Kaspersky เปิดตัว Threat Intelligence Platform สำหรับบริหารจัดการข้อมูลภัยคุกคามแบบรวมศูนย์

โซลูชั่น “Kaspersky CyberTrace” อัปเดตบนแพลตฟอร์มฐานข้อมูลวิเคราะห์ภัยคุกคามไซเบอร์ (threat intelligence) เพื่อเสริมประสิทธิภาพการทำงานด้านต่างๆ ได้แก่ alert triage, threat data analysis และ incident investigation ตัวโซลูชั่นเวอร์ชั่นค่าใช้จ่ายรุ่นใหม่นี้สามารถทำงานร่วมกันได้กับโซลูชั่นระบบการจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (security information and event management – SIEM) และระบบควบคุมด้านความปลอดภัย ตอบสนองอย่างมีประสิทธิภาพในรูปแบบภาพกราฟิก ในขณะที่โซลูชั่น CyberTrace เวอร์ชั่นสำหรับคอมมูนิตี้จะยังคงเปิดให้ใช้งานได้โดยไม่มีค่าใช้จ่ายต่อไป

ด้วยแหล่งที่มาของฐานข้อมูลภัยคุกคามมาจากหลากหลายแหล่งที่ นำมาประมวลผลก่อให้เกิดข้อมูลมหาศาล และสร้างการแจ้งเตือนได้นับล้านครั้ง การจัดเรียงข้อมูลที่มีรูปแบบและการกระจายตัวที่หลากหลายในระดับนี้จึงทำให้เกิดการจัดลำดับความสำคัญของการเตือนภัย การคัดกรอง และการตรวจสอบข้อมูลที่มีความซับซ้อนสูงได้อย่างมีประสิทธิภาพ นั่นคือเหตุผลว่าทำไมความสามารถในการตรวจจับภัยคุกคามที่แท้จริงยังเป็นหนึ่งในสุดยอดความท้าทายสำหรับทีมรักษาความปลอดภัยไอที

เพื่ออำนวยความสะดวกให้แก่ทีมงานผู้ดูแลระบบรักษาความปลอดภัยองค์กรและป้องกันเหตุร้ายในการตรวจจับภัยคุกคาม รวมถึงตรวจสอบและตอบสนอง และเพิ่มความเข้มข้นของมาตรการรักษาความปลอดภัยไอที แคสเปอร์สกี้ (Kaspersky) จึงได้อัพเกรดเครื่องมือวิเคราะห์ CyberTrace threat intelligence fusion and analysis tool ให้เป็น Threat Intelligence Platform แบบรวมศูนย์

โซลูชั่นเวอร์ชั่นใหม่ได้ถูกอัปเดตให้มีฟีเจอร์การทำงานระดับสูง ที่จะช่วยให้ทีมงานระบบรักษาความปลอดภัยสามารถทำการค้นหาในรูปแบบที่มีความซับซ้อนยิ่งขึ้นได้ในทุกรูปแบบ ไม่ว่าจะเป็นการระบุ วิเคราะห์จุดสังเกตจากเหตุการณ์ที่ตรวจสอบก่อนหน้า วัดประสิทธิภาพของฟีดข้อมูลที่ติดตั้งมาภายใน และฟีด intersection matrix อีกทั้งมี API แบบเปิดสำหรับการทำงานร่วมกันกับเวิร์กโฟลว์แบบอัตโนมัติ นอกจากนี้ ตัวแพลตฟอร์มในปัจจุบันยังรองรับฟีเจอร์ Multiuser และ Multitenancy เพื่อควบคุมการปฏิบัติงานที่สามารถบริหารจัดการได้จากผู้ใช้แต่ละรายและสามารถควบคุมเหตุการณ์ที่เกิดขึ้นในแต่ละสาขาย่อยที่แยกจากกันโดยสิ้นเชิง เวอร์ชั่นแบบจ่ายเงินเหมาะกับองค์กรธุรกิจขนาดใหญ่และ MSSP ต่างๆ รองรับทุกฟีเจอร์และเปิดการประมวลผลและดาวน์โหลด EPS กับ IoC ได้อย่างไม่จำกัด

“Kaspersky CyberTrace” จะยังคงเปิดให้บริการฟรีสำหรับผู้ใช้งานในรูปแบบคอมมูนิตี้ เวอร์ชั่นดังกล่าวยังสามารถใช้งานได้ตามปกติทุกความสามารถที่ติดตั้งมาในโซลูชั่น เช่นเดียวกับฟังก์ชั่นใหม่ที่กล่าวถึงข้างต้น ยกเว้นความสามารถในการเพิ่มบัญชีผู้ใช้แบบ multi-user และ multi-tenancy อีกทั้งมีการจำกัดจำนวนเหตุการณ์ที่ถูกประมวลต่อวินาที (สูงสุดถึง 250 เหตุการณ์) และจำนวนของ indicator ที่สามารถดาวน์โหลดได้ (สูงถึงหนึ่งล้านตัว)

แนวทางในการทำงานร่วมกันอย่างที่ไม่เคยมีใครเหมือนมาก่อน

Kaspersky CyberTrace สามารถทำงานร่วมกันได้เป็นอย่างดีกับทุกโซลูชั่น SIEM และระบบควบคุมความปลอดภัยที่ใช้งานตามปกติ รองรับการฟีดข้อมูลในฐานข้อมูลภัยคุกคามต่างๆ ในรูปแบบ STIX 2.02/2.1/1.0/1.1, JSON, XML และ CSV โดยปกติตัวโซลูชั่นจะมาพร้อมกับพอร์ตโฟลิโอแบบกว้างของ Kaspersky Threat Data Feeds ที่ติดตั้งมาภายในซึ่งถูกสร้างขึ้นมาโดยทีมผู้เชี่ยวชาญของบริษัทกว่าร้อยชีวิต รวมถึงนักวิเคราะห์ระบบรักษาความปลอดภัยจากทั่วโลกและทีม GReAT และ R&D ระดับหัวกะทิ

ตัวแพลตฟอร์มได้แก้ปัญหาในเรื่องของการนำเข้า Indicators of Compromise (IoCs) จำนวนมากเข้าสู่ SIEM ซึ่งก่อให้เกิดความล่าช้าในการประมวลเหตุการณ์และตรวจจับผิดพลาดได้ Kaspersky CyberTrace จะถอดรหัส IoCs จาก log ที่เข้าสู่ SIEM โดยอัตโนมัติและทำการวิเคราะห์ภายในด้วยเอนจิ้นที่ติดตั้งมาในตัว นั่นทำให้เกิดการประมวลผลที่ไวขึ้นสำหรับจำนวน IoCs ที่ไม่จำกัดโดยไม่ทำให้เกิดการหน่วงของ SIEM

การบริหารจัดการที่แสนง่ายดาย

แดชบอร์ดที่มาพร้อมกับการตรวจจับเชิงสถิติสำหรับข้อมูลที่เสียหายโดยการใช้แหล่งข้อมูลภัยคุกคาม จะช่วยผู้ใช้งานในการตรวจหาและตรวจวัดว่ากระแสของฐานข้อมูลภัยคุกคามชนิดใดที่เหมาะสมกับองค์กรมากที่สุด ในขณะที่ฟีเจอร์ multi-tenancy จะช่วยด้านการแชร์องค์ความรู้ และการรายงานไปยังผู้มีอำนาจตัดสินใจในการดำเนินงานด้านฐานข้อมูลภัยคุกคาม ทำให้ผู้ใช้งานสามารถควบคุมเหตุการณ์ได้จากต่างสาขา

ความสามารถในการติดตาม IoCs ช่วยให้ผู้ใช้งานสามารถประเมินความสำคัญของเหตุการณ์ได้ โดยที่ IoCs ยังสามารถกรองและจัดเรียงการติดตามเหล่านี้รวมถึงให้น้ำหนักความสำคัญได้แบบอัตโนมัติ ฟีเจอร์นี้ทำให้การบริหารจัดการกลุ่มข้อมูลของ IoCs และส่วนต่างๆ ที่เกี่ยวข้องเป็นไปได้อย่างง่ายดายยิ่งขึ้น

เครื่องมือที่สะดวกสบายในการตรวจจับภัยคุกคาม

เพื่อให้ได้ภาพรวมทั้งหมดของเหตุการณ์และทำความเข้าใจกับผลกระทบอันใหญ่หลวง บริการนี้ได้เพิ่ม Research Graph เข้ามาด้วย โดยเครื่องมือดังกล่าวจะช่วยนักวิเคราะห์ในการศึกษาความเชื่อมโยงระหว่างตัวบ่งชี้และพัฒนาแนวป้องกันเหตุการณ์ขึ้นมาได้ในรูปแบบของภาพกราฟิกเพื่อการตอบสนองที่เปี่ยมประสิทธิภาพยิ่งขึ้น โดยความเชื่อมโยงจะถูกสร้างบนฟีดที่ป้อนเข้าสู่ Kaspersky CyberTrace และเพิ่มประสิทธิภาพจาก Threat Intelligence Portal และเพิ่มตัวบ่งชี้เข้าไปด้วยตนเอง

REST API ช่วยนักวิเคราะห์ในการค้นหาและจัดการฐานข้อมูลภัยคุกคามหรือบูรณาการแพลตฟอร์มเข้าสู่สภาพแวดล้อมที่มีความซับซ้อนสำหรับการทำงานแบบอัตโนมัติและมีความสอดคล้องซึ่งกันและกัน

นายอาเรล จังไฮต์ นักวิจัยระบบรักษาความปลอดภัยอาวุโสของแคสเปอร์สกี้ กล่าวว่า “ด้วยความซับซ้อนของภัยคุกคามทางไซเบอร์ที่ขยายวงกว้างขึ้นทุกวัน เราพบว่าองค์กรธุรกิจต้องการโซลูชั่นที่มีความครอบคลุมเพื่อการทำงานที่รวดเร็วยิ่งขึ้น มีการตรวจจับภัยคุกคามที่มีประสิทธิภาพสูง ในการตรวจหาและรับมือต่อภัยคุกคาม โซลูชั่น CyberTrace ที่ผ่านการขยายประสิทธิภาพโดยแคสเปอร์สกี้ สำหรับองค์กรธุรกิจและ MSSPs ได้รวบรวมเอาฟังก์ชั่นการทำงานแบบพร้อมใช้งานทันทีเข้ากับความยืดหยุ่นในการตั้งค่าและปรับแต่งเพิ่มประสิทธิภาพในการแจ้งเตือนแต่ละรายการ โดยมีการคัดกรองและประเมินผลที่อิงจากแหล่งข้อมูล TI ต่างๆ ช่วยให้ทีมดูแลระบบรักษาความปลอดภัยสามารถพุ่งเป้าไปยังการแจ้งเตือนที่มีความเกี่ยวพันกับภัยคุกคามได้อย่างมีประสิทธิภาพยิ่งขึ้น”

ศึกษาข้อมูลเพิ่มเติมในส่วนของความสามารถใหม่ๆ ของแพลตฟอร์ม CyberTrace กรุณาเข้าเยี่ยมชมเว็บไซต์หลัก

https://www.kaspersky.com/enterprise-security/cybertrace-threat-intelligence

หากท่านสนใจและประสงค์จะสั่งซื้อโซลูชั่นนี้ กรุณาติดต่อสำนักงานตัวแทนจำหน่าย Kaspersky ประจำภูมิภาคของคุณ

 

ที่มา: พิตอน คอมมิวนิเคชั่น