Kyberuhkatiedusteluohjelman luominen
Mitä on kyberuhkatiedusteluohjelma?
Kyberuhkatiedusteluohjelmassa yhdistetään tuhansia uhkatiedustelutietoja yhdeksi syötteeksi sen sijaan, että niitä tarkasteltaisiin erillisinä, jotta mahdollistetaan johdonmukainen kyberuhkatapahtumien luonnehdinta ja kategorisointi sekä tunnistetaan trendejä tai muutoksia kybervihollisten toiminnassa. Ohjelma kuvaa johdonmukaisesti kyberuhkatoimintaa tavalla, joka mahdollistaa tehokkaan tiedonvaihdon ja uhka-analyysin. Se avustaa uhkatiedusteluryhmää vertaamalla syötettä sisäiseen telemetriaan ja luo hälytyksiä.
Luo uhkatiedustelutoiminto, joka tuottaa mitattavaa arvoa
Miten kyberuhkatiedustelu toteutetaan?
Kun uhkatiedoista on poimittu olennaiset kyberuhkatiedot, ne käyvät läpi perusteellisen analyysin ja jäsennellyn käsittelyn tarvittavilla teknologioilla ja tekniikoilla, minkä jälkeen ne jaetaan tarvittaville sidosryhmille, jotta voidaan koventaa tietoturvakontrollia ja ehkäistä tulevia kyberhyökkäyksiä.
Yrityksen tavoitteet kybertiedusteluohjelmille
Yritystoiminnan tavoitteiden asettaminen yritystoiminnan tavoitteiden mukaisesti uhkakuvatiedustelun luomiseksi asettaa uhkakuvatiedustelun tiekartan. Tiedot, omaisuuserät ja liiketoimintaprosessit, jotka on suojattava, olisi määriteltävä hyvin, samoin kuin tällaisten omaisuuserien menettämisen vaikutusanalyysi. Se auttaa hahmottamaan; minkä tyyppistä uhkatiedustelua tarvitaan ja kenen kaikkien pitäisi olla mukana.
Uhka-analyytikon rooli uhkatiedustelun elinkaaressa
Verkkouhka-analyytikot, jotka tunnetaan myös nimellä ”kyberuhka-analyytikot”, ovat tietoturva-alan ammattilaisia, jotka käyttävät taitojaan ja taustatietämystään uhkatiedon keräämiseen ja analysoimiseen luodakseen tiedustelutietoa raporttien muodossa ja jakaakseen sen asianomaiselle osastolle. Uhkatiedusteluohjelman luominen edellyttää sertifioitua kybertiedusteluanalyytikkoa.
Uhkatiedustelustrategia ja -valmiudet
Uhkatiedustelustrategiaan kuuluu järkevä suunnittelu, jossa sovelletaan työkaluja, tekniikoita ja menetelmiä, minkä jälkeen tehdään tarkastelu suunnitelman tehokkuuden tarkistamiseksi. Strategiaa laadittaessa olisi myös otettava huomioon uhkatiedustelukyvyt ja rakennettava ohjelma sen mukaisesti, mukaan lukien eri osastojen tuki.
Kyberuhat ja pitkälle kehitetyt pysyvät uhat (APT:t)
Kyberuhkien ja pitkälle kehitettyjen pysyvien uhkien ymmärtäminen on uhkatiedusteluohjelman ratkaisevin näkökohta.
Mitä ovat kehittyneet pysyvät uhat (APT)?
Edistynyt pysyvä uhka on hyökkäys, jossa luvaton käyttäjä pääsee verkkojärjestelmään ja pysyy siellä pitkään huomaamattaan. Edistyneet jatkuvat uhat ovat erittäin uhkaavia organisaatioille, sillä hyökkääjillä on jatkuva pääsy yrityksen tietoihin. Edistyneet pysyvät uhat toteutetaan vaiheittain, joihin kuuluu verkkoon murtautuminen, piiloutuminen päästäkseen käsiksi mahdollisimman moneen tietoon, hyökkäyksen suunnittelu, organisaation tietojärjestelmien tutkiminen, arkaluonteisten tietojen helpon pääsyn etsiminen ja tietojen poistaminen.
Cyber Threat Intelligence Frameworks
Cyber Threat Intelligence Frameworks luo älykkyystietoa, jonka avulla voidaan reagoida tietoverkko-iskuihin hallitsemalla, havaitsemalla ja hälyttämällä tietoturva-ammattilaisia mahdollisista uhkista. Se tarjoaa toimintasuunnitelman hyökkäysten lieventämiseksi keräämällä viimeisimmät uhkalähdetiedot ja luomalla uhkamalleja.
Yberhyökkäyksen tappoketjun ymmärtäminen & IOC:t
Yberhyökkäyksen tappoketju on sarja vaiheita, jotka jäljittävät verkkohyökkäyksen vaiheet alkuvaiheen tiedusteluvaiheista tietojen poistamiseen. Tappoketju auttaa ymmärtämään ja torjumaan lunnasohjelmia, tietoturvaloukkauksia ja kehittyneitä pysyviä hyökkäyksiä (APT:t)
Kyberhyökkäyksen tappoketjussa tunnistetaan kyberhyökkäyksen vaiheet varhaisesta tiedustelusta tietojen poistamisen päämäärään, ja sitä käytetään työkaluna organisaation turvallisuuden parantamiseen.
Vahingon indikaattorit (Indicators of Compromise, IOC) ovat todisteita, kuten URL-osoitteita, IP-osoitteita, järjestelmälokeja ja haittaohjelmatiedostoja, joita voidaan käyttää tulevien murtautumisyritysten havaitsemiseen käyttämällä tunkeutumisen havaitsemisjärjestelmiä (Intrusion Detection Systems, IDS) ja virustentorjuntaohjelmistoja.
Organisaation tämänhetkinen uhkamaisema
Tähän sisältyy organisaatioon kohdistuvien kriittisten uhkien yksilöintiä, organisaation tämänhetkisen tietoturva-asetelman arviointia, tietoturvaryhmän rakennetta ja osaamista. Organisaation nykyisen tietoturvainfrastruktuurin ja -toimintojen ymmärtäminen auttaa tietoturva-ammattilaisia arvioimaan tunnistettuihin uhkiin liittyviä riskejä.
Tarpeiden analysointi
Tarpeiden analysoinnissa on kyse organisaation ihanteellisen tavoitetilan kartoittamisesta, tarpeiden ja tietoverkkotiedustelun tarpeiden ja vaatimusten tunnistamisesta, tarpeiden ja luokkien määrittelemisestä, liiketoimintayksikköjen, sidosryhmien ja ulkopuolisten tahojen tarpeiden yhteensovittamisesta, tiedustelutietovaatimusten asettamisesta paremmuusjärjestykseen, tietoverkkojen tietoturvatiedustelun ohjelman soveltamisalasta, sitoutumissäännöistä, salaamisten estämisestä tehdyistä sopimuksista ja yleisistä riskeistä, jotka kohdistuvat tietoverkkojen tietoverkkojen tietoturvatiedustelun ohjelmaan.
Johdon tuen vakiinnuttaminen
Valmistetaan ja dokumentoidaan projektisuunnitelma toimintatapojen mukaisesti ohjelman käynnistämiseksi ja katetaan strategiat, joilla varmistetaan johdon tuki, ja eritellään yksityiskohtaisesti ohjelman lopputulos ja tavoite sekä se, miten liiketoimintatavoitteet ovat linjassa.
Uhka-analyysiryhmän rakentaminen
Verkkouhka-analyytikkojen ryhmän luominen ja heidän rooliensa ja vastuualueidensa määrittäminen heidän ydinosaamisensa ja -taitojensa perusteella. Lahjakkuuksien hankintastrategian luominen ja vaadittavien taitojen, pätevyyksien ja ammattipätevyyksien määrittely sekä uhkatiedustelutiimin asemointi.
Uhkatiedusteluohjelman tarkistaminen
Uhkatiedusteluohjelman rakenteen tarkistaminen onnistumisen ja epäonnistumisen saavuttamiseksi. Tarkastelun aikana tehdyt havainnot auttavat parantamaan varsinaista ohjelmaa ja tekemään tarvittavat päivitykset.
Uhka-analyysitiedonkeruu & Käsittely
Cyberuhka-analyysitiedonkeruu ja hankinta
Relevanttien uhka-analyysitietojen kerääminen analyysia ja käsittelyä varten on tärkeä vaihe kyberuhka-analyysin luomisessa. Tiedot kerätään eri lähteistä käyttäen ennalta määriteltyä TTP:tä (Tactics, Techniques and Procedures). Muutamat tietolähteet ovat sisäisiä, kuten verkkolokit, aiemmat verkkotapahtumat ja turvallisuusympäristö. Ulkoisiin lähteisiin kuuluvat uhkasyötteet, yhteisöt, foorumit, avoin verkko ja pimeä verkko.