Cyberfenyegetés-elemzési program létrehozása
Mi az a kiberfenyegetés-elemzési program?
A kiberfenyegetés-elemzési program több ezer fenyegetés-elemzési adatfolyamot egyesít egyetlen adatfolyamba, ahelyett, hogy külön-külön nézné meg őket, hogy lehetővé tegye a kiberfenyegetési események egységes jellemzését és kategorizálását, valamint a kiberellenfelek tevékenységében tapasztalható tendenciák vagy változások azonosítását. A program következetesen leírja a kiberfenyegetési tevékenységet olyan módon, amely lehetővé teszi a hatékony információmegosztást és fenyegetéselemzést. Segíti a fenyegetések felderítésével foglalkozó csapatot azáltal, hogy összehasonlítja az adatfolyamot a belső telemetriával, és riasztásokat hoz létre.
Mérhető értéket nyújtó fenyegetés-felderítési funkció létrehozása
Hogyan valósítja meg a kiberfenyegetések felderítését?
Mihelyt a fenyegetési adatokból kivonják a releváns kiberfenyegetési információkat, azok a szükséges technológiákkal és technikákkal történő alapos elemzés és strukturált feldolgozás folyamatán mennek keresztül, amelyet a szükséges érdekeltekkel való megosztás követ a biztonsági ellenőrzések szigorítása és a jövőbeli kibertámadások megelőzése érdekében.
Vállalati célok a kibernetikai intelligenciaprogramokhoz
A vállalati célok összehangolása a fenyegetési intelligenciaprogram létrehozása során meghatározza a fenyegetési intelligencia útitervét. Jól meg kell határozni a védendő adatokat, eszközöket és üzleti folyamatokat, valamint az ilyen eszközök elvesztésének hatáselemzését. Segít felvázolni; milyen típusú fenyegetéselemzésre van szükség, és kiket kell bevonni.
A fenyegetéselemző szerepe a fenyegetéselemzés életciklusában
A kibernetikai intelligenciaelemzők, más néven “kiberfenyegetés-elemzők” olyan információbiztonsági szakemberek, akik képességeiket és háttérismereteiket arra használják, hogy összegyűjtsék és elemezzék a fenyegetési adatokat, hogy jelentések formájában intelligenciát hozzanak létre és megosszák az adott részleggel. A fenyegetéselemzési program létrehozásához tanúsított kibernetikai hírszerzési elemzőre van szükség.
Fenyegetéselemzési stratégia és képességek
A fenyegetéselemzési stratégia magában foglalja a megalapozott tervezést az eszközök, technikák és módszertanok alkalmazásával, majd a terv hatékonyságának ellenőrzésére irányuló felülvizsgálatot. A stratégia kidolgozása során figyelembe kell venni a fenyegetéselhárítási képességeket is, és ennek megfelelően kell felépíteni a programot, beleértve a különböző részlegek támogatását.
Cyberfenyegetések és fejlett tartós fenyegetések (APT-k)
A fenyegetéselhárítási program legfontosabb szempontja a kiberfenyegetések és a fejlett tartós fenyegetések megértése.
Mi a fejlett tartós fenyegetések (APT)?
A fejlett tartós fenyegetés olyan támadás, amelynek során egy illetéktelen felhasználó hozzáférést szerez egy hálózati rendszerhez, és hosszú ideig észrevétlenül ott marad. A fejlett tartós fenyegetések rendkívül fenyegetőek a szervezetek számára, mivel a támadók folyamatosan hozzáférnek a vállalat adataihoz. A fejlett tartós fenyegetések fázisokban valósulnak meg, amelyek magukban foglalják a hálózat feltörését, elrejtőznek, hogy minél több információhoz jussanak hozzá, megtervezik a támadást, tanulmányozzák a szervezet információs rendszereit, keresik az érzékeny adatokhoz való könnyű hozzáférést, és kiszivárogtatják ezeket az adatokat.
Cyberfenyegetési intelligencia keretrendszerek
A kiberfenyegetési intelligencia keretrendszer intelligenciát hoz létre a kibertámadásokra való reagáláshoz a potenciális fenyegetések kezelése, észlelése és a biztonsági szakemberek figyelmeztetése révén. A legfrissebb fenyegetésforrás-információk összegyűjtésével és fenyegetésmodellek létrehozásával cselekvési tervet biztosít a támadások mérséklésére.
A kibertámadás-gyilkoslánc & IOC-k
A kibertámadás-gyilkoslánc olyan lépések sorozata, amelyek egy kibertámadás szakaszait követik nyomon a korai felderítési szakaszoktól az adatok kiszivárgásáig. A kill chain segít megérteni és leküzdeni a zsarolóprogramokat, a biztonsági rések és a fejlett tartós támadások (APT-k)
A cyber kill chain azonosította a kibertámadás fázisait a korai felderítéstől az adatok kiszivárgásának céljáig, és eszközként szolgál a szervezet biztonságának javításához.
A kompromittálás indikátorai (IOC) olyan bizonyítékok, mint például URL-címek, IP-címek, rendszernaplók és rosszindulatú szoftverfájlok, amelyek felhasználhatók a jövőbeli betörési kísérletek felderítésére behatolásérzékelő rendszerek (IDS) és vírusirtó szoftverek segítségével.
A szervezet jelenlegi fenyegetettségi helyzete
Ez magában foglalja a szervezetet fenyegető kritikus fenyegetések azonosítását, a szervezet jelenlegi biztonsági helyzetének, a biztonsági csapat felépítésének és kompetenciáinak értékelését. A szervezet jelenlegi biztonsági infrastruktúrájának és műveleteinek megértése segíti a biztonsági szakembereket az azonosított fenyegetések kockázatainak felmérésében.
Követelményelemzés
A követelményelemzés a szervezet ideális célállapotának feltérképezéséről, a kibernetikai hírszerzéssel kapcsolatos igények és követelmények azonosításáról, a követelmények és kategóriák meghatározásáról, az üzleti egységek, az érdekelt felek és harmadik felek követelményeinek összehangolásáról, a hírszerzési követelmények rangsorolásáról, a kibernetikai fenyegetésekkel kapcsolatos hírszerzési program hatóköréről, a kötelezettségvállalási szabályokról, a titoktartási megállapodásokról és a kibernetikai fenyegetésekkel kapcsolatos hírszerzési program általános kockázatairól szól.
Vezetői támogatás megteremtése
Elkészíti és dokumentálja a projekttervet a program elindítására vonatkozó irányelvekkel összhangban, és kiterjed a vezetés támogatását biztosító stratégiákra, valamint részletesen ismerteti a program eredményét és célját, és azt, hogy az üzleti célok hogyan sorakoznak fel.
Fenyegetéselhárítási csapat létrehozása
Kiberfenyegetéselhárítási elemzőkből álló csapat létrehozása, valamint szerepük és felelősségi körük meghatározása az alapvető kompetenciáik és készségeik alapján. Tehetségszerzési stratégia létrehozása és a szükséges készségek, képesítések, szakmai tanúsítványok meghatározása, valamint a fenyegetéselemző csapat pozicionálása.
Fenyegetéselemző program felülvizsgálata
A fenyegetéselemző program struktúrájának felülvizsgálata a siker és a kudarc eléréséhez. A felülvizsgálat során tett megállapítások segítenek a tényleges program javításában és a szükséges frissítések elvégzésében.
Fenyegetés-felderítési adatgyűjtés & Feldolgozás
Cyberfenyegetés-felderítési adatgyűjtés és beszerzés
A kiberfenyegetés-felderítés létrehozásának fontos lépése az elemzésre és feldolgozásra szánt releváns fenyegetési adatok gyűjtése. Az adatok gyűjtése különböző forrásokból történik, előre meghatározott TTP (Tactics, Techniques and Procedures) segítségével. Néhány adatforrás belső, mint például a hálózati naplók, a múltbeli kiberincidensek és a biztonsági tájkép. A külső források közé tartoznak a fenyegetésekről szóló hírek, közösségek, fórumok, a nyílt web és a sötét web.