Vytvoření programu Cyber Threat Intelligence
Co je to program Cyber Threat Intelligence?
Program Cyber Threat Intelligence kombinuje tisíce kanálů Threat Intelligence do jednoho kanálu, namísto jejich samostatného prohlížení, aby umožnil konzistentní charakterizaci a kategorizaci událostí kybernetických hrozeb a identifikoval trendy nebo změny v aktivitách kybernetických protivníků. Program konzistentně popisuje aktivity kybernetických hrozeb způsobem, který umožňuje efektivní sdílení informací a analýzu hrozeb. Pomáhá týmu zpravodajství o hrozbách tím, že porovnává zdroj s interní telemetrií a vytváří výstrahy.
Vytvoření funkce zpravodajství o hrozbách, která poskytuje měřitelnou hodnotu
Jak implementovat zpravodajství o kybernetických hrozbách?
Jakmile jsou z dat o hrozbách získány relevantní informace o kybernetických hrozbách, procházejí procesem důkladné analýzy a strukturovaného zpracování pomocí potřebných technologií a technik, po němž následuje sdílení s požadovanými zúčastněnými stranami s cílem zpřísnit bezpečnostní kontroly a zabránit budoucím kybernetickým útokům.
Cíle podniku pro programy kybernetického zpravodajství
Soulad podnikových cílů při vytváření programu zpravodajství o hrozbách stanoví plán pro zpravodajství o hrozbách. Data, aktiva a podnikové procesy, které je třeba chránit, by měly být dobře definovány spolu s analýzou dopadů ztráty těchto aktiv. Pomáhá nastínit; jaký typ zpravodajství o hrozbách je zapotřebí a kdo všechno by měl být zapojen.
Úloha analytika hrozeb v životním cyklu zpravodajství o hrozbách
Analytici kybernetického zpravodajství, známí také jako „analytici kybernetických hrozeb“, jsou odborníci na informační bezpečnost, kteří využívají své dovednosti a základní znalosti ke shromažďování a analýze dat o hrozbách s cílem vytvořit zpravodajské informace ve formě zpráv a sdílet je s příslušným oddělením. K vytvoření programu zpravodajství o hrozbách je zapotřebí certifikovaný analytik kybernetického zpravodajství.
Strategie a schopnosti zpravodajství o hrozbách
Strategie zpravodajství o hrozbách zahrnuje důkladné plánování s použitím nástrojů, technik a metodik, po kterém následuje kontrola účinnosti plánu. Při navrhování strategie je třeba také zvážit své schopnosti v oblasti threat intelligence a podle toho program strukturovat, včetně podpory různých oddělení.
Kybernetické hrozby a pokročilé trvalé hrozby (APT)
Poznání kybernetických hrozeb a pokročilých trvalých hrozeb je nejdůležitějším aspektem programu threat intelligence.
Co jsou to pokročilé přetrvávající hrozby (APT)
Pokročilá přetrvávající hrozba je útok, při kterém neoprávněný uživatel získá přístup do síťového systému a zůstane tam po dlouhou dobu, aniž by byl odhalen. Pokročilé přetrvávající hrozby jsou pro organizace velmi hrozivé, protože útočníci mají nepřetržitý přístup k firemním datům. Pokročilé přetrvávající hrozby probíhají ve fázích, které zahrnují nabourání se do sítě, skrývání se za účelem získání přístupu k co největšímu množství informací, plánování útoku, zkoumání informačních systémů organizace, hledání snadného přístupu k citlivým datům a exfiltraci těchto dat.
Rámce zpravodajství o kybernetických hrozbách
Rámce zpravodajství o kybernetických hrozbách vytvářejí zpravodajské informace, které umožňují reagovat na kybernetické útoky prostřednictvím správy, detekce a upozorňování bezpečnostních profesionálů na potenciální hrozby. Poskytuje akční plán pro zmírnění útoků shromažďováním nejnovějších informací o zdrojích hrozeb a vytvářením modelů hrozeb.
Pochopení kybernetického řetězce zabití & IOC
Kybernetický řetězec zabití je řada kroků, které sledují fáze kybernetického útoku od počátečních fází průzkumu až po exfiltraci dat. Řetězec zabití nám pomáhá pochopit a bojovat proti ransomwaru, narušení bezpečnosti a pokročilým přetrvávajícím útokům (APT)
Řetězec kybernetického zabití identifikuje fáze kybernetického útoku od počátečního průzkumu až po cíl exfiltrace dat a používá se jako nástroj ke zlepšení zabezpečení organizace.
Indikátory kompromitace (IOC) jsou důkazy, jako jsou adresy URL, IP adresy, systémové logy a soubory malwaru, které lze použít k odhalení budoucích pokusů o narušení pomocí systémů detekce narušení (IDS) a antivirového softwaru.
Současné prostředí hrozeb organizace
To zahrnuje identifikaci kritických hrozeb pro organizaci, posouzení současného stavu zabezpečení organizace, struktury a kompetencí bezpečnostního týmu. Pochopení současné bezpečnostní infrastruktury a operací organizace pomáhá bezpečnostním odborníkům při posuzování rizik identifikovaných hrozeb.
Analýza požadavků
Analýza požadavků spočívá v mapování ideálního cílového stavu organizace, identifikaci potřeb a požadavků na kybernetické zpravodajství, definování požadavků a kategorií, sladění požadavků obchodních jednotek, zainteresovaných stran a třetích stran, stanovení priorit požadavků na zpravodajství, rozsahu programu zpravodajství o kybernetických hrozbách, pravidel zapojení, dohod o mlčenlivosti a běžných rizik programu zpravodajství o kybernetických hrozbách.
Získání podpory vedení
Připravit a zdokumentovat plán projektu v souladu se zásadami pro zahájení programu a pokrýt strategie pro zajištění podpory vedení a podrobně popsat výsledek a cíl programu a způsob, jakým jsou obchodní cíle seřazeny.
Vytvoření týmu pro zpravodajství o kybernetických hrozbách
Vytvoření týmu analytiků pro zpravodajství o kybernetických hrozbách a definování jejich rolí a odpovědností na základě jejich klíčových kompetencí a dovedností. Vytvoření strategie získávání talentů a definování požadovaných dovedností, kvalifikace, odborných certifikací a umístění týmu threat intelligence.
Přezkoumání programu threat intelligence
Přezkoumání struktury programu threat intelligence za účelem přístupu k úspěchu a neúspěchu. Zjištění během přezkumu pomáhají zlepšit aktuální program a provést potřebné aktualizace.
Sběr dat zpravodajství o hrozbách &Zpracování
Sběr a pořízení dat zpravodajství o kybernetických hrozbách
Sběr relevantních dat o hrozbách pro analýzu a zpracování je důležitým krokem pro vytvoření zpravodajství o kybernetických hrozbách. Data se shromažďují z různých zdrojů pomocí předem definovaných TTP (Tactics, Techniques and Procedures). Několik zdrojů dat je interních, jako jsou síťové protokoly, minulé kybernetické incidenty a bezpečnostní prostředí. Externí zdroje zahrnují kanály o hrozbách, komunity, fóra, otevřený web a dark web.