Threat Intelligence – Kaspersky nâng cao khả năng kiểm soát an toàn thông tin

Thông tin mô tả

Threat Intelligence của Kaspersky giúp nâng cao khả năng kiểm soát an toàn thông tin và khả năng điều tra với dữ liệu được cập nhật liên tục từ Kaspersky Lab. Báo cáo về các cuộc điều tra và phân tích mới nhất nhất của Kaspersky Lab về các phương pháp, chiến thuật và công cụ được sử dụng bởi các cuộc tấn công APT.

Giải Pháp Threat Intelligence – Kaspesky

1.1.        Hiện trạng

Các tổ chức trên tất cả các lĩnh vực đang phải đối mặt với tình trạng thiếu dữ liệu cập nhật để giúp họ quản lý các rủi ro liên quan đến các mối đe dọa an toàn thông tin. Việc thu thập thông tin toàn cầu, theo dõi, phân tích, diễn giải các kết quả thu nhận được nhằm giảm thiểu các mối đe dọa bảo mật cần tiêu tốn rất nhiều nguồn lực. Chính vì vậy các tổ chức đang có xu hướng sử dụng các dịch vụ cung cấp tri thức về an toàn thông tin được cung cấp bởi các hãng bảo mật có uy tín để có thể tận dụng được kinh nghiệm cũng như kỹ năng từ những chuyên gia hàng đầu, trong khi vẫn có thể tùy chỉnh các thông tin cho phù hợp với nhu cầu.

Threat Intelligence giúp nâng cao khả năng kiểm soát an toàn thông tin và khả năng điều tra với dữ liệu được cập nhật liên tục từ hãng. Báo cáo về các cuộc điều tra và phân tích mới nhất nhất của nhà cung cấp về các phương pháp, chiến thuật và công cụ được sử dụng bởi các cuộc tấn công.

Bộ sản phẩm này bao gồm các gói sau:

• Threat Data Feeds
• APT Intelligence Reporting
• Threat Lookup

1.2.        Threat Data Feeds

Các cuộc tấn công mạng xảy ra mỗi ngày. Các mối đe dọa mạng không ngừng gia tăng về tần suất cũng như độ tinh vi. Các kẻ tấn công hiện đang sử dụng chuỗi, chiến dịch tấn công xâm nhập phức tạp và các chiến thuật, kỹ thuật và thủ tục tùy chỉnh (TTP) để vượt qua các lớp phòng thủ dày đặc nhằm gây thiệt hại cho mục tiêu. Để bảo vệ hệ thống, các chuyên gia cần có các thông tin đầy đủ và cập nhật nhất về các mối đe dọa.

Threat Intelligence là giải pháp tổng hợp thông tin thám báo từ các nguồn có độ tin cậy cao như  trình thu thập thông tin web, Dịch vụ giám sát Botnet (Giám sát các mạng botnet 24/7/365), bẫy thư rác, nhóm nghiên cứu, web sâu, đối tác và dữ liệu lịch sử khác về các đối tượng độc hại.

Tất cả dữ liệu tổng hợp được kiểm tra và tinh chỉnh cẩn thận trong thời gian thực sử dụng nhiều kỹ thuật tiền xử lý, chẳng hạn như tiêu chí thống kê, Hệ thống chuyên dụng (hộp cát, công cụ heuristics, công cụ tương tự, hồ sơ hành vi, v.v.), xác nhận bởi chuyên gia. Từ đó tạo ra dữ liệu chỉ báo mối đe dọa được kiểm tra kỹ lưỡng có nguồn gốc từ thế giới thực và trong thời gian thực.

Bằng cách tích hợp nguồn cấp dữ liệu thông tin về mối đe dọa được cập nhật từng phút có chứa thông tin về các IPs, URL và mã băm đáng ngờ vào các biện pháp kiểm soát bảo mật hiện có (như hệ thống SIEM, SOC, firewall…), các nhóm bảo mật có thể tự động hóa quy trình xử lý ban đầu và cung cấp cho các chuyên gia của họ đủ thông tin để xác định ngay các cảnh báo cần được điều tra hoặc chuyển ngay tới các nhóm Ứng phó Sự cố (IR) để điều tra và ứng phó thêm.

Các tính năng chính của sản phẩm:

• Củng cố các giải pháp bảo vệ mạng của bạn, bao gồm SIEM, Tường lửa, IPS / IDS, Proxy, giải pháp DNS, chống APT, với các chỉ dấu thỏa hiệp (IOCs) được cập nhật liên tục. Cung cấp cái nhìn sâu sắc về các cuộc tấn công mạng và hiểu rõ hơn về ý định, khả năng và mục tiêu của các kẻ tấn công. Các giải pháp SIEM được hỗ trợ: HP ArcSight, IBM QRadar, Splunk, v.v
• Phát triển hoặc tăng cường bảo vệ tấn công cho các thiết bị mạng (Như routers, gateways, UTM).
• Cải thiện và tăng tốc khả năng ứng phó sự cố và điều tra bằng cách cung cấp cho các nhóm bảo mật / SOC các thông tin có ý nghĩa về các mối đe dọa và hiểu biết toàn cầu về những gì nằm đằng sau các cuộc tấn công có mục tiêu. Chẩn đoán và phân tích các sự cố bảo mật trên máy chủ và mạng hiệu quả hơn, và phân loại các tín hiệu từ các hệ thống nội bộ có liên quan tới các mối đe dọa không xác định để giảm thiểu thời gian ứng phó sự cố và phá vỡ chuỗi tấn công trước khi các hệ thống và dữ liệu quan trọng bị xâm phạm;
• Cung cấp thông tin về mối đe dọa cho các chuyên gia. Tận dụng thông tin trực tiếp về phần mềm độc hại đang phổ biến và các mối đe dọa khác để tăng cường năng lực phòng thủ;
• Giúp giảm thiểu các cuộc tấn công có mục tiêu. Tăng cường tình hình bảo mật của bạn bàng các thông tin về chiến thuật và chiến lược của các cuộc tấn công bằng cách điều chỉnh các chiến lược phòng thủ để chống lại các mối đe dọa cụ thể mà tổ chức của bạn phải đối mặt;
• Sử dụng thông tin về mối đe dọa để phát hiện nội dung độc hại được lưu trữ trên mạng và trung tâm dữ liệu của bạn;
• Ngăn chặn việc tiêu tẩy tài sản nhạy cảm và sở hữu trí tuệ từ máy bị nhiễm mã độc ra bên ngoài tổ chức, phát hiện tài sản bị nhiễm mã độc nhanh chóng, bảo vệ lợi thế cạnh tranh và mất cơ hội kinh doanh và bảo vệ uy tín thương hiệu của bạn;
• Tiến hành tìm kiếm sâu vào các chỉ báo mối đe dọa như giao thức lệnh và kiểm soát, địa chỉ IP, URL độc hại hoặc mã băm; các mối đe dọa được xác nhận bởi các chuyên gia cho phép phân loại các cuộc tấn công, cải thiện các quyết định phân bổ tài nguyên và chi tiêu công nghệ thông tin và hỗ trợ bạn tập trung vào việc giảm thiểu những mối đe dọa gây rủi ro nhất cho tổ chức;

1.3.                    APT Intelligence Reporting

APT Intelligence Reporting cung cấp cho bạn quyền truy cập liên tục vào thông tin từ các cuộc điều tra và khám phá của hãng. Các thông tin này là các dữ liệu kỹ thuật đầy đủ, được cung cấp trong một loạt các định dạng, trên mỗi cuộc tấn công APT, bao gồm cả những thông tin chưa được công khai.

Các báo cáo APT là một lượng lớn dữ liệu, được tổng hợp và phân tích bởi các chuyên gia có chuyên môn và trình độ cao. Mỗi báo cáo chứa một bản tóm tắt điều hành cung cấp thông tin mô tả ngắn gọn cho các lãnh đạo cấp cao (C-level report). Kèm theo đó là một bảng mô tả kỹ thuật chi tiết về APT với các IOCs và quy tắc Yara liên quan, cung cấp cho các nhà nghiên cứu bảo mật, nhà phân tích phần mềm độc hại, kỹ sư bảo mật, nhà phân tích bảo mật mạng và các nhà nghiên cứu APT dữ liệu có thể hành động để cho phép phản ứng nhanh chóng, chính xác với mối đe dọa liên quan.

1.4.                    Threat Lookup

Threat Lookup là một dịch vụ trong Threat Intelligence cung cấp quyền truy cập đầy đủ vào dữ liệu về các chỉ số thỏa hiệp (indicatior of compromise), mối quan hệ của chúng với các chỉ số khác và tất cả các loại thống kê.

Threat Lookup cung cấp tất cả kiến thức mà nhà cung cấp có được về các mối đe dọa mạng và các mối quan hệ của chúng, được tập hợp thành một dịch vụ web. Mục tiêu là cung cấp cho các nhóm bảo mật càng nhiều dữ liệu càng tốt, ngăn chặn các cuộc tấn công mạng trước khi chúng ảnh hưởng đến tổ chức. Nền tảng truy xuất thông tin về mối đe dọa chi tiết mới nhất về URL, tên miền, địa chỉ IP, băm tệp, tên mối đe dọa, dữ liệu thống kê / hành vi, dữ liệu WHOIS / DNS, thuộc tính tệp, dữ liệu vị trí địa lý, chuỗi tải xuống, dấu thời gian, v.v.. Kết quả là khả năng hiển thị toàn cầu về các mối đe dọa mới và mới nổi, giúp tăng cường khả năng bảo vệ và ứng phó sự cố.

Threat Lookup sẽ phát huy tác dụng tối đa với các tổ chức có bộ phận bảo mật thông tin chuyên biệt, vì dịch vụ này dành cho phân tích thủ công. Threat Lookup giảm thời gian xác định sự cố. Thông tin đầy đủ có sẵn ở một nơi duy nhất và các chuyên gia phân tích sẽ không phải chuyển sang các dịch vụ khác để kiểm tra hoặc bổ sung dữ liệu Tra cứu Mối đe dọa. Thông tin về đối tượng và các chỉ số liên quan giúp xác định mức độ nghiêm trọng của mối đe dọa: Có rất nhiều người dùng gặp phải sự cố tương tự? Ở các quốc gia nào? Các mẫu mã độc tương tự hoạt động như thế nào?

Trong quá trình ngăn chặn mối nguy Threat Lookup giúp các chuyên gia ứng phó tìm kiếm các các đối tượng liên quan đến chỉ báo được phát hiện đang hoạt động trên mạng, ngăn chặn URL và IPs là nguồn tải xuống đối tượng cũng như là đích để trích xuất dữ liệu ra ngoài

Ở giai đoạn loại trừ nguy cơ, Threat Lookup là một nguồn thông tin về tên và vị trí của các tệp độc hại trên hệ thống. Các chuyên gia không cần phải dành thời gian tìm kiếm tất cả các tệp liên quan đến mối đe dọa.

1.5.                    Tích hợp với SOC

Giải pháp Threat Data Feed được tích hợp với giải pháp SIEM để phát hiện hoạt động độc hại trên mạng. Cán bộ quản trị nhận được các thông tin cần thiết để nhận biết các rủi ro, cũng như giảm thiểu hiệu quả các mối đe dọa mạng và bảo vệ chống lại các cuộc tấn công đang diễn ra.

Luồng kết nối giữa nguồn thông tin mối đe dọa và hệ thống SIEM như sau:

• Các sự kiện đến được gửi từ các biện pháp kiểm soát bảo mật khác nhau và được SIEM thu thập.
• SIEM chuyển tiếp các sự kiện đã nhận tới thành phần CyberTrace thông qua kết nối TCP.
• Thành phần CyberTrace nhận các sự kiện có chứa URL, băm hoặc địa chỉ IP từ SIEM.
• CyberTrace tự động nhận được nguồn cấp dữ liệu mối đe dọa cập nhật từ internet.
• CyberTrace khớp với các khả năng quan sát (IP, URL, tên miền và băm) trong các sự kiện đã nhận với nguồn cấp dữ liệu mối đe dọa.
• Nếu có kết quả khớp với Nguồn cấp dữ liệu mối đe dọa, CyberTrace sẽ gửi sự kiện phù hợp trở lại giải pháp SIEM, và thông báo cho quản trị viên SIEM về sự cố bảo mật. Ngoài ra, số liệu thống kê phát hiện được lưu trữ trong CyberTrace để cho phép theo dõi xu hướng và xác định sự bất thường trong mạng của mình bằng cách sử dụng giao diện web CyberTrace.
• Nếu chế độ retroscan được bật, CyberTrace sẽ lưu trữ các vật liệu quan sát từ các sự kiện được kiểm tra để phù hợp trong tương lai với nguồn cấp dữ liệu mới nhất.

Các tính năng chính của hệ thống tích hợp giữa nguồn thông tin mối đe dọa và SIEM:

• Cấu hình bảng thông tin trong SIEM để hiển thị và ưu tiên thông tin về URL, địa chỉ IP và băm tệp có trong các sự kiện khớp với nguồn cấp dữ liệu mối đe dọa
• Bộ lọc để gửi sự kiện phát hiện đến các giải pháp SIEM giúp giảm tải cho hệ thống cũng như các nhà phân tích. Nó cho phép gửi đến các giải pháp SIEM chỉ những phát hiện nguy hiểm và chắc chắn nhất. Tất cả các phát hiện khác sẽ được lưu vào cơ sở dữ liệu nội bộ và có thể được sử dụng trong quá trình phân tích nguyên nhân gốc rễ hoặc trong săn tìm mối đe dọa.
• Cung cấp bảng thông tin để xem tổng quan nhanh, cũng như thông tin chi tiết hơn về các sự kiện phù hợp.
• Vận hành thông tin về mối đe dọa cho các nhóm bảo mật / SOC và hỗ trợ các nhà phân tích mối đe dọa trong quá trình điều tra.
• Cải thiện và tăng tốc khả năng ứng phó sự cố và pháp y số.
• Tự động cập nhật nguồn dữ liệu Mối đe dọa.
• Loại bỏ dương tính giả và hình thành phòng thủ chủ động, dựa trên trí thông minh.
• Hỗ trợ nguồn sự kiện từ tất cả các biện pháp kiểm soát bảo mật hiện có: Firewalls, IPS/IDS, Security Proxies, Anti-Virus, DNS, UTMs …

Yêu cầu phần cứng cài đặt CyberTrace

• CPU ≥ 32 core
• RAM ≥ 32 GB
• SSD ≥ 1TB

2.    HIỆU QUẢ ĐẦU TƯ

• Nhanh chóng cập nhật các thông tin và tri thức bảo mật cho đội ngũ chuyên gia
• Tích hợp và nâng cấp cho các quy trình và giải pháp bảo mật sẵn có
• Cải thiện và tăng tốc khả năng ứng phó sự cố và điều tra bằng cách cung cấp cho các nhóm bảo mật / SOC thông tin có ý nghĩa về các mối đe dọa và thông tin chi tiết về các cuộc tấn công có mục tiêu.
• Thực hiện phân tích mã độc mà không cần đầu tư hạ tầng phức tạp
• Hỗ trợ phát hiện và giảm thiểu các cuộc tấn công có mục tiêu. Tăng cường mức độ bảo mật của bạn bằng cách điều chỉnh các chiến lược phòng thủ để chống lại với các chiến thuật và kỹ thuật mới của kẻ tấn công.

3.    ĐÁNH GIÁ NHẬN ĐỊNH TỪ CÁC NHÀ PHÂN TÍCH VÀ CHUYÊN GIA:

Giải pháp Threat Intelligence của Kaspersky được đánh giá nằm trong nhóm leader của Forrester wave quý 1 năm 2021: