Co je Threat Intelligence (Cyber ​​Threat Intelligence)?  – Definice z WhatIs.com

Co je Threat Intelligence (Cyber ​​Threat Intelligence)? – Definice z WhatIs.com

Co je inteligence hrozeb?

Informace o hrozbách, známé také jako informace o kybernetických hrozbách (CTI), jsou informace shromážděné z řady zdrojů o současných nebo potenciálních útocích na organizaci. Informace jsou analyzovány, upřesňovány a organizovány a poté použity k minimalizaci a zmírnění rizik kybernetické bezpečnosti.

Hlavním účelem zpravodajství o hrozbách je ukázat organizacím různá rizika, jimž čelí v důsledku vnějších hrozeb, jako je např nultý den hrozby a pokročilé trvalé hrozby (APT). Informace o hrozbách zahrnují podrobné informace a kontext o konkrétních hrozbách, například o tom, kdo útočí, o jejich schopnostech a motivaci a ukazatelích kompromisu (MOV). S těmito informacemi mohou organizace činit informovaná rozhodnutí o tom, jak se bránit před nejškodlivějšími útoky.

Proč je inteligence hrozeb důležitá?

Ve vojenském, obchodním nebo bezpečnostním kontextu jsou inteligence informace, které organizaci poskytují podporu při rozhodování a případně strategickou výhodu. Inteligence hrozeb je součástí většího bezpečnostní zpravodajství strategie. Zahrnuje informace týkající se ochrany organizace před vnějšími a vnitřními hrozbami, jakož i procesy, zásady a nástroje používané ke shromažďování a analýze těchto informací.

Inteligence hrozeb poskytuje lepší vhled do prostředí hrozeb a aktérů ohrožení spolu s jejich nejnovějšími taktikami, technikami a postupy. Umožňuje organizacím aktivně konfigurovat ovládací prvky zabezpečení k detekci a prevenci pokročilých útoků a hrozeb nulového dne. Mnoho z těchto úprav lze automatizovat, takže zabezpečení zůstane v reálném čase v souladu s nejnovějšími informacemi.

Základy inteligence hrozeb
Naučte se základy zpravodajství o hrozbách: Co dělá, proč to potřebujete a kam směřuje.

Informace o hrozbách pomáhají organizacím činit informovaná rozhodnutí o tom, jak nejlépe zabezpečit jejich zdroje IT. Zjistěte více o obou sliby a nevýhody této bezpečnostní technologie.

Typy zpravodajských informací o hrozbách

Existují čtyři varianty zpravodajství o hrozbách: strategické, taktické, technické a operační. Všechny čtyři jsou nezbytné pro vytvoření komplexního posouzení hrozeb.

  1. Informace o strategických hrozbách. Tato analýza shrnuje možné kybernetické útoky a možné důsledky pro netechnické publikum a zúčastněné strany, jakož i pro subjekty s rozhodovací pravomocí. Je předkládán ve formě zpráv, zpráv a prezentací a je založen na podrobné analýze nově se objevujících rizik a trendů z celého světa. Používá se k vykreslení přehledu na vysoké úrovni o prostředí hrozeb průmyslu nebo organizace.
  2. Taktická hrozba. Taktická inteligence poskytuje informace o taktice, technikách a postupech (TTP), které aktéři hrozeb používají. Je určen pro osoby přímo zapojené do ochrany IT a datových zdrojů. Poskytuje podrobnosti o tom, jak může být organizace napadena na základě nejnovějších použitých metod a nejlepších způsobů obrany proti útokům nebo jejich zmírnění.
  3. Zpravodajství o technických hrozbách. Tato informace se zaměřuje na příznaky, které naznačují zahájení útoku. Mezi tyto příznaky patří průzkum, vyzbrojování a doručování, jako např spear phishing, návnady a sociální inženýrství. Technická inteligence hraje důležitou roli při blokování útoků sociálního inženýrství. Tento typ inteligence je často seskupen s inteligencí operačních hrozeb; ale rychle se upravuje, když hackeři aktualizují svou taktiku, aby využili výhod nových událostí a lestí.
  4. Informace o operačních hrozbách. S tímto přístupem jsou informace shromažďovány z různých zdrojů, včetně chatovacích místností, sociálních médií, antivirových protokolů a minulých událostí. Používá se k předvídání povahy a načasování budoucích útoků. Dolování dat a strojové učení se často používají k automatizaci zpracování stovek tisíc datových bodů ve více jazycích. Týmy pro zabezpečení a reakci na incidenty používají provozní inteligenci ke změně konfigurace určitých ovládacích prvků, jako jsou pravidla brány firewall, pravidla detekce událostí a kontroly přístupu. Může také zlepšit dobu odezvy, protože informace poskytují jasnější představu o tom, co hledat.

Zjistěte více o tom, jak AI a strojové učení mění inteligenci hrozeb služby a nástroje.

Jaký je životní cyklus informací o hrozbách?

Proces shromažďování informací o hrozbách zahrnuje různé kroky, včetně následujících:

Záměry a cíle

Chcete-li vybrat správné zdroje a nástroje pro zpravodajství o hrozbách, musí se organizace rozhodnout, čeho chce dosáhnout přidáním zpravodajství o hrozbách do svých bezpečnostních řešení a strategie. Cílem bude s největší pravděpodobností pomoci týmům zabezpečení informací při zastavování potenciálních hrozeb zjištěných během a modelování hrozeb cvičení. To vyžaduje získání zpravodajských dat a nástrojů, které mohou poskytovat aktuální rady a upozornění na hrozby považované za vysoce rizikové a s velkým dopadem. Dalším důležitým cílem je zajistit, aby byly shromážděny a poskytnuty správné strategické informace managementu na úrovni C, aby si byl vědom změn v prostředí hrozeb organizace.

Sběr dat

Protokoly z interních systémů, bezpečnostní kontroly a cloudové služby tvoří základ programu zpravodajské služby o hrozbách. Chcete-li však získat přehled o nejnovějších TTP a odvětvově specifických informacích, je nutné shromažďovat data z datových zdrojů hrozeb třetích stran. Mezi tyto zdroje patří informace shromážděné ze stránek sociálních médií, fór hackerů, škodlivé adresy IP, telemetrie antivirových programů a zprávy o výzkumu hrozeb.

Zpracování dat

Shromažďování a organizace nezpracovaných dat potřebných k vytvoření akčních informací o hrozbách vyžaduje automatické zpracování. Není životaschopné ručně filtrovat, přidávat metadata a korelovat a agregovat různé datové typy a zdroje. Platformy nebo aplikace pro zpravodajství o hrozbách používají strojové učení k automatizaci sběru a zpracování dat, takže mohou průběžně poskytovat informace o aktivitách aktérů hrozeb.

Analyzujte data

Tento krok zahrnuje hledání odpovědí ze zpracovaných dat na otázky, jako kdy, proč a jak došlo k podezřelé události. Tento krok by odpověděl na otázky, kdy k phishingovému incidentu došlo, co pachatel sledoval a jak jsou phishingové e-maily a škodlivá doména propojeny a jak jsou používány.

Zpráva o nálezech

Zprávy musí být přizpůsobeny konkrétnímu cílovému publiku, aby bylo jasné, jak pokryté hrozby ovlivňují oblasti jejich odpovědnosti. Pokud je to možné, měly by být zprávy sdíleny s širší komunitou, aby se zlepšilo celkové zabezpečení.

Schéma pěti fází životního cyklu zpravodajství o hrozbách
Zjistěte více o pěti fázích životního cyklu zpravodajství o hrozbách.

Získejte lepší pochopení životního cyklu zpravodajství o hrozbách. Výzkumník AT&T o kybernetické bezpečnosti Tom Hegel diskutuje o tom, jak na to budování rámce pro tuto technologii.

Nástroje pro rozbor hrozeb

Existuje mnoho nástrojů, které mohou organizacím pomoci shromažďovat data a aplikovat informace o hrozbách v rámci stávajících bezpečnostních operací. Služby zpravodajských služeb o hrozbách také poskytují organizacím informace týkající se potenciálních zdrojů útoků, které jsou relevantní pro jejich podnikání; některé nabízejí také poradenské služby.

Mezi dostupné nástroje patří:

  • Anomali ThreatStream shromažďuje informace o hrozbách z různých zdrojů a poskytuje nástroje pro vyšetřování.
  • Cyberint Platforma pro ochranu digitálních rizik Argos je platforma SaaS navržená k analýze útočného povrchu organizace a kybernetických útoků zaměřených na její průmysl z otevřených, hlubokých a temných webů.
  • Společnost Kaspersky Lab Kaspersky Threat Intelligence shromažďuje petabajty dat za účelem generování zpravodajských informací o hrozbách, která jsou použitelná pro data o kybernetickém ohrožení, a přehledy o hrozbách zaměřených na konkrétní průmyslová odvětví.
  • PhishLabs ‘ Ochrana digitálních rizik monitoruje web na základě ohrožení sociálních médií, úniku dat, zosobnění značky a převzetí účtu.
  • SOCRadar je ThreatFusion Cyber ​​Threat Intelligence modul shromažďuje data z hlubokých a tmavých webů. Využívá zpravodajské kanály z několika zdrojů k upozornění bezpečnostních týmů na potenciální hrozby a aktéry hrozeb zaměřené na odvětví.

Dozvědět se o pět dalších zpravodajských informací o kybernetických hrozbách to by asi stálo za zvážení.

Share

Leave a Reply

Your email address will not be published.