Creazione di un programma di Cyber Threat Intelligence
Cos’è un programma di Cyber Threat Intelligence?
Il programma di Cyber Threat Intelligence combina migliaia di feed di Threat Intelligence in un unico feed, invece di visualizzarli separatamente per consentire una caratterizzazione coerente e una categorizzazione degli eventi di minaccia informatica e identificare tendenze o cambiamenti nelle attività degli avversari informatici. Il programma descrive in modo coerente l’attività delle minacce informatiche in modo da consentire un’efficiente condivisione delle informazioni e analisi delle minacce. Assiste il team di intelligence delle minacce confrontando il feed con la telemetria interna e crea avvisi.
Creare una funzione di intelligence delle minacce che fornisca un valore misurabile
Come si implementa la Cyber Threat Intelligence?
Una volta che le informazioni rilevanti sulle minacce informatiche vengono estratte dai dati sulle minacce, esse passano attraverso un processo di analisi approfondita e di elaborazione strutturata con le tecnologie e le tecniche necessarie, seguito dalla condivisione con le parti interessate richieste per rafforzare i controlli di sicurezza e prevenire futuri attacchi informatici.
Obiettivi aziendali per i programmi di intelligence informatica
L’allineamento degli obiettivi aziendali nella creazione del programma di intelligence sulle minacce stabilisce la tabella di marcia dell’intelligence sulle minacce. I dati, le risorse e i processi aziendali che devono essere protetti dovrebbero essere ben definiti insieme all’analisi dell’impatto della perdita di tali risorse. Aiuta a delineare il tipo di intelligence sulle minacce richiesto e chi dovrebbe essere coinvolto.
Ruolo dell’analista delle minacce nel ciclo di vita dell’intelligence sulle minacce
Gli analisti di intelligence informatica, noti anche come “analisti delle minacce informatiche”, sono professionisti della sicurezza delle informazioni che utilizzano le loro competenze e conoscenze di base per raccogliere e analizzare i dati sulle minacce per creare intelligence sotto forma di rapporti e condividerli con il rispettivo dipartimento. Un analista certificato di cyber intelligence è necessario per creare un programma di intelligence delle minacce.
Strategia e capacità di intelligence delle minacce
La strategia di intelligence delle minacce comporta una solida pianificazione con l’applicazione di strumenti, tecniche e metodologie, seguita da una revisione per verificare l’efficacia del piano. Mentre si elabora la strategia, si dovrebbe anche considerare le proprie capacità di intelligence delle minacce e strutturare il programma di conseguenza, compreso il supporto dei diversi dipartimenti.
Minacce informatiche e minacce persistenti avanzate (APT)
La comprensione delle minacce informatiche e delle minacce persistenti avanzate è l’aspetto più cruciale del programma di intelligence delle minacce.
Cosa sono le minacce persistenti avanzate (APT)?
Una minaccia persistente avanzata è un attacco in cui un utente non autorizzato accede a un sistema di rete e vi rimane per molto tempo senza essere rilevato. Le minacce persistenti avanzate sono molto minacciose per le organizzazioni, poiché gli aggressori hanno accesso continuo ai dati dell’azienda. Le minacce persistenti avanzate si svolgono in fasi che coinvolgono l’hacking della rete, nascondendosi per accedere a quante più informazioni possibili, pianificando un attacco, studiando i sistemi informativi dell’organizzazione, cercando un facile accesso ai dati sensibili ed esfiltrare quei dati.
Cyber Threat Intelligence Frameworks
Cyber threat intelligence frameworks crea intelligence per rispondere ai cyber-attacchi gestendo, rilevando e avvisando i professionisti della sicurezza di potenziali minacce. Fornisce un piano d’azione per mitigare gli attacchi raccogliendo le ultime informazioni sulle fonti delle minacce e crea modelli di minacce.
Comprensione della Cyber Kill Chain & IOCs
La cyber kill chain è una serie di passi che traccia le fasi di un attacco informatico dalle prime fasi di ricognizione all’esfiltrazione dei dati. La catena di uccisione ci aiuta a capire e combattere ransomware, violazioni della sicurezza e attacchi persistenti avanzati (APT)
La catena di uccisione informatica ha identificato le fasi di un attacco informatico dalla ricognizione iniziale all’obiettivo di esfiltrazione dei dati e utilizzato come strumento per migliorare la sicurezza di un’organizzazione.
Gli indicatori di compromissione (IOC) sono le prove come URL, indirizzi IP, log di sistema e file malware che possono essere utilizzati per rilevare futuri tentativi di violazione utilizzando sistemi di rilevamento delle intrusioni (IDS) e software antivirus.
L’attuale panorama delle minacce dell’organizzazione
Questo include l’identificazione delle minacce critiche per un’organizzazione, la valutazione dell’attuale posizione di sicurezza dell’organizzazione, la struttura e le competenze del team di sicurezza. La comprensione dell’attuale infrastruttura di sicurezza dell’organizzazione e delle operazioni assiste i professionisti della sicurezza nella valutazione dei rischi per le minacce identificate.
Analisi dei requisiti
L’analisi dei requisiti riguarda la mappatura dello stato obiettivo ideale dell’organizzazione, l’identificazione delle esigenze e dei requisiti della cyber intelligence, la definizione dei requisiti e delle categorie, l’allineamento dei requisiti delle unità aziendali, delle parti interessate e di terzi, la prioritizzazione dei requisiti di intelligence, la portata del programma di cyber threat intelligence, le regole di impegno, gli accordi di non divulgazione e i rischi comuni al programma di cyber threat intelligence.
Stabilire il supporto della gestione
Preparare e documentare il piano del progetto in conformità con le politiche per avviare il programma e coprire le strategie per garantire il supporto della gestione e il risultato dettagliato e l’obiettivo del programma e come gli obiettivi aziendali sono allineati.
Costruire un team di intelligence sulle minacce
Creare un team di analisti di intelligence sulle minacce informatiche e definire i loro ruoli e responsabilità in base alle loro competenze e abilità principali. Creare una strategia di acquisizione dei talenti e definire le competenze richieste, le qualifiche, le certificazioni professionali e il posizionamento del team di intelligence sulle minacce.
Revisione del programma di intelligence sulle minacce
Rivedere la struttura del programma di intelligence sulle minacce per accedere al successo e al fallimento. I risultati durante la revisione aiutano a migliorare il programma attuale e ad apportare gli aggiornamenti necessari.
Raccolta dei dati di intelligence sulle minacce & Elaborazione
Raccolta e acquisizione dei dati di intelligence sulle minacce informatiche
La raccolta di dati rilevanti sulle minacce per l’analisi e l’elaborazione è un passo importante per la creazione di intelligence sulle minacce informatiche. I dati vengono raccolti da varie fonti utilizzando TTP (Tactics, Techniques and Procedures) predefinite. Poche fonti di dati sono interne come i log di rete, gli incidenti informatici passati e il panorama della sicurezza. La fonte esterna include feed di minacce, comunità, forum, web aperto e dark web.