Operacionalização de dados brutos de ameaças

Como uma equipa assistida por IA obtém confiança do caos

Principais conclusões

• A plataforma XDR assistida por IA da Barracuda processa volumes massivos de dados de ameaças globais em tempo real e transforma-os em insights acionáveis para uma rápida resposta a incidentes cibernéticos.
• A plataforma ingere mais de 12 milhões de indicadores, atualizando constantemente o seu data lake com novas e relevantes informações de ameaças para garantir proteção atualizada.
• A deteção de ameaças utiliza regras avançadas de correspondência de indicadores, comparando os registos de eventos dos clientes com um extenso índice de IOCs para identificar atividades suspeitas de forma eficiente.

A plataforma XDR baseada em IA da Barracuda, gerida pelo pessoal do SOC da Barracuda, ingere grandes quantidades de dados de ameaças globais em tempo real. E transforma esses dados em insights operacionais acionáveis que conduzem a uma resposta rápida e altamente eficaz a incidentes cibernéticos.

Falámos com Eric Russo, Diretor de Segurança Defensiva do SOC da Barracuda, para saber mais sobre como ocorre esse processo de operacionalização dos dados de ameaças e porque é central para a forma como Barracuda Managed XDR reduz o risco cibernético enquanto também reduz os custos indiretos de TI através da automatização.

Perspetivas do Diretor de Segurança Defensiva do SOC da Barracuda

Qual é a fonte da vasta quantidade de inteligência de ameaças, ou dados de ameaças, que chega ao Barracuda SOC e Barracuda Managed XDR? Pode dar-nos uma métrica de quanta informação está a entrar?

Os dados que estão a ser ingeridos no Barracuda XDR provêm de fluxos de inteligência sobre ameaças de nível empresarial. Atualmente, temos mais de 12 milhões de indicadores no nosso data lake. Os indicadores estão a ser constantemente adicionados à medida que novas informações são reunidas e publicadas, bem como removidos à medida que os indicadores desatualizados se tornam obsoletos.

Como é que esse vasto fluxo de dados se transforma em insights e inteligência utilizáveis?

A nossa plataforma XDR monitoriza logs de eventos das fontes de dados dos clientes para detectar potenciais ameaças. Uma abordagem para isto é através de regras de correspondência de indicadores. Por exemplo, podemos comparar endereços IP em logs de firewall com um índice de IOCs [indicadores de comprometimento] dos nossos fluxos de inteligência de ameaças como forma de detectar tráfego/conexões potencialmente maliciosas.

A inteligência sobre ameaças é também um excelente mecanismo para enriquecimento de alertas, em todas as regras/deteções. Podemos consultar os endereços IP, valores hash e domínios em várias fontes de inteligência sobre ameaças, incluindo subscrições licenciadas, ferramentas de código aberto e até mesmo inteligência sobre ameaças proprietária da Barracuda. Verificar várias fontes de inteligência permite-nos estabelecer um grau de confiança que ajuda na nossa classificação de risco e nas decisões de alerta.

Como é que o processo de operacionalização de dados de ameaças beneficia os Provedores de Serviços Geridos que incorporam o Barracuda Managed XDR nas suas ofertas de serviços?

Um dos maiores benefícios da nossa robusta plataforma de inteligência de ameaças é que nos permitiu tomar ações de resposta a ameaças automatizadas (ATR) em nome dos nossos parceiros MSP, sem necessidade de intervenção humana. Se for observada comunicação com um endereço IP malicioso no firewall de um cliente, o Barracuda XDR pode bloquear automaticamente esse endereço IP no firewall do cliente, prevenindo assim uma comunicação futura.

Esta ação de resposta automática ocorre quando há um elevado grau de confiança de que o IP é malicioso com base em dados reputacionais de várias fontes de inteligência de ameaças.

Como beneficia os utilizadores finais?

Isto recupera tempo/recursos significativos para ambos os parceiros e utilizadores finais que já não precisam de ter um técnico a passar por este processo manualmente, o que dá à sua equipa mais capacidade para se concentrar no seu negócio. Podem ficar descansados sabendo que a funcionalidade ATR do Barracuda XDR tem isto coberto para eles.

Além disso, alguns serviços de segurança exigem que os utilizadores finais comprem as suas próprias licenças de inteligência de ameaças e as integrem na plataforma. O Barracuda XDR retira esse encargo financeiro dos utilizadores finais ao fornecer e gerir diretamente os fluxos de inteligência de ameaças em nome de todos os nossos clientes.