استخبارات التهديد: من الناحية العملية ، كيف تعمل؟

كيف تعمل معلومات التهديد - Flexa Cloud

كيف يتم إنتاج معلومات التهديد السيبراني؟ كيف تعمل في يوم الشركات؟ ما هي المزايا التي من المرجح أن تحصل عليها المنظمات التي تستفيد منها ، مقارنة بأقرانها الذين لم يصلوا إلى هناك بعد؟

في سلسلة مقالاتنا حول هذا الموضوع ، نسعى لمساعدتك على فهم سبب أهمية هذا المفهوم. لنحاول الآن الإجابة على هذه الأسئلة. الدفع! 

→ ربما تريد مقدمة لمفهوم ذكاء التهديد. في هذه الحالة ، اقرأ هذا المقال أولاً: 

المراحل الست لدورة استخبارات التهديد

ذكاء التهديدات السيبرانية هو المنتج النهائي الذي يخرج من دورة مكونة من ستة أجزاء لجمع البيانات ومعالجتها وتحليلها. هذه العملية عبارة عن دورة حيث يتم تحديد المشكلات الجديدة والثغرات المعرفية أثناء تطوير الذكاء ، مما يؤدي إلى تحديد متطلبات التجميع الجديدة. 

وبهذا المعنى ، فإن برنامج الاستخبارات الفعال هو برنامج تكراري ، ويصبح أكثر دقة بمرور الوقت.

لتعظيم قيمة معلومات التهديد التي تنتجها ، من الأهمية بمكان تحديد حالات الاستخدام وتحديد الأهداف قبل القيام بأي شيء آخر. اتبع المواضيع التالية!

1. التخطيط والتوجيه

تتمثل الخطوة الأولى لإنتاج معلومات استخبارية عن التهديدات قابلة للتنفيذ في طرح الأسئلة الصحيحة.

تركز الأسئلة التي تدفع بشكل أفضل إلى إنشاء استخبارات تهديد قابلة للتنفيذ على حقيقة أو حدث أو نشاط واحد - يجب تجنب الأسئلة الواسعة والمفتوحة بشكل عام.

حدد أولويات أهدافك الاستخباراتية بناءً على عوامل مثل مدى التزامها الوثيق بالقيم الأساسية لمؤسستك ، ومدى تأثير القرار الناتج ، ومدى حساسية القرار.

عامل إرشادي مهم في هذه المرحلة هو فهم من سيستهلك المنتج النهائي ويستفيد منه. 

عليك أن تسأل وتجيب: 

  • هل ستذهب المعلومات الاستخباراتية إلى فريق من المحللين البارعين تقنيًا الذين يحتاجون إلى تقرير سريع عن استغلال جديد؟ 
  • أو للمدير التنفيذي الذي يبحث عن نظرة عامة واسعة على الاتجاهات لإبلاغ قرارات الاستثمار الأمني ​​الخاصة بهم للربع التالي؟

2. جمع

الخطوة التالية هي جمع البيانات الأولية التي تلبي المتطلبات المحددة في المرحلة الأولى. من الأفضل جمع أصول المعلومات من مجموعة متنوعة من المصادر - داخلية ، مثل سجلات أحداث الشبكة وسجلات الاستجابة للحوادث السابقة ؛ ومصادر خارجية من الويب المفتوح والويب المظلم والمصادر التقنية.

تعتبر بيانات التهديد عمومًا على أنها قوائم IoCs ، مثل عناوين IP الضارة والمجالات وتجزئة الملفات. ولكن يمكن أن تتضمن أيضًا معلومات عن نقاط الضعف ، مثل معلومات التعريف الشخصية من العملاء ، والرمز الأولي من مواقع الويب الملصقة ، والنصوص من مصادر الأخبار أو الشبكات الاجتماعية.

3. المعالجة

بعد أن يتم جمع جميع البيانات الأولية ، تحتاج إلى تصنيفها وتنظيمها باستخدام علامات البيانات الوصفية وتصفية المعلومات الزائدة عن الحاجة أو الإيجابيات والسلبيات الكاذبة.

اليوم ، حتى المنظمات الصغيرة تجمع البيانات بترتيب الملايين من أحداث السجل ومئات الآلاف من المؤشرات كل يوم. من الصعب جدًا على المحللين البشريين المعالجة بكفاءة - يجب أن تتم أتمتة عملية جمع البيانات ومعالجتها للبدء في فهمها.

حلول مثل SIEMs هي نقطة انطلاق جيدة لأنها تجعل هيكلة البيانات سهلة نسبيًا مع قواعد الارتباط التي يمكن تهيئتها لعدد قليل من حالات الاستخدام المختلفة ، ولكن لا يمكنها استيعاب سوى عدد محدود من أنواع البيانات.

إذا كنت تجمع بيانات غير منظمة من العديد من المصادر الداخلية والخارجية المختلفة ، فستحتاج إلى حل أكثر قوة. 

4. التحليل

الخطوة التالية هي فهم البيانات المعالجة. الغرض من التحليل هو البحث عن المشكلات الأمنية المحتملة وإخطار الفرق ذات الصلة بتنسيق يفي بمتطلبات الاستخبارات المحددة في خطوة التخطيط والتوجيه.

يمكن لذكاء التهديد أن يتخذ أشكالًا عديدة ، اعتمادًا على أهدافك الأولية والجمهور المستهدف. لكن الفكرة هي وضع أصول المعلومات في شكل يفهمه الجمهور ، والذي يمكن أن يتراوح من قوائم التهديدات البسيطة إلى التقارير التي يراجعها الأقران.

5. الإفشاء

ثم يتم توزيع المنتج النهائي على المستهلكين المقصودين. لكي تكون معلومات التهديد قابلة للتنفيذ ، يجب أن تصل إلى الأشخاص المناسبين في الوقت المناسب.

يجب أيضًا أن يكون قابلاً للتتبع ، بحيث يكون هناك استمرارية بين دورة ذكاء واحدة والدورة التي تليها. بهذه الطريقة ، لن يضيع التعلم. 

يوصى باستخدام أنظمة التذاكر التي تتكامل مع أنظمة الأمان الأخرى الخاصة بك لتتبع كل خطوة من دورة الاستخبارات - في كل مرة يأتي فيها طلب استخبارات جديد ، يمكن إرسال التذاكر وكتابتها ومراجعتها وملؤها من قبل عدة أشخاص في فرق مختلفة.

6. التعليقات

المرحلة الأخيرة هي عند اكتمال دورة الاستخبارات ، مما يجعلها وثيقة الصلة بمرحلة التخطيط والتوجيه الأولي. 

بعد استلام منتج الاستخبارات النهائي ، يقوم مقدم الطلب الأولي بمراجعته ويحدد ما إذا كان قد تم الرد على أسئلتهم. هذا يقود أهداف وإجراءات دورة الاستخبارات التالية ، مما يجعل التوثيق والاستمرارية أمرًا ضروريًا.

كيف يتم التعامل مع موضوع استخبارات التهديد في شركتك؟ تعمق في هذا المفهوم عن طريق تنزيل الكتاب الإلكتروني الذي أطلقناه للتو!

اضغط للتحميل