Architettura di intelligence sulle minacce informatiche su AWS

La figura seguente illustra un'architettura generalizzata per l'utilizzo di un threat feed per integrare la cyber threat intelligence (CTI) nell'ambiente in uso. AWS Il CTI è condiviso tra la vostra piattaforma di intelligence sulle minacce Cloud AWS, l'autorità informatica selezionata e altri membri della community di fiducia.

Mostra il seguente flusso di lavoro:

1. La piattaforma di intelligence sulle minacce riceve dati CTI utilizzabili dall'autorità informatica o da altri membri della community fiduciaria.

2. La piattaforma di intelligence sulle minacce incarica i servizi AWS di sicurezza di rilevare e prevenire gli eventi.

3. La piattaforma di intelligence sulle minacce riceve informazioni sulle minacce da Servizi AWS.

4. Se si verifica un evento, la piattaforma di intelligence sulle minacce cura il nuovo CTI.

5. La piattaforma di intelligence sulle minacce condivide il nuovo CTI con l'autorità informatica. Può anche condividere il CTI con altri membri della community fiduciaria.

Esistono molte autorità informatiche che offrono feed CTI. Gli esempi includono l'Australian Cyber Security Centre (ACSC), il programma Connect Inform Share Protect (CISP) offerto dal National Cyber Security Centre del Regno Unito e il programma Malware Free Networks (MFN) offerto dal Government Communications Security Bureau della Nuova Zelanda. Molti partner offrono anche AWS la condivisione di feed da parte di CTI.

Per iniziare con la condivisione CTI, ti consigliamo di fare quanto segue:

1. Implementazione di una piattaforma di intelligence sulle minacce: implementa una piattaforma che acquisisce, aggrega e organizza i dati di intelligence sulle minacce provenienti da più fonti e in diversi formati.

2. Acquisizione di informazioni sulle minacce informatiche: integra la tua piattaforma di intelligence sulle minacce con uno o più fornitori di feed sulle minacce. Quando ricevi un feed sulle minacce, utilizza la tua piattaforma di intelligence sulle minacce per elaborare il nuovo CTI e identificare le informazioni utilizzabili rilevanti per le operazioni di sicurezza nel tuo ambiente. Automatizzate il più possibile, ma ci sono alcune situazioni che richiedono una decisione. human-in-the-loop

3. Automatizzazione dei controlli di sicurezza preventivi e investigativi: implementate CTI nei servizi di sicurezza della vostra architettura che forniscono controlli preventivi e investigativi. Questi servizi sono comunemente noti come sistemi di prevenzione delle intrusioni (IPS). Attivo AWS, si utilizza il servizio APIs per configurare elenchi di blocchi che negano l'accesso dagli indirizzi IP e dai nomi di dominio forniti nei feed delle minacce.

4. Ottenere visibilità con meccanismi di osservabilità: mentre le operazioni di sicurezza si svolgono nel vostro ambiente, state raccogliendo nuovi CTI. Ad esempio, potreste osservare una minaccia inclusa nel feed delle minacce oppure osservare gli indicatori di compromissione associati a un'intrusione (come un exploit zero-day). La centralizzazione dell'intelligence sulle minacce offre una maggiore consapevolezza della situazione in tutto l'ambiente, in modo da poter esaminare il CTI esistente e il CTI appena scoperto in un unico sistema.

5. Condivisione del CTI con la tua community di fiducia: per completare il ciclo di vita della condivisione CTI, genera il tuo CTI e condividilo nuovamente con la tua community di fiducia.

Il seguente video, Scaling cyber threat intelligence sharing with the AUS Cyber Security Center, illustra questi passaggi in modo più dettagliato. Sebbene questo video illustri le funzionalità di condivisione CTI dell'Australian Cyber Security Centre, i passaggi sono gli stessi indipendentemente dal feed di minacce scelto o dalla posizione.