Co je inteligence hrozeb?
Informace o hrozbách, známé také jako informace o kybernetických hrozbách (CTI), jsou informace shromážděné z řady zdrojů o současných nebo potenciálních útocích na organizaci. Informace jsou analyzovány, upřesňovány a organizovány a poté použity k minimalizaci a zmírnění rizik kybernetické bezpečnosti.
Hlavním účelem zpravodajství o hrozbách je ukázat organizacím různá rizika, jimž čelí v důsledku vnějších hrozeb, jako je např nultý den hrozby a pokročilé trvalé hrozby (APT). Informace o hrozbách zahrnují podrobné informace a kontext o konkrétních hrozbách, například o tom, kdo útočí, o jejich schopnostech a motivaci a ukazatelích kompromisu (MOV). S těmito informacemi mohou organizace činit informovaná rozhodnutí o tom, jak se bránit před nejškodlivějšími útoky.
Proč je inteligence hrozeb důležitá?
Ve vojenském, obchodním nebo bezpečnostním kontextu jsou inteligence informace, které organizaci poskytují podporu při rozhodování a případně strategickou výhodu. Inteligence hrozeb je součástí většího bezpečnostní zpravodajství strategie. Zahrnuje informace týkající se ochrany organizace před vnějšími a vnitřními hrozbami, jakož i procesy, zásady a nástroje používané ke shromažďování a analýze těchto informací.
Inteligence hrozeb poskytuje lepší vhled do prostředí hrozeb a aktérů ohrožení spolu s jejich nejnovějšími taktikami, technikami a postupy. Umožňuje organizacím aktivně konfigurovat ovládací prvky zabezpečení k detekci a prevenci pokročilých útoků a hrozeb nulového dne. Mnoho z těchto úprav lze automatizovat, takže zabezpečení zůstane v reálném čase v souladu s nejnovějšími informacemi.
Informace o hrozbách pomáhají organizacím činit informovaná rozhodnutí o tom, jak nejlépe zabezpečit jejich zdroje IT. Zjistěte více o obou sliby a nevýhody této bezpečnostní technologie.
Typy zpravodajských informací o hrozbách
Existují čtyři varianty zpravodajství o hrozbách: strategické, taktické, technické a operační. Všechny čtyři jsou nezbytné pro vytvoření komplexního posouzení hrozeb.
- Informace o strategických hrozbách. Tato analýza shrnuje možné kybernetické útoky a možné důsledky pro netechnické publikum a zúčastněné strany, jakož i pro subjekty s rozhodovací pravomocí. Je předkládán ve formě zpráv, zpráv a prezentací a je založen na podrobné analýze nově se objevujících rizik a trendů z celého světa. Používá se k vykreslení přehledu na vysoké úrovni o prostředí hrozeb průmyslu nebo organizace.
- Taktická hrozba. Taktická inteligence poskytuje informace o taktice, technikách a postupech (TTP), které aktéři hrozeb používají. Je určen pro osoby přímo zapojené do ochrany IT a datových zdrojů. Poskytuje podrobnosti o tom, jak může být organizace napadena na základě nejnovějších použitých metod a nejlepších způsobů obrany proti útokům nebo jejich zmírnění.
- Zpravodajství o technických hrozbách. Tato informace se zaměřuje na příznaky, které naznačují zahájení útoku. Mezi tyto příznaky patří průzkum, vyzbrojování a doručování, jako např spear phishing, návnady a sociální inženýrství. Technická inteligence hraje důležitou roli při blokování útoků sociálního inženýrství. Tento typ inteligence je často seskupen s inteligencí operačních hrozeb; ale rychle se upravuje, když hackeři aktualizují svou taktiku, aby využili výhod nových událostí a lestí.
- Informace o operačních hrozbách. S tímto přístupem jsou informace shromažďovány z různých zdrojů, včetně chatovacích místností, sociálních médií, antivirových protokolů a minulých událostí. Používá se k předvídání povahy a načasování budoucích útoků. Dolování dat a strojové učení se často používají k automatizaci zpracování stovek tisíc datových bodů ve více jazycích. Týmy pro zabezpečení a reakci na incidenty používají provozní inteligenci ke změně konfigurace určitých ovládacích prvků, jako jsou pravidla brány firewall, pravidla detekce událostí a kontroly přístupu. Může také zlepšit dobu odezvy, protože informace poskytují jasnější představu o tom, co hledat.
Zjistěte více o tom, jak AI a strojové učení mění inteligenci hrozeb služby a nástroje.
Jaký je životní cyklus informací o hrozbách?
Proces shromažďování informací o hrozbách zahrnuje různé kroky, včetně následujících:
Záměry a cíle
Chcete-li vybrat správné zdroje a nástroje pro zpravodajství o hrozbách, musí se organizace rozhodnout, čeho chce dosáhnout přidáním zpravodajství o hrozbách do svých bezpečnostních řešení a strategie. Cílem bude s největší pravděpodobností pomoci týmům zabezpečení informací při zastavování potenciálních hrozeb zjištěných během a modelování hrozeb cvičení. To vyžaduje získání zpravodajských dat a nástrojů, které mohou poskytovat aktuální rady a upozornění na hrozby považované za vysoce rizikové a s velkým dopadem. Dalším důležitým cílem je zajistit, aby byly shromážděny a poskytnuty správné strategické informace managementu na úrovni C, aby si byl vědom změn v prostředí hrozeb organizace.
Sběr dat
Protokoly z interních systémů, bezpečnostní kontroly a cloudové služby tvoří základ programu zpravodajské služby o hrozbách. Chcete-li však získat přehled o nejnovějších TTP a odvětvově specifických informacích, je nutné shromažďovat data z datových zdrojů hrozeb třetích stran. Mezi tyto zdroje patří informace shromážděné ze stránek sociálních médií, fór hackerů, škodlivé adresy IP, telemetrie antivirových programů a zprávy o výzkumu hrozeb.
Zpracování dat
Shromažďování a organizace nezpracovaných dat potřebných k vytvoření akčních informací o hrozbách vyžaduje automatické zpracování. Není životaschopné ručně filtrovat, přidávat metadata a korelovat a agregovat různé datové typy a zdroje. Platformy nebo aplikace pro zpravodajství o hrozbách používají strojové učení k automatizaci sběru a zpracování dat, takže mohou průběžně poskytovat informace o aktivitách aktérů hrozeb.
Analyzujte data
Tento krok zahrnuje hledání odpovědí ze zpracovaných dat na otázky, jako kdy, proč a jak došlo k podezřelé události. Tento krok by odpověděl na otázky, kdy k phishingovému incidentu došlo, co pachatel sledoval a jak jsou phishingové e-maily a škodlivá doména propojeny a jak jsou používány.
Zpráva o nálezech
Zprávy musí být přizpůsobeny konkrétnímu cílovému publiku, aby bylo jasné, jak pokryté hrozby ovlivňují oblasti jejich odpovědnosti. Pokud je to možné, měly by být zprávy sdíleny s širší komunitou, aby se zlepšilo celkové zabezpečení.
Získejte lepší pochopení životního cyklu zpravodajství o hrozbách. Výzkumník AT&T o kybernetické bezpečnosti Tom Hegel diskutuje o tom, jak na to budování rámce pro tuto technologii.
Nástroje pro rozbor hrozeb
Existuje mnoho nástrojů, které mohou organizacím pomoci shromažďovat data a aplikovat informace o hrozbách v rámci stávajících bezpečnostních operací. Služby zpravodajských služeb o hrozbách také poskytují organizacím informace týkající se potenciálních zdrojů útoků, které jsou relevantní pro jejich podnikání; některé nabízejí také poradenské služby.
Mezi dostupné nástroje patří:
- Anomali ThreatStream shromažďuje informace o hrozbách z různých zdrojů a poskytuje nástroje pro vyšetřování.
- Cyberint Platforma pro ochranu digitálních rizik Argos je platforma SaaS navržená k analýze útočného povrchu organizace a kybernetických útoků zaměřených na její průmysl z otevřených, hlubokých a temných webů.
- Společnost Kaspersky Lab Kaspersky Threat Intelligence shromažďuje petabajty dat za účelem generování zpravodajských informací o hrozbách, která jsou použitelná pro data o kybernetickém ohrožení, a přehledy o hrozbách zaměřených na konkrétní průmyslová odvětví.
- PhishLabs ‘ Ochrana digitálních rizik monitoruje web na základě ohrožení sociálních médií, úniku dat, zosobnění značky a převzetí účtu.
- SOCRadar je ThreatFusion Cyber Threat Intelligence modul shromažďuje data z hlubokých a tmavých webů. Využívá zpravodajské kanály z několika zdrojů k upozornění bezpečnostních týmů na potenciální hrozby a aktéry hrozeb zaměřené na odvětví.
Dozvědět se o pět dalších zpravodajských informací o kybernetických hrozbách to by asi stálo za zvážení.
