Apa yang harus dicari dalam TIP

Saat 2022 sedang berlangsung dan tahun keuangan baru akan datang, banyak perusahaan mulai mengidentifikasi area fokus strategis utama untuk tahun depan dan investasi teknologi yang diperlukan untuk mewujudkannya. Mengingat lingkungan ancaman siber agresif yang dialami selama 18 bulan terakhir, investasi keamanan siber berada di urutan teratas bagi banyak orang. Semakin banyak, organisasi membangun Pusat Operasi Keamanan (SOC), kemampuan respons insiden, dan tim intelijen ancaman mereka sendiri, karena mereka bertujuan untuk memenuhi tuntutan manajemen risiko dan kepatuhan serta secara proaktif mempertahankan bisnis.

Namun, membangun SOC melepaskan banjir data dari sumber yang berbeda yang sering membanjiri tim internal dan mencegah SOC berfungsi secara efektif. Solusinya — yang ada di banyak daftar belanja tahun 2022 sekarang — adalah Platform Intelijen Ancaman.

Platform Intelijen Ancaman, atau TIP, berfungsi sebagai gudang pusat untuk semua data ancaman dan intelijen dari sumber internal dan internal. Dikonfigurasi dengan benar, TIP harus dapat menyampaikan konteks penting seputar ancaman yang membantu tim memahami siapa, apa, kapan, bagaimana, dan mengapa suatu ancaman. Yang terpenting, ini juga harus membantu memprioritaskan ancaman, berdasarkan parameter yang ditetapkan oleh organisasi, menyaring kebisingan sehingga tindakan yang dihasilkan jelas. TIP yang baik menguntungkan berbagai pemangku kepentingan, mulai dari dewan yang bertujuan untuk memahami risiko strategis hingga CISO yang berfokus pada peningkatan pertahanan sambil tetap pada anggaran, dan dari analis keamanan yang berkolaborasi secara lebih efektif hingga tim respons insiden yang mendapat manfaat dari penentuan prioritas insiden secara otomatis.

Mengetahui apa yang Anda butuhkan untuk berinvestasi adalah langkah pertama. Berikutnya adalah memahami fitur utama yang Anda butuhkan dan alasannya. Ada banyak hal yang perlu dipertimbangkan, tetapi menurut saya, berikut ini adalah lima area utama yang harus ada dalam daftar periksa Anda saat Anda mengevaluasi TIPS:

1.) Kemampuan untuk mengkonsumsi data terstruktur dan tidak terstruktur

TIP harus dapat mengimpor data dari setiap sumber yang memungkinkan — internal dan eksternal, kepemilikan dan sumber terbuka — dan dalam setiap format, baik terstruktur maupun tidak terstruktur. Ini termasuk data dari ekosistem lengkap alat keamanan modern seperti endpoint detection and response (EDR), Network Detection and Response (NDR), dan Cloud detection and response (CDR). Jika menyangkut data yang tidak terstruktur, seperti blog dan posting media sosial, platform harus dapat mengurai dan mengekstrak data yang “dihilangkan taringnya” atau “disterilkan” seperti menetralkan URL yang berpotensi berisiko sambil membiarkannya dapat dibaca oleh analis.

Lingkungan ancaman terus berubah, sehingga fasilitas untuk membuat konektor khusus baru untuk menyerap kecerdasan seputar ancaman baru saat muncul juga merupakan kuncinya. Demikian pula, kemampuan untuk mendefinisikan objek tambahan agar sesuai dengan kasus penggunaan tertentu, memungkinkan tim untuk menyesuaikan platform dengan alur kerja pilihan mereka.

2.) Konteks adalah raja!

Konteks adalah bagian penting dari teka-teki yang memungkinkan tim memahami apa yang dikatakan banyak indikator kepada mereka dan merespons dengan tepat. Karena pentingnya konteks pendukung, penting untuk menentukan apakah vendor TIP mengimpor semua data dan/atau jika mereka memodifikasi salah satu data.

Modifikasi dapat membantu karena lapisan normalisasi sangat penting untuk upaya de-duplikasi. Namun, normalisasi dan penyatuan data harus dilakukan dengan tetap menjaga konteks. Misalnya, jika Feed X menerbitkan https://www.badguy.com, Feed Y menerbitkan http://www.badguy.com dan Feed Z menerbitkan www.badguy.com, ketiganya harus direkonsiliasi menjadi satu entri IOC. Itu semua adalah indikator yang “secara teknis” berbeda, namun tujuannya adalah untuk memaksimalkan strategi deteksi secara efisien dengan duplikasi minimal. Normalisasi umpan data membantu mengkonsolidasikan komentar analis, mengatur intelijen terkait dengan lebih baik, dan secara efektif mengekspor satu IOC sebagai pengganti tiga IOC, yang menghasilkan efisiensi yang lebih besar.

3.) Penilaian dan prioritas

Banyaknya indikator yang diterbitkan hari ini berarti tidak mungkin — dan memang tidak diinginkan — untuk memantau semuanya. Hal ini menjadikan penilaian dan prioritas sebagai fitur utama dari TIP yang efektif. Tim membutuhkan mekanisme untuk memprioritaskan indikator mana yang harus dideteksi untuk diselidiki, diblokir atau diabaikan sebagai non-ancaman.

Penilaian sangat spesifik untuk organisasi dan misi tim dan tidak boleh hanya mencerminkan pendapat vendor atau komunitas. TIP progresif akan memungkinkan Anda mengatur algoritme penilaian Anda sendiri berdasarkan setiap bagian data dalam sistem, menjadikannya solusi manajemen ancaman yang lebih disesuaikan dan akurat.

4.) Beberapa opsi integrasi

Integrasi dengan ekosistem penuh alat keamanan merupakan inti dari proposisi nilai TIP. Semakin ketat integrasi, semakin sedikit pekerjaan manual yang diperlukan analis dan semakin besar efisiensi tim operasi.

Integrasi uni-arah — dari TIP ke solusi titik akhir misalnya — diberikan. Ini adalah strategi defensif murni dan merupakan integrasi paling umum, memindahkan ancaman tertinggi yang dicetak secara otomatis dari platform intelijen ke parit jaringan sensor organisasi untuk deteksi dan/atau pemblokiran.

Gelombang integrasi TIP berikutnya adalah dua arah, dengan data didorong keluar dan ditarik kembali ke alat. Kasus penggunaan utama untuk integrasi dua arah adalah SIEM atau repositori log, sistem tiket, solusi manajemen kerentanan, dan solusi SOAR. Ini digabungkan untuk mendorong efisiensi, meningkatkan prioritas dan mengurangi waktu respons insiden dan vendor harus menawarkan kit pengembangan perangkat lunak (SDK) dan API terbuka untuk memfasilitasi integrasi yang kuat.

5.) Otomatisasi dan investigasi berbasis data

Untuk tim keamanan di bawah tekanan, kemampuan untuk mengotomatisasi tugas tingkat rendah yang berulang, memakan waktu, sangat penting. Jika sebuah alat dapat menggabungkan otomatisasi ini dengan data dan konteks waktu nyata yang diperlukan untuk memberdayakan analis untuk menyelidiki insiden yang berdampak tinggi dan sensitif terhadap waktu, bahkan lebih baik! Secara efektif, tim membutuhkan keseimbangan antara otomatisasi dan investigasi manual dan platform intelijen ancaman harus mewujudkannya menggunakan pendekatan asli berbasis data.

Pertimbangan bisnis saat memilih TIP

Di luar pertimbangan teknis — yang di atas memberikan gambaran singkat dan tidak lengkap — organisasi juga perlu mengevaluasi faktor bisnis.

Harga biasanya berdasarkan langganan dan per lisensi pengguna, yang merupakan perhitungan awal langsung berdasarkan jumlah pengguna taktis yang Anda miliki. Namun, implementasi yang sukses harus melihat serangkaian pemangku kepentingan yang lebih luas menyadari nilai memiliki akses ke platform, sehingga layak untuk memperkirakan akses oleh tim seperti manajemen risiko.

Seperti dibahas di atas, integrasi merupakan inti dari proposisi nilai TIP, dan vendor harus menyediakan SDK dan API terbuka untuk memfasilitasi ini, tetapi beberapa membebankan biaya per integrasi. Ini dapat meningkatkan anggaran secara signifikan ketika Anda mempertimbangkan jumlah alat berbeda yang ingin Anda integrasikan, jadi sangat penting untuk mengetahui hal ini di awal. Demikian pula, jika bisnis melakukan merger atau akuisisi, ini akan memerlukan pengintegrasian alat perusahaan yang diakuisisi ke dalam TIP, yang akan memiliki implikasi keuangan jika biaya dibayarkan setiap kali.

Terakhir, pahami implikasi biaya hosting TIP di lokasi atau di cloud. Jika Anda mengevaluasi layanan berbasis cloud tetapi mengetahui bahwa Anda perlu menerapkan instans cloud pribadi untuk persyaratan kepatuhan atau privasi, pastikan untuk memahami jika ada biaya tambahan dan kompromi dalam fungsi/fitur. TIP yang dirancang untuk berjalan di cloud sering kali tidak dapat menawarkan fungsionalitas penuh di tempat.

Platform Intelijen Ancaman yang tepat memiliki potensi untuk secara dramatis meningkatkan kinerja SOC dan memilih satu harus menjadi keputusan yang diteliti dengan cermat dan ketat. Karena organisasi bertujuan untuk meningkatkan proaktif dan memulai aktivitas seperti berburu ancaman, sementara secara efektif memprioritaskan respons terhadap ancaman yang masuk, TIP yang kuat akan memungkinkan mereka untuk mendapatkan hasil maksimal dari sumber daya yang ada dan memaksimalkan laba atas investasi historis dalam alat keamanan.

Kredit gambar: BeeBright/depositphotos.com

Anthony Perridge adalah VP International, ThreatQuotient

Author: Martha Meyer