В отличие от традиционных решений для киберразведки платформа Anomali не только предоставляет оперативные данные о новых угрозах, но и позволяет осуществлять комплексный анализ инцидентов, а также автоматизировать исследование индикаторов компрометации.
«Инфосистемы Джет» будет внедрять решения Anomali в рамках партнерского соглашения с вендором. Перед включением решений Anomali Threat Stream, Match и Lens в портфель услуг компании, специалисты «Инфосистемы Джет» провели тестирование и убедились, что решения помогают быстрее и эффективнее выявлять новые угрозы ИБ в рамках деятельности SOC (Security Operations Center). Также специалисты на практике проверили возможность интеграции платформы с другими системами информационной безопасности (включая такие, как SIEM, FW, EDR и другие).
После полномасштабного тестирования платформы мы остались довольны тем спектром возможностей, которые предлагают все три компонента вместе — ThreatStream, Match и Lens. Тестовая интеграция с SIEM-системами ArcSight и FortiSIEM прошла без каких-либо сложностей, а взаимодействие решений с межсетевыми экранами Check Point позволило настроить моментальное реагирование на появление новых данных. Мы убедились, что решения Anomali помогают быстрее реагировать на инциденты за счет того, что исключают рутинную работу по ручному поиску связей между индикаторами компрометации и инцидентами.
Анна Богданова,
руководитель направления SOC центра информационной безопасности «Инфосистемы Джет».
Сотрудничество с “Инфосистемы Джет” имеет стратегическое значение для Anomali на российском рынке. Специалисты ИТ-компании имеют большой опыт работы с системами информационной безопасности и смогут помочь заказчикам интегрировать средства киберразведки в экосистему их SOC для достижения максимального уровня защиты.
Илья Осадчий,
директор по развитию «Тайгер Оптикс», эксклюзивного дистрибьютора Anomali в России.
Выводы специалистов «Инфосистемы Джет» о возможностях решений Anomali
Решение ThreatStream позволяет получать оперативные данные (индикаторы компрометации) из разных источников для противодействия новым угрозам. Среди особенностей — возможность сопоставлять потоки данных от различных поставщиков, встроенная система скоринга и функции обогащения информации дополнительными данными. За счет интеграции с SIEM-системами, межсетевыми экранами и другими системами ИБ ThreatStream позволяет усиливать защиту по мере обнаружения новых угроз в реальном времени.
Решение Anomali Match предназначено для аналитики кибербезопасности. С помощью этого решения специалисты ИБ могут узнавать о случаях, когда устройства уже были скомпрометированы, но данные об индикаторах таких атак еще не были известны поставщикам подписок ИБ. Система обладает функциями проактивного поиска угроз (Threat Hunting), сетевой форензики (Network Forensic) и ретроспективного анализа (Retrospective Analysis). Последний позволяет обнаруживать следы компрометации в архивах событий сроком давности до 10 лет. Возможность такого долгосрочного анализа обеспечивается специальным механизмомам сжатия данных и выборочного хранения ключевых полей событий. Для решения своих задач Match использует базу постоянно обновляющихся данных об индикаторах компрометации (IoC).
Решение Anomali Lens представляет собой контент-парсер на базе инструмента natural language processing (NLP), который устанавливается в виде плагина для браузера. Anomali Lens анализирует и автоматически подсвечивает на веб-страницах и в веб-приложениях те данные, которые могут относиться к угрозам информационной безопасности. В том числе плагин обнаруживает индикаторы компрометации, APT-группировки и их кампании, названия вредоносных файлов, а также техники, тактики и процедуры (TTP) согласно матрице MITRE.
Тестирование Anomali Lens взяли на себя специалисты Jet CSIRT – центра мониторинга и реагирования на инциденты ИТ-компании «Инфосистемы Джет». При расследовании инцидентов информационной безопасности аналитики Jet CSIRT часто сталкиваются с необходимостью исследовать те или иные индикаторы компрометации. Использование Anomali Lens показало, что автоматизация этой работы позволяет значительно ускорить реагирование на инциденты ИБ. Этого удаётся добиться за счёт сокращения времени поиска необходимой информации и оперативной проверки обнаруженных сущностей на предмет наличия вредоносной активности.