Pelaku ancaman mendiversifikasi teknik, taktik, dan prosedur monetisasi (TTP) mereka dengan metode serangan baru karena kemajuan teknologi telah menurunkan penghalang masuk, dan munculnya ransomware sebagai layanan (RaaS) telah memperburuk masalah.
Agar organisasi dapat menyamai tingkat kecanggihan ini, intelijen ancaman harus menjadi bagian penting dari postur keamanannya, karena memberikan informasi yang dapat ditindaklanjuti tentang ancaman saat ini dan membantu melindungi perusahaan dari serangan berbahaya.
Daftar isi
Apa itu Platform Intelijen Ancaman?
Platform Intelijen Ancaman (TIP) adalah teknologi yang memungkinkan organisasi mengumpulkan, menganalisis, dan mengagregasi data intelijen ancaman dari berbagai sumber. Informasi ini memungkinkan perusahaan untuk secara proaktif mengidentifikasi dan memitigasi potensi risiko keamanan dan bertahan dari serangan di masa mendatang.
Kecerdasan ancaman dunia maya adalah komponen keamanan perusahaan yang penting. Dengan memantau ancaman dan kerentanan dunia maya terbaru, organisasi Anda dapat mendeteksi dan merespons potensi pelanggaran keamanan sebelum merusak aset TI Anda.
Bagaimana Platform Kecerdasan Ancaman Bekerja?
Platform intelijen ancaman membantu perusahaan memitigasi risiko pelanggaran data dengan mengumpulkan data intelijen ancaman dari berbagai sumber, termasuk intelijen sumber terbuka (OSINT), web dalam dan gelap, dan feed intelijen ancaman eksklusif.
TIPS menganalisis data, mengidentifikasi pola, tren, dan potensi ancaman, kemudian membagikan informasi ini dengan tim SOC Anda dan sistem keamanan lainnya, seperti firewall, sistem deteksi intrusi, dan sistem informasi keamanan dan manajemen peristiwa (SIEM), untuk memitigasi kerusakan pada infrastruktur TI Anda.
Manfaat Platform Intelijen Ancaman
Platform intelijen ancaman memberi organisasi berbagai manfaat, termasuk:
- Deteksi ancaman proaktif
- Peningkatan postur keamanan
- Alokasi sumber daya yang lebih baik
- Operasi keamanan yang disederhanakan
Keuntungan lain dari TIP termasuk respons ancaman otomatis, penghematan biaya, dan peningkatan visibilitas.
Fitur Utama Platform Intelijen Ancaman
Fitur utama platform intelijen ancaman adalah:
- Kemampuan pengumpulan data
- Prioritas ancaman waktu nyata
- Analisis ancaman
- Kemampuan untuk memantau web yang dalam dan gelap
- Pustaka yang kaya dan basis data grafik untuk memvisualisasikan serangan dan ancaman
- Integrasi dengan alat dan sistem keamanan Anda yang ada
- Teliti malware, penipuan phishing, dan aktor jahat
TIP terbaik dapat mengumpulkan, menormalkan, menggabungkan, dan mengatur data intelijen ancaman dari berbagai sumber dan format.
Fokus Otomatis
AutoFocus dari Palo Alto Networks adalah platform intelijen ancaman berbasis cloud yang memungkinkan Anda mengidentifikasi serangan kritis, melakukan penilaian awal, dan mengambil langkah untuk memulihkan situasi tanpa memerlukan sumber daya TI tambahan. Layanan ini mengumpulkan data ancaman dari jaringan perusahaan, industri, dan umpan intelijen global Anda.
AutoFocus menyediakan intel dari Unit 42 –tim riset ancaman Jaringan Palo Alto– tentang kampanye malware terbaru. Laporan ancaman dapat dilihat di dasbor Anda, memberi Anda visibilitas tambahan ke dalam teknik, taktik, dan prosedur (TTP) pelaku kejahatan.
Fitur Utama
- Umpan penelitian unit 42 memberikan visibilitas ke malware terbaru dengan informasi tentang taktik, teknik, dan prosedur mereka
- Memproses 46 juta kueri DNS dunia nyata setiap hari
- Kumpulkan informasi dari sumber pihak ketiga seperti Cisco, Fortinet, dan CheckPoint
- Alat ini menyediakan intelijen ancaman untuk alat informasi keamanan dan manajemen peristiwa (SIEM), sistem internal, dan alat pihak ketiga lainnya dengan API RESTful yang terbuka dan gesit
- Termasuk grup tag bawaan untuk ransomware, trojan perbankan, dan alat peretasan
- Pengguna juga dapat membuat tag khusus berdasarkan kriteria pencarian mereka
- Kompatibel dengan berbagai format data standar seperti STIX, JSON, TXT, dan CSV
Harga alat ini tidak diiklankan di situs web Palo Alto Network. Pembeli harus menghubungi tim penjualan perusahaan untuk penawaran, dan Anda juga dapat meminta demo produk untuk mempelajari lebih lanjut tentang kemampuan solusi dan bagaimana Anda dapat memanfaatkannya untuk perusahaan Anda.
Kelola Mesin Log360
ManageEngine Log360 adalah manajemen log dan alat SIEM yang memberi perusahaan visibilitas ke dalam keamanan jaringan mereka, mengaudit perubahan direktori aktif, memantau server pertukaran dan penyiapan cloud publik, serta mengotomatiskan manajemen log.
Log360 menggabungkan kemampuan lima alat ManageEngine, termasuk ADAudit Plus, Penganalisis Log Peristiwa, M365 Manager Plus, Exchange Reporter Plus, dan Cloud Security Plus.
Modul intelijen ancaman Log360 menyertakan database yang berisi IP jahat global dan prosesor umpan ancaman STIX/TAXII yang sering mengambil data dari umpan ancaman global dan memperbarui Anda.
Fitur Utama
- Mencakup kemampuan broker keamanan akses cloud (CASB) terintegrasi untuk membantu memantau data di cloud, mendeteksi aplikasi TI bayangan, dan melacak aplikasi yang disetujui dan tidak disetujui
- Mendeteksi ancaman di seluruh jaringan perusahaan, titik akhir, firewall, server web, database, sakelar, router, dan sumber cloud lainnya
- Deteksi insiden real-time dan pemantauan integritas file
- Menggunakan framework MITRE ATT&CK untuk memprioritaskan ancaman yang terjadi dalam rantai serangan
- Deteksi serangannya mencakup korelasi real-time berbasis aturan, analisis perilaku pengguna dan entitas (UEBA) berbasis ML berbasis perilaku, dan MITER ATT&CK berbasis tanda tangan.
- Mencakup pencegahan kehilangan data (DLP) terintegrasi untuk eDiscovery, penilaian risiko data, perlindungan sadar konten, dan pemantauan integritas file
- Analitik keamanan waktu nyata
- Manajemen kepatuhan terintegrasi
Log360 dapat diunduh dalam satu file dan hadir dalam dua edisi: gratis dan profesional. Pengguna dapat merasakan fitur lanjutan dari edisi profesional untuk masa percobaan 30 hari, setelah itu fitur tersebut akan dikonversi ke edisi gratis mereka.
AlienVault USM
Platform USM AlienVault dikembangkan oleh AT&T. Solusinya menyediakan deteksi ancaman, penilaian, respons insiden, dan manajemen kepatuhan dalam satu platform terpadu.
AlienVault USM menerima pembaruan dari AlienVault Labs setiap 30 menit tentang berbagai jenis serangan, ancaman yang muncul, perilaku mencurigakan, kerentanan, dan eksploitasi yang mereka temukan di seluruh lanskap ancaman.
AlienVault USM menyediakan tampilan terpadu arsitektur keamanan perusahaan Anda, memungkinkan Anda memantau jaringan dan perangkat Anda di tempat atau di lokasi jarak jauh. Ini juga mencakup kemampuan SIEM, deteksi intrusi cloud untuk AWS, Azure, dan GCP, deteksi intrusi jaringan (NIDS), deteksi intrusi host (HIDS), dan deteksi dan respons titik akhir (EDR).
Fitur Utama
- Deteksi Botnet waktu nyata
- Identifikasi lalu lintas perintah dan kontrol (C&C).
- Deteksi ancaman persisten (APT) tingkat lanjut
- Sesuai dengan berbagai standar industri seperti GDPR, PCI DSS, HIPAA, SOC 2, dan ISO 27001
- Tanda tangan jaringan dan host IDS
- Pengumpulan data peristiwa dan log terpusat
- Deteksi eksfiltrasi data
- AlientVault memantau lingkungan cloud dan lokal dari satu panel kaca, termasuk AWS, Microsoft Azure, Microsoft Hyper-V, dan VMWare
Harga untuk solusi ini mulai dari $1.075 per bulan untuk paket penting. Calon pembeli dapat mendaftar uji coba gratis selama 14 hari untuk mempelajari lebih lanjut tentang kemampuan alat tersebut.
Perlindungan Ancaman Qualys
Qualys Threat Protection adalah layanan cloud yang memberikan kemampuan respons dan perlindungan ancaman tingkat lanjut. Ini mencakup indikator kerentanan ancaman waktu nyata, memetakan temuan dari Qualys dan sumber eksternal, dan terus menghubungkan informasi ancaman eksternal terhadap kerentanan dan inventaris aset TI Anda.
Dengan perlindungan ancaman Qualys, Anda dapat secara manual membuat dasbor khusus dari widget dan permintaan pencarian serta mengurutkan, memfilter, dan menyaring hasil pencarian.
Fitur Utama
- Panel kontrol dan visualisasi terpusat
- Menyediakan umpan langsung dari pengungkapan kerentanan
- RTI untuk serangan zero-day, eksploitasi publik, serangan aktif, gerakan lateral tinggi, kehilangan data tinggi, penolakan layanan, malware, tanpa tambalan, kit eksploitasi, dan eksploitasi mudah
- Menyertakan mesin telusur yang memungkinkan Anda mencari aset dan kerentanan tertentu dengan membuat kueri ad hoc
- Perlindungan ancaman Qualys terus menghubungkan informasi ancaman eksternal dengan kerentanan dan inventaris aset TI Anda
Mereka menawarkan uji coba gratis 30 hari untuk memungkinkan pembeli menjelajahi kemampuan alat sebelum membuat keputusan pembelian.
SOCRadar
SOCRadar mendeskripsikan dirinya sebagai platform SaaS base Extended Threat Intelligence (XTI) yang menggabungkan external attack surface management (EASM), digital risk protection services (DRPS), dan cyber threat intelligence (CTI).
Platform meningkatkan postur keamanan perusahaan Anda dengan memberikan visibilitas ke infrastruktur, jaringan, dan aset datanya. Kemampuan SOCRadar mencakup intelijen ancaman waktu nyata, pemindaian web dalam dan gelap otomatis, dan respons insiden terintegrasi.
Fitur Utama
- Terintegrasi dengan tumpukan keamanan yang ada seperti solusi SOAR, EDR, MDR dan XDR, dan SIEM
- Ini memiliki lebih dari 150 sumber pakan
- Solusi tersebut menyediakan intel pada berbagai risiko keamanan, seperti malware, botnet, ransomware, phishing, reputasi buruk, situs web yang diretas, serangan penolakan layanan terdistribusi (DDOS), honeypots, dan penyerang
- Pemantauan berbasis industri dan kawasan
- Pemetaan MITRE ATT & CK
- Memiliki lebih dari 6.000 akses daftar kombo (kredensial dan kartu kredit)
- Pemantauan web yang dalam dan gelap
- Deteksi kredensial yang disusupi
SOCRadar memiliki dua edisi: intelijen ancaman siber untuk tim SOC (CTI4SOC) dan intelijen ancaman yang diperluas (XTI). Kedua paket tersedia dalam dua versi – gratis dan berbayar – paket CTI4SOC mulai dari $9.999 per tahun.
Manajer Acara Keamanan Solarwinds
SolarWinds Security Event Manager adalah platform SIEM yang mengumpulkan, menormalkan, dan menghubungkan data log peristiwa dari lebih dari 100 konektor bawaan, termasuk perangkat dan aplikasi jaringan.
Dengan SEM, Anda dapat mengelola, mengelola, dan memantau kebijakan keamanan dan melindungi jaringan Anda secara efektif. Ini menganalisis log yang dikumpulkan secara real-time dan menggunakan informasi yang dikumpulkan untuk memberi tahu Anda tentang suatu masalah sebelum menyebabkan kerusakan parah pada infrastruktur perusahaan Anda.
Fitur Utama
- Pantau infrastruktur Anda 24/7
- SEM memiliki 100 konektor pre-built, termasuk Atlassian JIRA, Cisco, Microsoft, IBM, Juniper Sophos, Linux, dan banyak lagi
- Mengotomatiskan manajemen risiko kepatuhan
- SEM mencakup pemantauan integritas file
- SEM mengumpulkan log, mengkorelasikan peristiwa, dan memantau daftar data ancaman, semuanya dalam satu panel kaca
- Platform ini memiliki lebih dari 700 aturan korelasi bawaan
- Pengguna dapat mengekspor laporan dalam format PDF atau CSV
Solarwinds Security Event Manager menawarkan uji coba gratis selama 30 hari dengan dua opsi lisensi: berlangganan, mulai dari $2.877, dan terus-menerus, mulai dari $5.607. Alat ini dilisensikan berdasarkan jumlah node yang mengirim log dan informasi peristiwa.
Dapat dipertahankan.sc
Dibangun di atas Teknologi Nessus, Tenable.sc adalah platform manajemen kerentanan yang memberikan wawasan tentang postur keamanan dan infrastruktur TI organisasi Anda. Ini mengumpulkan dan mengevaluasi data kerentanan di seluruh lingkungan TI Anda, menganalisis tren kerentanan dari waktu ke waktu, dan memungkinkan Anda memprioritaskan dan mengambil tindakan korektif.
Rangkaian produk Tenable.sc (Tenanble.sc dan Tenable.sc+) memungkinkan Anda untuk mengidentifikasi, menyelidiki, memprioritaskan, dan memulihkan kerentanan sehingga Anda dapat melindungi sistem dan data Anda.
Fitur Utama
- Ini merampingkan kepatuhan dengan standar industri, seperti CERT, NIST, DISA STIG, DHS CDM, FISMA, PCI DSS, dan HIPAA/HITECH
- Fitur penemuan aset pasifnya memungkinkan Anda menemukan dan mengidentifikasi aset TI di jaringan Anda, seperti server, desktop, laptop, perangkat jaringan, aplikasi web, mesin virtual, seluler, dan cloud
- Tim Tenable Research sering memberikan pembaruan tentang pemeriksaan kerentanan terbaru, riset zero-day, dan tolok ukur konfigurasi untuk membantu Anda melindungi organisasi Anda
- Dapat dipertahankan memelihara perpustakaan lebih dari 67k Kerentanan Umum dan Eksposur (CVE)
- Deteksi botnet secara real-time dan lalu lintas perintah dan kontrol
- Direktur Tenable.sc menyertakan satu panel kaca untuk membantu Anda melihat dan mengelola jaringan Anda di semua konsol Tenable.sc
Tenable.sc dilisensikan per tahun, dan per aset, lisensi 1 tahunnya mulai dari $5.364,25. Anda dapat menghemat uang dengan membeli lisensi multi-tahun.
Kesimpulan
Panduan ini menganalisis tujuh platform intelijen ancaman dan fitur menonjolnya. Pilihan terbaik untuk Anda bergantung pada kebutuhan dan preferensi intelijen ancaman Anda. Anda dapat meminta demo produk atau mendaftar untuk uji coba gratis sebelum memilih alat tertentu.
Ini akan memungkinkan Anda untuk mengujinya untuk menentukan apakah itu akan melayani tujuan perusahaan Anda. Terakhir, pastikan mereka menawarkan dukungan berkualitas dan konfirmasikan seberapa sering mereka memperbarui feed ancaman mereka.
Selanjutnya, Anda dapat melihat alat simulasi serangan dunia maya.