Plataforma de inteligencia de amenazas de Anomali
Reseña de: Dave Mitchell
Proveedor: Anomalí
Sitio web: www.anomali.com
Precio: Según el tamaño de la organización
Puntuaciones:
Rendimiento 5/5
Características 5/5
Valor por su dinero 4.5 / 5
Facilidad de uso 4/5
En general 5/5
Veredicto:
Anomali arma a sus equipos de seguridad cibernética al proporcionar toda la inteligencia que necesitan para detectar, evaluar y mitigar las amenazas.
Las empresas que dependen de respuestas reactivas a las amenazas cibernéticas están buscando problemas. Un número cada vez mayor de empresas solo descubren violaciones de datos a menudo meses después de que ocurrieron, por lo que todo lo que pueden hacer es reconocer, limitar los daños y prepararse para una multa potencialmente punitiva.
Los analistas de ciberseguridad están en primera línea, pero para poder adoptar una postura más proactiva, necesitan conocimientos. La inteligencia de amenazas puede marcar la diferencia, ya que les proporciona la información que necesitan para predecir el próximo ataque y fortalecer sus defensas de red en consecuencia.
La plataforma de inteligencia de amenazas (TIP) de Anomali está diseñada para proporcionar el conocimiento que los analistas y los cazadores de amenazas exigen para estar un paso por delante de sus adversarios. Consta de tres componentes centrales, ThreatStream, Match y Lens, que agrega inteligencia sobre amenazas de una amplia gama de fuentes y fuentes, la transforma en formatos comprensibles y procesables y se integra a la perfección con las herramientas de seguridad existentes.
El panel de ThreatStream proporciona un resumen detallado de la inteligencia sobre amenazas, las últimas actividades y alertas.
Anomali ThreatStream
Anomali ThreatStream está disponible en tres opciones de implementación. Puede elegir entre la nube nativa, alojada en las instalaciones o para entornos donde los requisitos de seguridad son particularmente estrictos, puede elegir una solución de espacio de aire.
Revisamos la versión nativa en la nube de Anomali ThreatStream, donde el panel del portal se abre con una descripción general basada en widgets de todas las fuentes de inteligencia, feeds, alertas, tareas pendientes y las últimas actividades. Incluso un vistazo rápido muestra cuánta inteligencia puede proporcionar y la barra de búsqueda universal del portal nos permitió obtener rápidamente detalles sobre entidades que van desde actores, campañas e investigaciones hasta malware, observables, boletines de amenazas y vulnerabilidades.
El mapa inteligente MyEvents muestra la inteligencia más reciente sobre amenazas globales y los países de los que emanan, además de detalles específicos sobre observables que han activado alertas en herramientas de seguridad integradas como SIEM. Junto con los resúmenes semanales, puede ver todas las amenazas relevantes para las comunidades de Anomali de las que es miembro y crear informes detallados sobre la actividad de los usuarios que se remontan a un año.
La tienda APP (Alliance Premium Partner) es un mercado de inteligencia de amenazas que brinda acceso a una gran cantidad de socios de Anomali para agregar flujos de inteligencia de amenazas mejorados
Usando inteligencia de amenazas
Una característica clave de ThreatStream es su banco de trabajo Investigations, que se utiliza para profundizar en las amenazas de interés. Las investigaciones son fáciles de crear, ya que agrega los observables deseados, los asigna a un usuario o grupo de trabajo y, si es necesario, utiliza la integración de ThreatStream con ServiceNow para asignar un ticket.
Desde el banco de trabajo de investigación, los usuarios pueden ver todas las entidades asociadas, ver enlaces, hacer conexiones y agregar más entidades buscando observables y modelos de amenazas ya disponibles en ThreatStream. La selección de una entidad permite realizar búsquedas profundas para ver qué asociaciones ya están disponibles sobre ella, como actores, malware y vulnerabilidades.
Para el correo electrónico, puede buscar la inteligencia de amenazas de Whois, mientras que para las URL, puede buscar la inteligencia en los certificados SSL. La herramienta ThreatStream Explore también entra en juego, ya que puede usarla para buscar información interna y externa que pueda estar relacionada con la investigación.
Cualquier información que aún no esté disponible en ThreatStream se puede importar como nuevos observables para mejorar la inteligencia disponible. Además, las investigaciones completas se pueden exportar a ThreatStream como entidades de modelo de amenaza específicas.
La página Investigaciones proporciona un espacio de trabajo colaborativo para un análisis profundo de amenazas.
Detonación de la caja de arena
ThreatStream Sandbox se puede utilizar para cargar archivos o contenido sospechosos y detonar de forma segura sus cargas útiles. Accedido desde la pestaña Investigación de la consola, pegas una URL o cargas un archivo, eliges la plataforma de Windows en la que quieres probarlo y decides la visibilidad de los resultados.
Probamos esto cargando archivos adjuntos a correos electrónicos de phishing genuinos y, en promedio, tuvimos que esperar alrededor de dos horas mientras se procesaban en la caja de arena predeterminada de código abierto Cuckoo. Sin embargo, la espera valió la pena, ya que seleccionar una entrada proporcionó descripciones detalladas de la carga útil y un análisis de comportamiento acompañado de capturas de pantalla de sandbox que muestran los procesos de detonación.
Los correos electrónicos de phishing se pueden ingerir en ThreatStream creando una entrada de correo electrónico de importación en la página Configuración y optando por crear automáticamente una investigación o un boletín de amenazas y detonar las URL y los archivos adjuntos. Sin costo adicional, puede cambiar a Joe Sandbox de Joe Security, que creemos que es una obviedad, ya que proporciona un análisis más profundo y es mucho más rápido que Cuckoo con nuestras muestras de malware procesadas en aproximadamente 15 minutos.
La zona de pruebas ThreatStream se puede utilizar para detonar de forma segura cargas útiles sospechosas y crear investigaciones.
Match, integrador y lente
La inteligencia de amenazas no se trata solo de predecir el próximo ataque, sino también de encontrar aquellos que ya han atacado y violado su red. Anomali Match aprovecha la inteligencia de los sistemas de seguridad existentes al tomar datos de registro de múltiples fuentes, como Syslog, SIEM, NetFlow y sFlow.
Utilizando la inteligencia ThreatStream, Match compara millones de IOC (indicadores de compromiso) con los registros de tráfico de su red interna que se remontan a un año. Esto le permite identificar amenazas activas específicas para su organización y enviar alertas automáticamente a los SIEM.
Anomali Integrator es el siguiente paso lógico, ya que este componente comparte la inteligencia ThreatStream con sus sistemas de seguridad residentes para respaldar el bloqueo, la alerta y la reparación. Existen integraciones llave en mano para muchos sistemas de proveedores diferentes, incluidos SIEM, firewalls, servidores DNS, proxies y plataformas SOAR. Descubrimos que era fácil de instalar donde su consola de administración basada en navegador proporcionaba asistentes para conectarse con nuestra cuenta ThreatStream, descargar fuentes de inteligencia y seleccionar destinos para reenviar observables.
Aclamado como el primer analizador de contenido web basado en lenguaje de procesamiento natural (NLP), el innovador Anomali Lens hace que el conocimiento de la inteligencia de amenazas sea accesible para una audiencia mucho más amplia. La extensión del navegador Lens escanea cualquier contenido de la página web con un solo clic y utiliza resaltados de diferentes colores para identificar las amenazas detectadas, como actores, malware, URL, identificadores CVE y direcciones IP.
A medida que la extensión se registra en una cuenta de Anomali, el usuario puede crear instantáneamente un boletín e investigación de amenazas, importar el contenido y pivotar directamente a ThreatStream para un análisis más detallado. El analista puede usar Match para ver si su organización ya se ha visto afectada y hacer que Integrator entre en juego para transmitir la inteligencia a sus sistemas de seguridad internos.
Anomali Lens proporciona un análisis instantáneo de las páginas web y las instalaciones para crear boletines e investigaciones de amenazas.
Conclusión
Anomali es una plataforma de inteligencia de amenazas innegablemente poderosa capaz de entregar una gran cantidad de información relevante a los profesionales de la seguridad. Todo está perfectamente integrado en una única consola que permite a los analistas concentrarse en identificar y mitigar las amenazas reales a su organización sin verse obstaculizados por una cortina de humo de falsos positivos.