Skapa ett Cyber Threat Intelligence Program
Vad är ett Cyber Threat Intelligence Program?
Cyber Threat Intelligence Program kombinerar tusentals Threat Intelligence Feeds i ett enda flöde, i stället för att visa dem separat, för att möjliggöra en enhetlig karakterisering och kategorisering av cyberhot-händelser och identifiera trender eller förändringar i cybermotståndares aktiviteter. Programmet beskriver konsekvent cyberhotverksamhet på ett sätt som möjliggör effektiv informationsdelning och hotanalys. Det hjälper hotinformationsteamet genom att jämföra feed med intern telemetri och skapar varningar.
Skapa en hotinformationsfunktion som ger mätbart värde
Hur implementerar du Cyber Threat Intelligence?
När relevant information om cyberhot extraheras från hotdata genomgår den en process med grundlig analys och strukturerad bearbetning med nödvändig teknik och teknik som följs av delning med nödvändiga intressenter för att skärpa säkerhetskontrollerna och förhindra framtida cyberattacker.
Företagets mål för program för cyberintelligens
Att anpassa företagets mål vid skapandet av programmet för hotinformation anger färdplanen för hotinformation. De data, tillgångar och affärsprocesser som behöver skyddas bör definieras väl tillsammans med konsekvensanalysen av att förlora sådana tillgångar. Det hjälper till att beskriva vilken typ av hotinformation som krävs och vem som ska vara involverad.
Hotanalytikerns roll i livscykeln för hotinformation
Cyberintelligensanalytiker, även kända som ”cyberhotanalytiker”, är informationssäkerhetsexperter som använder sina färdigheter och bakgrundskunskaper för att samla in och analysera hotdata för att skapa underrättelser i form av rapporter och dela med sig av dem till respektive avdelning. Certifierad cyberintelligensanalytiker krävs för att skapa ett program för hotinformation.
Threat Intelligence Strategy and Capabilities
Threat Intelligence Strategy innebär en sund planering med tillämpning av verktyg, tekniker och metoder, följt av en översyn för att kontrollera planens effektivitet. Samtidigt som man utformar strategin bör man också ta hänsyn till sin kapacitet för hotinformation och strukturera programmet därefter, inklusive stöd från olika avdelningar.
Cyberhot och avancerade, beständiga hot (APTs)
Förståelse för cyberhot och avancerade, beständiga hot är den mest avgörande aspekten av programmet för hotinformation.
Vad är Advanced Persistent Threats (APT)
Ett avancerat bestående hot är en attack där en obehörig användare får tillgång till ett nätverkssystem och stannar kvar där under lång tid utan att upptäckas. Avancerade ihållande hot är mycket hotfulla för organisationer, eftersom angriparna har kontinuerlig tillgång till företagets data. Avancerade ihållande hot utförs i faser som innebär att man hackar nätverket, gömmer sig för att få tillgång till så mycket information som möjligt, planerar en attack, studerar organisationens informationssystem, letar efter enkel tillgång till känsliga data och exfiltrerar dessa data.
Cyber Threat Intelligence Frameworks
Cyber threat intelligence framework skapar intelligens för att kunna reagera på cyberattacker genom att hantera, upptäcka och varna säkerhetspersonal för potentiella hot. Det ger en handlingsplan för att mildra attackerna genom att samla in den senaste informationen om hotkällor och skapa hotmodeller.
Understanding Cyber Kill Chain & IOCs
Cyber kill chain är en serie steg som spårar stegen i en cyberattack från de tidiga rekognosceringsstegen till exfiltrationen av data. Killkedjan hjälper oss att förstå och bekämpa ransomware, säkerhetsöverträdelser och avancerade persistenta attacker (APTs)
Cyber kill chain identifierar faserna i en cyberattack från tidig rekognoscering till målet att exfiltrera data och används som ett verktyg för att förbättra en organisations säkerhet.
Indicators of Compromise (IOCs) är bevis som URL:er, IP-adresser, systemloggar och filer med skadlig kod som kan användas för att upptäcka framtida intrångsförsök med hjälp av intrångsdetekteringssystem (IDS) och antivirusprogram.
Organisationens nuvarande hotlandskap
Detta innefattar identifiering av kritiska hot mot en organisation, bedömning av organisationens nuvarande säkerhetsläge, säkerhetsteamets struktur och kompetenser. Förståelse för organisationens nuvarande säkerhetsinfrastruktur och verksamhet hjälper säkerhetsexperter att bedöma risker för identifierade hot.
Analys av krav
Analys av krav handlar om att kartlägga organisationens ideala måltillstånd, identifiera behov och krav på cyberunderrättelseverksamhet, definiera krav och kategorier, anpassa kraven från affärsenheter, intressenter och tredje parter, prioritera underrättelsekrav, omfattningen av programmet för underrättelseverksamhet om cyberhot, regler för engagemang, avtal om sekretess och vanliga risker för programmet för underrättelseverksamhet om cyberhot.
Etablering av ledningens stöd
Utarbeta och dokumentera projektplanen i enlighet med riktlinjerna för att inleda programmet och täcka strategierna för att säkerställa ledningens stöd och detaljerat resultatet och målet för programmet och hur affärsmålen är uppradade.
Bygga ett Threat Intelligence Team
Skapa ett team av analytiker för underrättelseinformation om cyberhot och definiera deras roller och ansvarsområden utifrån deras kärnkompetenser och färdigheter. Skapa en strategi för att förvärva talanger och definiera de färdigheter som krävs, kvalifikationer, yrkescertifieringar och positionera hotinformationsteamet.
Översyn av hotinformationsprogrammet
Översyn av strukturen för hotinformationsprogrammet för att få tillgång till framgång och misslyckande. Resultaten under översynen hjälper till att förbättra det faktiska programmet och göra nödvändiga uppdateringar.
Inhämtning av data om hotinformation & Behandling
Inhämtning och anskaffning av data om cyberhotinformation
Inhämtning av relevanta hotdata för analys och bearbetning är ett viktigt steg för att skapa information om cyberhot. Uppgifterna samlas in från olika källor med hjälp av fördefinierade TTP (Tactics, Techniques and Procedures). Få datakällor är interna som nätverksloggar, tidigare cyberincidenter och säkerhetslandskap. De externa källorna omfattar hotflöden, gemenskaper, forum, öppna webben och dark webben.