Threat Intelligence

Palo Alto Network verbessert seine Threat Intelligence-Plattform

, München, Palo Alto Network | Autor: Herbert Wieler

Palo Alto Network verbessert seine Threat Intelligence-Plattform

Verbessertes Threat Intelligence Management mit Cortex XSOAR TIM 3.0

Die sich ständig weiterentwickelnde Bedrohungslandschaft versetzt Security Operations Center (SOC)-Teams immer wieder in höchste Alarmbereitschaft. Während die Remote-Mitarbeiter versuchen, mit den Anforderungen ihrer neuen Arbeitsumgebung Schritt zu halten, versuchen Bedrohungsakteure beharrlich, jede Schwachstelle auszunutzen. Hinzu kommt der Mangel an hochqualifizierten Arbeitskräften, der die SOC-Teams mit einem endlosen Strom von Sicherheitsvorfällen überlastet. SOC-Teams benötigen daher eine hochwertige Threat Intelligence- Plattform (TIP), die mit einzigartigen intelligenten Funktionen ausgestattet ist, um mit TIP mehr zu erreichen als je zuvor.

Vor diesem Hintergrund erläutert Palo Alto die Evolution seiner Threat Intelligence-Plattform

Was ist neu in Cortex XSOAR Threat Intelligence Management 3.0?

Mit der Einführung von Cortex XSOAR Threat Intelligence Management 3.0 bietet die Plattform von Palo Alto Networks eine Reihe leistungsstarker neuer strategischer Intelligence-Funktionen. Diese helfen dem gesamten Unternehmen, cyberkriminelle Aktivitäten effektiv zu bekämpfen, damit sich das Sicherheitsteam auf das Wesentliche konzentrieren kann. TIM 3.0 ist darauf ausgerichtet, Threat Intelligence auf die nächste Stufe zu heben, mit erweiterten Funktionen, die den gesamten Lebenszyklus des Threat Intelligence-Managements ermöglichen.

Strategische Intelligence Reports

Mit TIM 3.0 können Benutzer Threat Intelligence Reports erstellen, gemeinsam nutzen, anpassen und exportieren. Außerdem können sie die Reports nach Typ kategorisieren und das Layout auswählen, das für den Report angezeigt wird. Dies ist besonders nützlich, da die Berichte eine Zusammenfassung der Threat-Intelligence-Forschungsarbeit liefern. Sie verändern die Art und Weise, wie Unternehmen die aktuelle Bedrohungslandschaft an interne und externe Stakeholder kommunizieren, indem sie den Bericht an die Person anpassen, die ihn erhält. Dabei kann es sich um jeden beliebigen Report handeln, von einem zusammenfassenden Bericht auf hoher Ebene für Führungskräfte bis hin zu einem detaillierten, taktischen Bericht für das SOC und andere Sicherheitsverantwortliche.

Das neue Cortex XSOAR Threat Intel Management 3.0 bietet die folgenden sofort einsetzbaren Berichtstypen:

  • Campaign
  • Executive Brief
  • Malware
  • Threat Actor
  • Vulnerability

Benutzer können auch neue Berichtstypen hinzufügen, um Anwendungsfälle zu unterstützen, die von den Standardtypen nicht abgedeckt werden und die möglicherweise ein anderes Berichtslayout erfordern. Darüber hinaus können sie das Layout eines vorhandenen Standardberichts anpassen.

Die leistungsfähigsten Bedrohungsdaten von Unit 42

Mit TIM 3.0 erhalten Benutzer vollständig integrierte Bedrohungsdaten mit realen Informationen und Malware-Analyse-Repositorys, um neue Malware-Familien oder -Kampagnen zu identifizieren und zu entdecken. Sie können jetzt auf Bedrohungsdaten mit der „Vollansicht“ (Full View) zugreifen, die die vollständige Zusammenfassung des Cortex XSOAR-Indikators mit vielen weiteren Details anzeigt. Diese Funktion hilft zu verstehen, welche Malware-Familien, Kampagnen oder Angriffstechniken mit den jeweiligen Sicherheitsvorfällen in Verbindung stehen. Sie gibt Analysten die beispiellose Fähigkeit, neue Bedrohungen zu identifizieren und zu verfolgen, sobald diese in den bereits mehr als 30 Milliarden von Palo Alto Networks gesammelten und analysierten Malware-Samples auftauchen.

Das Potenzial der erweiterten Echtzeit-Bedrohungsdaten

Die Vorgängerversion von Threat Intelligence Management verschaffte Unternehmen einen einzigartigen Einblick in die von Unit 42 gepflegten Cyberbedrohungsdaten. Es ermöglichte Analysten, gemeinsam Profile von Bedrohungsakteuren, Kampagnen und Angriffstechniken zu erstellen, die für ihre Branche relevant sind. Mit TIM 3.0 erreichen sie nun die nächste Stufe und können mit großer Sicherheit handeln. Analysten erfahren nicht nur etwas über die Bedrohungsakteure, sondern auch über Malware-Familien, Kampagnen oder Angriffstechniken im Zusammenhang mit Ihren Sicherheitsvorfällen. Dies gibt ihnen eine beispiellose Fähigkeit, neue Bedrohungen zu identifizieren und zu verfolgen, sobald sie in Dutzenden von Milliarden Malware-Samples auftauchen.

Strategisch vorgehen mit erweiterten Berichtsfunktionen

Strategische Bedrohungsdaten liefern ein umfassendes Bild davon, wie sich Bedrohungen und Angriffe im Laufe der Zeit verändern. Die Informationen können historische Trends, Motivationen und Zuordnungen zu den Hintermännern der Angriffe beinhalten. Auf diese Weise erhalten Threat Intelligence-Teams Hinweise auf künftige Operationen und Taktiken des Gegners und können entscheiden, welche Abwehrmaßnahmen am effektivsten sind.

Die Version TIM 3.0 bringt die Threat Intelligence-Plattform von Palo Alto Networks auf die nächste Stufe – mit Workflows und einem zentralen Repository für Intelligence-Analysten, um fertige Intelligence-Produkte zu erstellen und mit den Beteiligten zu teilen. Intelligence-Analysten werden in der Lage sein, Trends innerhalb der Bedrohungsdaten zu verstehen, indem sie ihre lokalen, von Unit 42 gepflegten Bedrohungsdaten nutzen.

Die Zukunft des Sicherheitsbetriebs liegt in der Operationalisierung mit Automatisierung

Heute gilt es die Leistungsfähigkeit von Threat Intelligence wirklich zu nutzen, die Datenflut zu reduzieren, mit der Sicherheitsteams bei der Bekämpfung von Fehlalarmen konfrontiert sind, und SOC-Teams mit den richtigen Daten und dem richtigen Kontext auszustatten. SOC-Teams benötigen daher eine Threat Intelligence-Plattform, die:

  • häufige Bedrohungen wie Phishing und Malware sammeln, zusammenfassen, organisieren, identifizieren und automatisieren kann;
  • strategisch ausgerichtet ist und maßgeschneiderte, sofort einsatzbereite Berichte erstellt, die sich mit allen Beteiligten teilen lassen;
  • über Funktionen verfügt, die den gesamten Lebenszyklus des Bedrohungsdatenmanagements unterstützen;

Auf dem Weg ins Jahr 2022 kämpfen SOC-Teams weiterhin mit dem Mangel an Fachkräften und qualifizierten Analysten sowie mit Budgetbeschränkungen. Die Zukunft des Sicherheitsbetriebs liegt in der effektiven Operationalisierung der Bedrohungsdaten durch Automatisierung.