Skabelse af et Cyber Threat Intelligence Program
Hvad er et Cyber Threat Intelligence Program?
Cyber Threat Intelligence program kombinerer tusindvis af Threat Intelligence Feeds i et enkelt feed, i stedet for at se dem separat for at muliggøre konsekvent karakterisering og kategorisering af cybertrusselshændelser og identificere tendenser eller ændringer i cybermodstandernes aktiviteter. Programmet beskriver konsekvent cybertrusselsaktiviteter på en måde, der muliggør effektiv informationsdeling og trusselsanalyse. Det assisterer trusselsoplysningsholdet ved at sammenligne feed med intern telemetri og skaber advarsler.
Skabelse af en trusselsoplysningsfunktion, der giver målbar værdi
Hvordan implementerer du cybertrusselsoplysning?
Når relevante cybertrusselsoplysninger udvindes fra trusselsdata, gennemgår de en proces med grundig analyse og struktureret behandling med de nødvendige teknologier og teknikker efterfulgt af deling med de nødvendige interessenter for at skærpe sikkerhedskontrollerne og forhindre fremtidige cyberangreb.
Enterprise Objectives for Cyber Intelligence Programs
Afstemning af virksomhedens mål i forbindelse med oprettelsen af trusselsinformationsprogrammet fastlægger køreplanen for trusselsinformation. De data, aktiver og forretningsprocesser, der skal beskyttes, bør være veldefineret sammen med konsekvensanalysen af tabet af sådanne aktiver. Det hjælper med at skitsere; hvilken type trusselsinformation er nødvendig, og hvem der alle bør være involveret.
Trusselanalytikerens rolle i livscyklus for trusselsinformation
Cyberintelligensanalytikere, også kendt som “cybertrusselsanalytikere”, er fagfolk inden for informationssikkerhed, der bruger deres færdigheder og baggrundsviden til at indsamle og analysere trusselsdata for at skabe intelligens i form af rapporter og dele dem med den respektive afdeling. Certificeret cyberintelligensanalytiker er påkrævet for at skabe et trusselsinformationsprogram.
Threat Intelligence Strategy and Capabilities
Threat Intelligence-strategi indebærer en forsvarlig planlægning med anvendelse af værktøjer, teknikker og metoder, efterfulgt af en gennemgang for at kontrollere planens effektivitet. Mens man udarbejder strategien, bør man også overveje sine trusselsoplysningskapaciteter og strukturere programmet i overensstemmelse hermed, herunder støtte fra forskellige afdelinger.
Cybertrusler og avancerede vedvarende trusler (APT’er)
Forståelse af cybertrusler og avancerede vedvarende trusler er det mest afgørende aspekt af trusselsoplysningsprogrammet.
Hvad er Advanced Persistent Threats (APT)?
En avanceret vedvarende trussel er et angreb, hvor en uautoriseret bruger får adgang til et netværkssystem og forbliver der i lang tid uden at blive opdaget. Avancerede vedvarende trusler er meget truende for organisationer, da angriberne har kontinuerlig adgang til virksomhedens data. Avancerede vedvarende trusler udføres i faser, som indebærer, at de hacker netværket, gemmer sig for at få adgang til så mange oplysninger som muligt, planlægger et angreb, studerer organisationens informationssystemer, søger efter nem adgang til følsomme data og exfiltrerer disse data.
Cyber Threat Intelligence Frameworks
Cyber Threat Intelligence Framework skaber intelligens til at reagere på cyberangreb ved at styre, opdage og advare sikkerhedsfolk om potentielle trusler. Det giver en handlingsplan til at afbøde angrebene ved at indsamle de seneste trusselskildeoplysninger og skabe trusselsmodeller.
Forståelse af cyberkill-kæden & IOC’er
Cyberkill-kæden er en række trin, der sporer stadier af et cyberangreb fra de tidlige rekognosceringsstadier til exfiltrering af data. Kill-kæden hjælper os med at forstå og bekæmpe ransomware, sikkerhedsbrud og avancerede vedvarende angreb (APT’er)
Cyber-kill-kæden identificerer faserne i et cyberangreb fra tidlig rekognoscering til målet om dataekfiltration og bruges som et værktøj til at forbedre en organisations sikkerhed.
Indicators of Compromise (IOC’er) er beviser såsom URL’er, IP-adresser, systemlogfiler og malware-filer, der kan bruges til at opdage fremtidige forsøg på brud på sikkerheden ved hjælp af indbrudsdetektionssystemer (IDS) og antivirus-software.
Organisationens nuværende trusselslandskab
Dette omfatter identifikation af kritiske trusler mod en organisation, vurdering af organisationens nuværende sikkerhedstilstand, sikkerhedsteamets struktur og kompetencer. Forståelse af organisationens nuværende sikkerhedsinfrastruktur og operationer hjælper sikkerhedseksperter med at vurdere risici for identificerede trusler.
Analyse af krav
Analyse af krav handler om at kortlægge organisationens ideelle måltilstand, identificere behov og krav til cyberintelligens, definere krav og kategorier, afstemme kravene fra forretningsenheder, interessenter og tredjeparter, prioritering af efterretningskrav, omfanget af programmet for efterretningsoplysninger om cybertrusler, regler for engagement, aftaler om hemmeligholdelse og almindelige risici for programmet for efterretningsoplysninger om cybertrusler.
Etablering af ledelsesstøtte
Udarbejde og dokumentere projektplanen i overensstemmelse med politikkerne for at igangsætte programmet og dække strategierne for at sikre ledelsens støtte og detaljeret resultatet og målet med programmet, og hvordan forretningsmålene er linet op.
Opbygning af et Threat Intelligence Team
Oprettelse af et team af analytikere af cybertrusselsoplysninger og definition af deres roller og ansvarsområder baseret på deres kernekompetencer og færdigheder. Oprettelse af en strategi for talentindkøb og definition af de nødvendige færdigheder, kvalifikationer, faglige certificeringer og positionering af trusselsoplysningsholdet.
Revision af trusselsoplysningsprogrammet
Revision af strukturen i trusselsoplysningsprogrammet for at få adgang til succes og fiasko. Resultaterne under gennemgangen bidrager til at forbedre det faktiske program og foretage de nødvendige opdateringer.
Indsamling af data om trusselsoplysninger & Behandling
Indsamling og erhvervelse af data om cybertrusselsoplysninger
Indsamling af relevante trusselsdata til analyse og behandling er et vigtigt skridt for at skabe cybertrusselsoplysninger. Dataene indsamles fra forskellige kilder ved hjælp af foruddefinerede TTP’er (taktik, teknikker og procedurer). Kun få datakilder er interne som f.eks. netværkslogfiler, tidligere cyberhændelser og sikkerhedslandskaber. De eksterne kilder omfatter trusselsfeeds, fællesskaber, fora, open web og dark web.