
Threat intelligence
脅威インテリジェンス
La Threat Intelligence è l'insieme organizzato di conoscenze creato e mantenuto da Yoroi sugli attacchi digitali e sugli indicatori di compromissione (IoC).
È un’intelligence molto potente. Ad oggi, infatti, sono stati memorizzati tre petabyte di dati, pari ai caratteri di 375 milioni di Bibbie. É battle tested e viene utilizzata ogni giorno per contrastare gli attacchi ai clienti protetti dal Cyber Security Defence Center di Yoroi
Le Sandbox di Yoroi processano ogni giorno circa 2 milioni di detonazioni: attraverso questo processo la Threat Intelligence viene continuamente aggiornata autopotenziandosi.
La threat Intelligence di Yoroi contiene informazioni relative a tutte le analisi effettuate su un gran numero di fonti quali (ma non solo): OSINT, Fonti Private, Fonti Nascoste e Fonti Classificate.
Ogni fonte integrata, classificata, connessa e infine indicizzata ha una caratteristica specifica.
Le fonti OSINT hanno conoscenze di base sull'andamento delle minacce note. È importante capire come si evolvono le minacce nel tempo e queste fonti informative sono in grado di esprimere al meglio il concetto generico.
Le fonti private contengono informazioni relative alle minacce tipicamente identificate e bloccate da Yoroi attraverso la sua rete di sensori.
Le Hidden Sources contengono poche ma preziose informazioni relative alle minacce imminenti quali (ma non solo): la creazione di una nuova versione, l'introduzione di un nuovo Packer nel mercato e/o l'uso di nuovi strumenti per crittografare il callback traffico.
Queste informazioni accuratamente progettate, catalogate e indicizzate sono rese disponibili tramite un set REST-full API pubbliche complete completamente integrate con tecnologie di terze parti come: SIEM, SIEM +, Log Management e altre tecnologie di analisi delle minacce.
Al fine di integrare la Threat Intelligence di Yoroi con gli strumenti interni all'organizzazione, viene offerto un SDK scritto in Python e/o Javascript/NodeJS attraverso il quale è possibile automatizzare richieste simultanee alle API Pubbliche.
Il servizio Threat Intelligence, oltre all'utilizzo delle API pubbliche, offre un'interfaccia di riepilogo (su base mensile) di tutte le minacce in tempo reale e una comoda interfaccia di ricerca. L'interfaccia di riepilogo mostra le seguenti informazioni:
- i tipi di attività più colpiti secondo la classificazione standard di Thomson Reuters, nell'ultimo mese;
- le principali nazioni attaccanti e le principali nazioni vittime, nell'ultimo mese;
- le principali minacce individuate nell'ultimo mese
Queste ultime informazioni sono molto preziose sia per gli analisti dei Security Operation Center che per i produttori di sistemi di protezione. Di seguito sono riportati alcuni esempi di utilizzo della Yoroi Threat Intelligence.