Google Threat intelligence

Komponenty platformy GTI Enterprise:
• VirusTotal Enterprise
• Mandiant Advantage Threat Intelligence (MATI),
• Mandiant Digital Threat Monitoring (DTM),
• Mandiant Attack Surface Management (ASM).

Zastosowanie na rożnych szczeblach działalności Organizacji:

Taktyczne
Informacje pochodzące z bezpośrednich działań przeciwnika w Twoich systemach lub z innych źródeł, które mogą mieć bezpośredni wpływ na Twoje decyzje taktyczne.

Operacyjne
Obejmuje informacje takie jak ujawnienie złośliwych taktyk, technik i procedur stosowanych przez złych aktorów w celu przeprowadzania ataków na użytkowników.

Strategiczna
Analiza, która może pomóc organizacjom zrozumieć rodzaj zagrożenia, przed którym się bronią, motywację, a także możliwości. Umożliwia to zespołom ds. bezpieczeństwa planowanie odpowiednich zasobów w celu ochrony przed obecnymi i przyszłymi zagrożeniami oraz ich łagodzenia, odgrywając jednocześnie kluczową rolę w proaktywnym zarządzaniu ryzykiem.

Mandiant Advantage Threat Intelligence (MATI)
1. Profilowanie aktorów zagrożeń i kampanii
- Setki zidentyfikowanych grup APT i cyberprzestępczych (profil TTP, infrastruktura, cele, podatności, malware)
- Dane o kampaniach powiązanych z konkretnymi sektorami i regionami

2. Zaawansowane wskaźniki i atrybucja
- IOC, TTP (MITRE ATT&CK), reguły YARA, wsparcie dla atrybucji i mapowania kampanii
- Pełne konteksty incydentów wspierające decyzje strategiczne i operacyjne

3. Alertowanie o zagrożeniach
- Powiadomienia o nowych, krytycznych zagrożeniach z przypisaniem do branży i regionu
- Wczesne ostrzeganie o podatnościach i exploitach typu 0-day

4. Integracja z Google Cloud & narzędziami bezpieczeństwa
- Integracja z Chronicle, Siemplify (SOAR) oraz narzędziami chmurowymi Google
- Natywna lub po API integracja z większością narzędzi bezpieczeństwa będących liderami rynku

5. Ekspercka analiza (human intelligence)
- Raporty przygotowywane przez analityków GTI na podstawie działań w realnych incydentach
- Poziom taktyczny, operacyjny i strategiczny dostępnych materiałów

Scenariusze użycia funkcjonalności GTI:
1. Automatyzacja wzbogacania wskaźników zagrożeń (IOC)
- Płynna integracja: Bezproblemowe połączenie z istniejącą infrastrukturą bezpieczeństwa – SIEM, SOAR, XDR, IDS/IPS i innymi systemami
- Kompleksowe źródła informacji: Wykorzystanie danych o zagrożeniach z działań operacyjnych, m.in. od Google, VirusTotal i Mandiant, zapewniających ciągłe aktualizacje
- Wydajne API: Umożliwia dopasowanie procesu wzbogacania do każdego przypadku użycia i obsługuje wszystkie typy wskaźników
- Przydatne informacje: Spójna ocena ryzyka upraszcza działania operacyjne i umożliwia automatyzację reakcji
- Od szczegółów technicznych po informacje strategiczne: Wzbogacanie IOC o dane techniczne oraz atrybucję zagrożeń na wysokim poziomie wspiera trafne decyzje operacyjne i zarządcze

2. Wzmocnienie reagowania na incydenty i zdolności dochodzeniowych
- Szybka analiza i reakcja: Usprawnienie pracy zespołów SOC, skuteczne eskalowanie alertów i przyspieszenie działań w ramach DFIR (Digital Forensics and Incident Response)
- Odkrywanie ukrytych powiązań: Intuicyjne przechodzenie między powiązanymi zagrożeniami dzięki zintegrowanej analizie i agregacji danych
- Zrozumienie kontekstu ataku: Natychmiastowy wgląd w podejrzaną aktywność, rozpoczynając od dowolnego wskaźnika zagrożenia (IOC)
- Ekspercka wiedza operacyjna: Wykorzystanie danych wywiadowczych dostarczanych przez GTI/Mandiant w celu podejmowania świadomych decyzji
- Praktyczne dane wywiadowcze: Dostęp do informacji o przypisaniu ataków (atrybucja), reguł YARA, TTP (Techniki, Taktyki i Procedury) oraz analiz kampanii – wszystko to wspiera skuteczne działania ochronne

3. Wywiad o zagrożeniach i zaawansowane polowanie na zagrożenia (Threat Hunting)
- Demaskowanie aktorów zagrożeń: Śledzenie i przypisywanie działań przeciwników, monitorowanie ich kampanii oraz wyprzedzanie zmieniającego się krajobrazu zagrożeń i ryzyk
- Wykrywanie ukrytych zagrożeń: Proaktywne identyfikowanie nowych zagrożeń i podatności typu zero-day, zanim zostaną wykorzystane
- Wzmocnione dochodzenia: Prowadzenie dogłębnych analiz z wykorzystaniem zaawansowanego środowiska analitycznego, nawet w przypadku nieznanych artefaktów
- Wywiad wspierany przez ekspertów: Korzystanie z wiedzy i doświadczenia GTI/Mandiant w śledzeniu setek istotnych kampanii mających wpływ na Twoją Organizację
- Strategiczne informacje: Wizualizacja rozkładu zagrożeń, trendów i wzorców w celu opracowania skutecznych, proaktywnych strategii obronnych
- Zaawansowana analityka: Wykorzystanie analizy opartej na AI, podsumowań zagrożeń oraz reguł tworzonych zarówno przez społeczność, jak i w trybie prywatnym – dla skuteczniejszego wykrywania zagrożeń

4. Wykrywanie zagrożeń zewnętrznych (DTM)
- Ochrona przed phishingiem i podszywaniem się: Proaktywne monitorowanie kampanii phishingowych wymierzonych w Twoją markę
- Neutralizacja ukierunkowanych zagrożeń: Automatyczne pozyskiwanie konfiguracji z setek rodzin złośliwego oprogramowania, stealer i trojanów bankowych, zapewniające wczesną widoczność potencjalnych nadużyć wobec klientów i reputacji firmy
- Szybkie wykrywanie wycieków danych: Wczesne ostrzeżenia o naruszeniach danych pozwalające na minimalizację ryzyka i strat
- Identyfikacja ukrytych podatności: Wykrywanie luk w powierzchni ataku dzięki pasywnemu monitorowaniu DNS i automatycznej eksploracji zagrożeń
- Obrona przed cyfrowym podszywaniem się: Identyfikacja i usuwanie fałszywych aplikacji mobilnych, nieautoryzowanych domen i bezprawnego wykorzystania marki

5. Optymalizacja zarządzania podatnościami
- Priorytetyzacja oparta na ryzyku: Działania naprawcze na podatnościach, które są aktywnie wykorzystywane w rzeczywistych atakach
- Przewidywanie działań atakujących: Wczesne ostrzeżenia o pojawiających się zagrożeniach dzięki szerokim zasobom wiedzy dostępnym przez API GTI
- Maksymalizacja efektywności łatania: Priorytetyzuj aktualizacje nie tylko według poziomu ryzyka, ale też prawdopodobieństwa ich wykorzystania przez napastników.
- Minimalizacja ekspozycji: Wykrywaj i eliminuj podatności, zanim zostaną wykorzystane do przeprowadzenia ataku