo e executando formas avançadas que desafiam até mesmo as equipes de segurança cibernética com mais conhecimento técnico. Por isso, monitorar esses perigos é fundamental. Assim, é possível aproveitar a tecnologia para identificar e desarmar as ameaças cibernéticas antes que tenham a chance de causar danos reais aos consumidores e aos negócios. Para se proteger com eficiência, é preciso combinar o melhor da tecnologia disponível para Threat Intelligence com profissionais especializados. Nesse sentido, destacam-se alguns mecanismos. Veja abaixo. Leak Alert Na tradução direta da língua inglesa, Leak Alert significa alerta de vazamento. Sua importância está ligada ao controle de dados sensíveis, tanto de pessoas quanto de organizações. Um alerta de disseminação bem-desenvolvido pode fazer a diferença quando um vazamento de dados está prestes a acontecer, ou, ainda que já tenha acontecido, haja tempo hábil para ações que possam minimizar impactos e estancar o vazamento. Takedown O takedown algo como derrubar, na tradução do inglês diz respeito a eliminar as ameaças externas às organizações. Dentro do conceito de takedown estão ações como o monitoramento contínuo de clientes, colaboradores e parceiros, identificação de padrões de ataques que acontecem no mercado, entre outros. Tais ações permitem uma visão ampla dos fatores externos e permite que se elimine possíveis ameaças. Como utilizar a Threat Intelligence a seu favor? Como você pôde ver ao longo deste artigo, a Threat Intelligence é uma grande aliada na identificação de possíveis ameaças e na definição de ações que possam manter a segurança do seu negócio. Isso porque trata-se de um mecanismo de cibersegurança estratégico, que auxilia as empresas na obtenção de informações necessárias para proteger sua infraestrutura de TI e seus dados empresariais. Mais que nunca, compartilhar conhecimento e colaborar para tornar o mercado mais seguro, ainda mais quando se combate um tipo de crime tão colaborativo e dinâmico, é uma atitude quase que mandatória para todas as organizações que buscam o crescimento sustentável de seus respectivos modelos de negócios. Por fim, ter uma percepção correta do que o serviço pode oferecer é fundamental para que as empresas saibam aproveitar todas as vantagens da Threat Intelligence. Estamos falando de uma estratégia que deve ser contínua, para que as informações consideradas críticas possam ser enviadas com rapidez e as ações necessárias para combater essas ameaças sejam realizadas com sucesso. Gostou do nosso artigo? Entre em contato com a ClearSale por meio do formulário abaixo e fique por dentro do nosso produto, o Threat Intelligence. Conteúdo relacionado O que é retenção de clientes e seis estratégias para aplicá-la Due Diligence Financeira o que é e qual o objetivo para as empresas O que é KYP saiba tudo sobre quem está negociando com você O que é acurácia o conceito, a importância e como aplicar Escrito por Felipe Tchilian Jornalista responsável pela produção de conteúdo da ClearSale, é graduado pela Universidade São Judas Tadeu e pós-graduado em Comunicação Multimídia pela FAAP. Tem 10 anos de experiência em redação e edição de reportagens, tendo participado da cobertura dos principais acontecimentos do Brasil e do mundo. Renovado após seis meses de estudo e vivência no Canadá, aplica agora seus conhecimentos às necessidades do mundo corporativo na era do Big Data. Tấn công mạng diễn ra hàng ngày, thường xuyên, phức tạp và ẩn giấu nhằm phá vỡ lớp bảo vệ bên ngoài của các doanh nghiệp. Các kỹ thuật mới của tin tặc buộc các công ty an ninh mạng cũng phải cải tiến việc bảo vệ, một trong số đó là sự ra đời của Cyber Threat Intelligence, nghĩa là thông tin tình báo về mối đe dọa an ninh mạng. Thay vì bị động bảo vệ hệ thống trước các vụ tấn công, Threat Intelligence chủ động đi tìm các nguồn tấn công thông qua một loạt các biện pháp theo giấu, tìm kiếm phân tích dữ liệu trên không gian mạng, từ nguồn mở đến nguồn đóng như dark/deep web. Sau khi có kết quả, dữ liệu về mối đe dọa sẽ được gửi cho các khách hàng là doanh nghiệp sử dụng dịch vụ Threat Intelligence. Từ đây, các doanh nghiệp sẽ có những biện pháp tăng cường bảo mật, vá lỗ hổng nguy hiểm, cảnh báo đến nhân sự những mối đe dọa tiềm tàng có thể xuất hiện trong các email lạ. Chẳng hạn, tình báo thông minh của Kaspersky có thể phát hiện hơn mã độc mới mỗi ngày bằng cách quét hơn 20PB 20 triệu GB dữ liệu nguy hiểm. Nhờ điều tra và phát hiện sớm, các doanh nghiệp có thể chủ động đối phó với những mã độc nguy hiểm nhất ngay trước khi nó kịp lây lan. Báo cáo của IBM năm 2019 cho thấy có 8,5 tỷ vụ xâm nhập an ninh mạng vào năm 2019, trong đó có hơn 150,000 lỗ hổng bảo mật khiến các tổ chức phải đau đầu tìm cách vá. Kết quả là các vụ tấn công công nghệ vận hành OT đã tăng so với năm trước đó. OT được sử dụng chủ yếu trong công nghiệp sản xuất khép kín nhưng nay đã trở thành miếng mồi béo bở với các tin tặc ở thời đại Internet vạn vật kết nối này IoT. Điều này cho thấy sự cần thiết của việc trang bị Threat Intelligence với mọi loại hình doanh nghiệp khác nhau. Các doanh nghiệp sau khi đăng ký sử dụng với các nhà cung cấp Viettel, CMC, FireEye, Bitdefender... sẽ nhận được thông tin về các mối đe dọa mất an toàn an ninh mạng và cách phòng ngừa nó liên tục 24/7. Tuy nhiên, bởi vì Threat Intelligence đưa ra cảnh báo sớm và ngăn chặn các mối đe dọa, nên khách hàng có thể sẽ không nhìn thấy được lợi ích của việc sử dụng dịch vụ này. Chỉ đến khi bị tấn công và chịu thiệt hại nhất định, doanh nghiệp mới tỉnh đòn’. Hồi cuối tháng 7/2020, Công ty Chứng khoán VPS Hà Nội đã phải chịu các đợt tấn công DDoS liên tiếp gây ảnh hưởng không nhỏ tới hoạt động giao dịch của các nhà đầu tư. Theo báo cáo của công ty an ninh mạng Recorded Future, các giải pháp Threat Intelligence đã giúp khách hàng của họ đạt tỷ suất hoàn vốn tăng 284%, giảm 34% thời gian cho các nhân viên làm báo cáo an ninh mạng, tăng 32% hiệu quả hoạt động của đội IT, giúp phát hiện sớm gấp 10 lần mối đe dọa, và các giải pháp an ninh mạng hiệu quả nhanh hơn 63%. Tuy vậy, mức giá từ vài nghìn đến hàng chục nghìn USD mỗi năm cho sử dụng dịch vụ Threat Intelligence có thể làm các doanh nghiệp vừa và nhỏ chùn bước. Ngoài ra, mỗi công ty an ninh mạng sẽ có một cơ sở dữ liệu khác nhau, đáp ứng các nhu cầu bảo vệ ở những mức độ khác nhau cho từng doanh nghiệp. Theo Kaspersky, các giải pháp giá rẻ khác mà các doanh nghiệp vừa và nhỏ có thể triển khai nếu không muốn sử dụng các công cụ thông minh là phân quyền truy cập của nhân viên theo cấp bậc, cung cấp VPN để kết nối, tuyên truyền nâng cao nhận thức của nhân viên về việc sử dụng email trong công ty, không sử dụng các phần mềm lậu. Tất nhiên, đây chỉ là các giải pháp giúp hạn chế phần nào rủi ro phát sinh từ nội bộ và không thể ngăn chặn được các cuộc tấn công có chủ đích từ bên ngoài. Đó là lý do các doanh nghiệp không chuyên, có quy mô từ 50 người trở lên cần trang bị các biện pháp bảo vệ mạnh hơn như dùng dịch vụ Threat Intelligence, nền tảng Trung tâm SOC, theo khuyến cáo của các chuyên gia. Hãng bảo mật Bitdefender đưa ra dự báo đến năm 2020, 20% các doanh nghiệp lớn sẽ trang bị dịch vụ Threat Intelligence so với chỉ hơn 10% như hiện nay. Cyber threat intelligence là gì ? Threat Intelligence là kiến thức, kỹ năng và thông tin dựa trên kinh nghiệm liên quan đến sự xuất hiện và đánh giá cả các mối đe dọa mạng và vật lý cũng như các tác nhân đe dọa nhằm giúp giảm thiểu các cuộc tấn công tiềm ẩn và các sự kiện có hại nhắm vào các tổ chức, ngành, lĩnh vực hoặc chính phủ. Phân loại Threat Intelligence hướng tới việc tìm hiểu mối quan hệ giữa môi trường hoạt động của bạn và đối thủ của bạn. Strategic Intel Thông tin cấp cao xem xét bối cảnh mối đe dọa của tổ chức và vạch ra các khu vực rủi ro dựa trên xu hướng, mô hình và các mối đe dọa mới nổi có thể ảnh hưởng đến các quyết định kinh Intel Xem xét bằng chứng và tác nhân về cuộc tấn công của kẻ thù. Các nhóm Ứng phó Sự cố có thể sử dụng thông tin này để tạo ra bề mặt tấn công cơ bản nhằm phân tích và phát triển các cơ chế phòng Intel Đánh giá chiến thuật, kỹ thuật và thủ tục TTP của đối thủ. Thông tin này có thể tăng cường các biện pháp kiểm soát bảo mật và giải quyết các lỗ hổng thông qua các cuộc điều tra thời gian Intel Xem xét động cơ và ý định cụ thể của kẻ thù để thực hiện một cuộc tấn công. Các nhóm bảo mật có thể sử dụng thông tin này để hiểu các tài sản quan trọng có sẵn trong tổ chức con người, quy trình và công nghệ có thể được nhắm mục tiêu. Các công cụ đánh giá, điều tra mối đe doạ mạng là một dịch vụ miễn phí được phát triển để hỗ trợ quét và phân tích các trang web. Nó được sử dụng để tự động hóa quá trình duyệt và thu thập thông tin qua các trang web để ghi lại các hoạt động và tương tác. Khi một URL được gửi, thông tin được ghi lại bao gồm các miền và địa chỉ IP được liên hệ, tài nguyên được yêu cầu từ các miền, ảnh chụp nhanh của trang web, các công nghệ được sử dụng và siêu dữ liệu khác về trang web. Kết quả quét URL cung cấp thông tin phong phú, với các lĩnh vực chính sau đây là cần thiết để xem xét Summary Cung cấp thông tin chung về URL, từ địa chỉ IP đã xác định, chi tiết đăng ký miền, lịch sử trang và ảnh chụp màn hình của trang Cung cấp thông tin về các kết nối HTTP do máy quét thực hiện với trang web, với thông tin chi tiết về dữ liệu được tìm nạp và các loại tệp nhận Hiển thị thông tin về bất kỳ chuyển hướng HTTP và phía máy khách đã xác định nào trên trang Hiển thị tất cả các liên kết được xác định đi từ trang chủ của trang Cung cấp chi tiết về các biến và cookie được tìm thấy trên trang web. Những điều này có thể hữu ích trong việc xác định các khuôn khổ được sử dụng để phát triển trang Liệt kê tất cả IP, miền và mã băm được liên kết với trang web. Các chỉ báo này không ngụ ý hoạt động độc hại liên quan đến trang web. là một dự án nghiên cứu được tổ chức bởi Viện Kỹ thuật và An ninh Mạng tại Đại học Khoa học Ứng dụng Bern ở Thụy Sĩ. Nó được phát triển để xác định và theo dõi phần mềm độc hại và mạng botnet thông qua một số nền tảng hoạt động được phát triển trong dự án. Các nền tảng này là Malware Bazaar Một tài nguyên để chia sẻ các mẫu phần mềm độc Tracker Một tài nguyên được sử dụng để theo dõi và điều khiển C2 cơ sở hạ tầng botnet được liên kết với Emotet, Dridex và Blacklist Tài nguyên để thu thập và cung cấp danh sách chặn các chứng chỉ SSL độc hại và dấu vân tay JA3/ Haus Một tài nguyên để chia sẻ các trang web phân phối phần mềm độc Fox Một tài nguyên để chia sẻ các chỉ số về sự thỏa hiệp IOC. PhishTool PhishTool tìm cách nâng cao nhận thức về lừa đảo là một hình thức tấn công nghiêm trọng và cung cấp một phương tiện bảo mật email đáp ứng. Thông qua phân tích email, các nhà phân tích bảo mật có thể phát hiện ra các IOC qua email, ngăn chặn vi phạm và cung cấp các báo cáo pháp y có thể được sử dụng trong các hoạt động đào tạo và ngăn chặn lừa đảo. Các tính năng chính bao gồm Perform email analysis PhishTool truy xuất siêu dữ liệu từ các email lừa đảo và cung cấp cho các nhà phân tích các giải thích và khả năng liên quan để theo dõi các hành động, tệp đính kèm và URL của email để xử lý tình intelligence OSINT được đưa vào công cụ để cung cấp cho các nhà phân tích thông tin tình báo cần thiết để tránh các cuộc tấn công dai dẳng và hiểu những gì TTP đã được sử dụng để trốn tránh các biện pháp kiểm soát an ninh và cho phép kẻ thù tấn công xã hội một mục and reporting Việc phân loại email lừa đảo được tiến hành để cho phép các nhà phân tích nhanh chóng thực hiện hành động. Ngoài ra, các báo cáo có thể được tạo ra để cung cấp hồ sơ pháp y có thể được chia sẻ. Sau khi tải lên, email được hiển thị với cái nhìn sâu hơn Headers Cung cấp thông tin định tuyến của email, chẳng hạn như địa chỉ email nguồn và đích, địa chỉ IP và DNS gốc và Dấu thời Lines Thông tin chi tiết về quy trình truyền tải email trên nhiều máy chủ SMTP khác nhau cho mục đích truy Đây là các tiêu đề mở rộng được thêm bởi hộp thư người nhận để cung cấp thêm thông tin về Chi tiết về các chính sách và khuôn khổ bảo mật email như Khung chính sách người gửi SPF, Thư được xác định theo DomainKeys DKIM và Xác thực Thư dựa trên Miền, Báo cáo và Tuân thủ DMARC.Attachments Liệt kê bất kỳ tệp đính kèm nào được tìm thấy trong URLs Các URL bên ngoài được liên kết được tìm thấy trong email sẽ được tìm thấy ở đây. Cisco Talos Intelligence Các công ty CNTT và An ninh mạng thu thập một lượng lớn thông tin có thể được sử dụng để phân tích mối đe dọa và tình báo. Là một trong những công ty đó, Cisco đã tập hợp một nhóm lớn các học viên bảo mật có tên là Cisco Talos để cung cấp thông tin thông minh có thể hành động, khả năng hiển thị trên các chỉ số và bảo vệ chống lại các mối đe dọa mới nổi thông qua dữ liệu thu thập từ các sản phẩm của họ. Giải pháp có thể truy cập là Talos Intelligence. Cisco Talos bao gồm sáu nhóm chính Threat Intelligence & Interdiction Tương quan và theo dõi các mối đe dọa nhanh chóng cung cấp một phương tiện để biến các IOC đơn giản thành thông tin giàu ngữ Research Phân tích lỗ hổng và phần mềm độc hại được thực hiện để tạo ra các quy tắc và nội dung để phát hiện mối đe & Development Cung cấp hỗ trợ bảo trì cho các động cơ kiểm tra và cập nhật chúng để xác định và loại bỏ các mối đe dọa mới xuất Research & Discovery Làm việc với các nhà cung cấp dịch vụ và phần mềm để phát triển các phương tiện xác định và báo cáo các lỗ hổng bảo mật có thể lặp Duy trì hình ảnh của nhóm và các giải pháp nguồn Outreach Phổ biến thông tin tình báo cho khách hàng và cộng đồng bảo mật thông qua các ấn phẩm Các tab chính mà nhà phân tích sẽ tương tác là Vulnerability Information Các báo cáo về lỗ hổng được tiết lộ và zero-day được đánh dấu bằng số CVE và điểm CVSS. Chi tiết về các lỗ hổng được báo cáo được cung cấp khi bạn chọn một báo cáo cụ thể, bao gồm cả tiến trình thực hiện để báo cáo được xuất bản. Các cố vấn về lỗ hổng bảo mật của Microsoft cũng được cung cấp, với các quy tắc snort hiện hành có thể được sử CenterCung cấp quyền truy cập vào dữ liệu mối đe dọa có thể tìm kiếm liên quan đến IP và tệp bằng cách sử dụng hàm băm SHA256 của chúng. Các nhà phân tích sẽ dựa vào những lựa chọn này để tiến hành điều tra của & Spam Data Bạn có thể tìm thấy dữ liệu thư rác và email bổ sung. Thiên Phong Người mà bạn trông đợi, chỉ có mình bản thân bạn mà thôi !

threat intelligence là gì