Tworzenie programu Cyber Threat Intelligence
Co to jest program Cyber Threat Intelligence?
Program Cyber Threat Intelligence łączy tysiące źródeł informacji o zagrożeniach w jedno źródło, zamiast przeglądać je oddzielnie, aby umożliwić spójną charakterystykę i kategoryzację zdarzeń związanych z zagrożeniami cybernetycznymi oraz zidentyfikować trendy lub zmiany w działaniach cyberprzestępców. Program konsekwentnie opisuje aktywność cyberzagrożeń w sposób umożliwiający efektywną wymianę informacji i analizę zagrożeń. Wspomaga zespół ds. wywiadu o zagrożeniach, porównując dane wejściowe z wewnętrzną telemetrią i tworząc alerty.
Tworzenie funkcji wywiadu o zagrożeniach, która zapewnia wymierną wartość
Jak wdrożyć funkcję wywiadu o zagrożeniach cybernetycznych?
Po wyodrębnieniu odpowiednich informacji o zagrożeniach cybernetycznych z danych dotyczących zagrożeń przechodzą one proces dogłębnej analizy i ustrukturyzowanego przetwarzania przy użyciu niezbędnych technologii i technik, a następnie udostępniania ich wymaganym interesariuszom w celu wzmocnienia kontroli bezpieczeństwa i zapobiegania przyszłym atakom cybernetycznym.
Cele przedsiębiorstwa w programach Cyber Intelligence
Uzgodnienie celów przedsiębiorstwa przy tworzeniu programu wywiadu o zagrożeniach wyznacza mapę drogową dla wywiadu o zagrożeniach. Dane, aktywa i procesy biznesowe, które należy chronić, powinny być dobrze zdefiniowane wraz z analizą skutków utraty tych aktywów. Pomaga to nakreślić, jaki rodzaj wywiadu na temat zagrożeń jest wymagany i kto powinien być w niego zaangażowany.
Rola analityka zagrożeń w cyklu życia wywiadu na temat zagrożeń
Analitycy wywiadu cybernetycznego, znani również jako „analitycy zagrożeń cybernetycznych”, są specjalistami ds. bezpieczeństwa informacji, którzy wykorzystują swoje umiejętności i wiedzę podstawową do gromadzenia i analizowania danych na temat zagrożeń w celu tworzenia informacji w formie raportów i udostępniania ich odpowiednim działom. Certyfikowany analityk cybernetycznego wywiadu jest wymagany do stworzenia programu wywiadu o zagrożeniach.
Strategia i możliwości wywiadu o zagrożeniach
Strategia wywiadu o zagrożeniach obejmuje solidne planowanie z zastosowaniem narzędzi, technik i metodologii, a następnie przegląd w celu sprawdzenia skuteczności planu. Podczas opracowywania strategii należy również rozważyć swoje możliwości w zakresie wywiadu o zagrożeniach i odpowiednio ustrukturyzować program, uwzględniając wsparcie różnych działów.
Zagrożenia cybernetyczne i zaawansowane trwałe zagrożenia (APT)
Zrozumienie zagrożeń cybernetycznych i zaawansowanych trwałych zagrożeń to najbardziej kluczowy aspekt programu wywiadu o zagrożeniach.
Czym są zaawansowane trwałe zagrożenia (APT)?
Zaawansowane trwałe zagrożenia to ataki, w których nieautoryzowany użytkownik uzyskuje dostęp do systemu sieciowego i pozostaje w nim przez długi czas bez wykrycia. Zaawansowane uporczywe zagrożenia są bardzo groźne dla organizacji, ponieważ atakujący mają stały dostęp do danych firmy. Zaawansowane trwałe zagrożenia są przeprowadzane w fazach, które obejmują włamanie do sieci, ukrycie się w celu uzyskania dostępu do jak największej ilości informacji, planowanie ataku, badanie systemów informatycznych organizacji, poszukiwanie łatwego dostępu do wrażliwych danych oraz eksfiltrację tych danych.
Cyber Threat Intelligence Frameworks
Cyber threat intelligence framework tworzy inteligencję w celu reagowania na cyberataki poprzez zarządzanie, wykrywanie i ostrzeganie specjalistów ds. bezpieczeństwa o potencjalnych zagrożeniach. Zapewnia plan działania w celu złagodzenia ataków poprzez gromadzenie najnowszych informacji o źródłach zagrożeń i tworzenie modeli zagrożeń.
Zrozumienie cybernetycznego łańcucha śmierci & IOC
Cybernetyczny łańcuch śmierci to seria kroków, które śledzą etapy cyberataku od wczesnych etapów rozpoznania do eksfiltracji danych. Łańcuch zabójstw pomaga nam zrozumieć i zwalczać oprogramowanie ransomware, naruszenia bezpieczeństwa i zaawansowane uporczywe ataki (APT)
Cybernetyczny łańcuch zabójstw identyfikuje etapy cyberataku od wczesnego rozpoznania do celu, jakim jest eksfiltracja danych, i jest wykorzystywany jako narzędzie do poprawy bezpieczeństwa organizacji.
Indicators of Compromise (IOCs) to dowody, takie jak adresy URL, adresy IP, logi systemowe i pliki złośliwego oprogramowania, które mogą być wykorzystane do wykrywania przyszłych prób włamań przy użyciu systemów wykrywania włamań (IDS) i oprogramowania antywirusowego.
Organization’s Current Threat Landscape
Obejmuje to identyfikację krytycznych zagrożeń dla organizacji, ocenę aktualnej postawy bezpieczeństwa organizacji, struktury zespołu bezpieczeństwa i kompetencji. Zrozumienie obecnej infrastruktury i operacji bezpieczeństwa organizacji pomaga specjalistom ds. bezpieczeństwa w ocenie ryzyka związanego ze zidentyfikowanymi zagrożeniami.
Analiza wymagań
Analiza wymagań dotyczy mapowania idealnego stanu docelowego organizacji, identyfikacji potrzeb i wymagań w zakresie wywiadu cybernetycznego, definiowania wymagań i kategorii, dostosowywania wymagań jednostek biznesowych, zainteresowanych stron i stron trzecich, ustalania priorytetów wymagań w zakresie wywiadu, zakresu programu wywiadu na temat zagrożeń cybernetycznych, zasad zaangażowania, umów o zachowaniu poufności oraz typowych zagrożeń dla programu wywiadu na temat zagrożeń cybernetycznych.
Uzyskanie wsparcia kierownictwa
Przygotowanie i udokumentowanie planu projektu zgodnie z polityką w celu zainicjowania programu i objęcia strategii w celu zapewnienia wsparcia kierownictwa oraz szczegółowego określenia wyniku i celu programu, a także sposobu realizacji celów biznesowych.
Building a Threat Intelligence Team
Tworzenie zespołu analityków wywiadu zagrożeń cybernetycznych i definiowanie ich ról i obowiązków w oparciu o ich podstawowe kompetencje i zestawy umiejętności. Tworzenie strategii pozyskiwania talentów i określanie wymaganych zestawów umiejętności, kwalifikacji, certyfikatów zawodowych oraz pozycjonowanie zespołu analityków zagrożeń.
Przegląd programu analityki zagrożeń
Przegląd struktury programu analityki zagrożeń w celu uzyskania dostępu do sukcesów i porażek. Ustalenia dokonane podczas przeglądu pomagają ulepszyć aktualny program i dokonać wymaganych aktualizacji.
Zbieranie danych wywiadu o zagrożeniach &Przetwarzanie
Zbieranie i pozyskiwanie danych wywiadu o zagrożeniach cybernetycznych
Zbieranie odpowiednich danych o zagrożeniach w celu ich analizy i przetwarzania jest ważnym etapem tworzenia wywiadu o zagrożeniach cybernetycznych. Dane są zbierane z różnych źródeł przy użyciu predefiniowanych TTP (Tactics, Techniques and Procedures). Niewiele źródeł danych to źródła wewnętrzne, takie jak logi sieciowe, incydenty cybernetyczne z przeszłości oraz krajobraz bezpieczeństwa. Zewnętrzne źródła obejmują kanały zagrożeń, społeczności, fora, otwartą sieć i ciemną sieć.