Как производится информация о киберугрозах? Как это работает в повседневной жизни компаний? Какие преимущества с большей вероятностью получат организации, которые используют его, по сравнению с их коллегами, которые еще не достигли этого?
В нашей серии статей на эту тему мы стремимся помочь вам понять, почему эта концепция является фундаментальной. Итак, теперь попробуем ответить на эти вопросы. Проверить!
→ Возможно, вы хотите познакомиться с концепцией разведки угроз. В этом случае сначала прочитайте эту статью:
Шесть фаз цикла анализа угроз
Информация о киберугрозах — это конечный продукт, который получается в результате цикла сбора, обработки и анализа данных, состоящего из шести частей. Этот процесс представляет собой цикл, поскольку новые проблемы и пробелы в знаниях выявляются во время разработки разведывательной информации, что приводит к определению новых требований к сбору данных.
В этом смысле эффективная разведывательная программа является итеративной и со временем совершенствуется.
Чтобы максимизировать ценность создаваемой вами информации об угрозах, очень важно определить варианты использования и цели, прежде чем делать что-либо еще. Следите за темами, которые следуют!
1. Планирование и руководство
Первый шаг к получению действенной информации об угрозах — это задавать правильные вопросы.
Вопросы, которые лучше всего способствуют созданию действенной информации об угрозах, сосредоточены на одном факте, событии или действии — общих, открытых вопросов, как правило, следует избегать.
Приоритизируйте свои цели разведки на основе таких факторов, как то, насколько близко они соответствуют основным ценностям вашей организации, насколько большое влияние окажет полученное решение и насколько это решение конфиденциально.
Важным направляющим фактором на этом этапе является понимание того, кто будет потреблять и получать выгоду от конечного продукта.
Вам нужно спросить и ответить:
- Достанется ли разведданные команде технически подкованных аналитиков, которым нужен быстрый отчет о новом эксплойте?
- Или для руководителя, который ищет широкий обзор тенденций, чтобы обосновать свои решения об инвестициях в безопасность на следующий квартал?
2. Коллекция
Следующим шагом является сбор необработанных данных, отвечающих требованиям, определенным на первом этапе. Лучше всего собирать информационные активы из самых разных источников — внутренних, таких как журналы сетевых событий и записи ответов на прошлые инциденты; и внешние источники из открытой сети, темной сети и технических источников.
Данные об угрозах обычно представляют собой списки IoC, такие как вредоносные IP-адреса, домены и хэши файлов. Но он также может включать информацию об уязвимостях, такую как личная информация от клиентов, необработанный код с вставленных веб-сайтов и текст из источников новостей или социальных сетей.
3. Обработка
После того, как все необработанные данные собраны, вам необходимо классифицировать их, организовав их с помощью тегов метаданных и отфильтровав избыточную информацию или ложные положительные и отрицательные результаты.
Сегодня даже небольшие организации ежедневно собирают данные порядка миллионов событий журнала и сотен тысяч индикаторов. Людям-аналитикам не под силу эффективно обрабатывать данные — сбор и обработка данных должны быть автоматизированы, чтобы они имели смысл.
Такие решения, как Симс являются хорошей отправной точкой, потому что они делают структурирование данных относительно простым с помощью правил корреляции, которые можно настроить для нескольких различных вариантов использования, но которые могут принимать только ограниченное количество типов данных.
Если вы собираете неструктурированные данные из множества различных внутренних и внешних источников, вам потребуется более надежное решение.
4. Анализ
Следующим шагом является понимание обработанных данных. Цель анализа — найти потенциальные проблемы безопасности и уведомить соответствующие группы в формате, который соответствует требованиям к интеллектуальным данным, изложенным на этапе планирования и направления.
Аналитика угроз может принимать разные формы, в зависимости от ваших первоначальных целей и целевой аудитории. Но идея состоит в том, чтобы поместить информационные активы в формат, понятный публике, который может варьироваться от простых списков угроз до рецензируемых отчетов.
5. Раскрытие информации
Затем готовый продукт распределяется среди предполагаемых потребителей. Чтобы информация об угрозах была действенной, она должна быть доведена до нужных людей в нужное время.
Он также должен быть прослеживаемым, чтобы между одним циклом разведки и другим существовала преемственность. Таким образом, обучение не будет потеряно.
Рекомендуется использовать системы тикетов, которые интегрируются с другими вашими системами безопасности, чтобы отслеживать каждый этап цикла разведки — каждый раз, когда поступает новый запрос разведки, тикеты могут быть отправлены, написаны, проверены и заполнены несколькими людьми из разных команд.
6. Комментарии
Заключительный этап — это завершение цикла разведки, что делает его тесно связанным с начальным этапом планирования и направления.
После получения готового разведывательного продукта первоначальный запросчик просматривает его и определяет, были ли даны ответы на его вопросы. Это определяет цели и процедуры следующего цикла разведки, делая необходимым документирование и преемственность.
Как в вашей компании решается тема разведки угроз? Углубитесь в эту концепцию, загрузив электронную книгу которые мы только что выпустили!
