Типы анализа угроз: какой внедрить в вашей компании?

Типы данных об угрозах — Flexa Cloud

Мы имеем дело с информацией об угрозах в серия из сообщений здесь в блоге. Ранее мы говорили о том, как работает эта стратегия; мы указываем цикл, который нужно пройти, чтобы достичь его.

Сегодня мы собираемся помочь вам подумать о различных типах информации об угрозах. Вы увидите, что каждый из них соответствует цели или бизнес-реальности с точки зрения информационной безопасности.

Следовать за! 

3 типа анализа угроз

Аналитика угроз обычно делится на три подкатегории:

  • Стратегический - более широкие тенденции, обычно предназначенные для нетехнической аудитории;
  • тактика - описание тактики, методов и процедур субъектов угроз для более технической аудитории;
  • эксплуатационный — технические подробности о конкретных атаках и кампаниях.

Ознакомьтесь с разбивкой каждой из этих подкатегорий ниже!

1. Разведка стратегических угроз

Стратегическая аналитика угроз предоставляет широкий обзор ландшафта угроз организации. Он предназначен для информирования о решениях высокого уровня, принимаемых руководителями и другими лицами, принимающими решения в организации, поэтому содержание часто менее техническое и представлено в виде отчетов или брифингов. 

Хорошая стратегическая разведка должна обеспечивать понимание таких областей, как риски, связанные с определенными курсами действий, общие закономерности в тактике и целях субъектов угроз, а также геополитические события и тенденции.

Общие источники информации для разведки стратегических угроз включают:

  • программные документы национальных государств или неправительственных организаций;
  • новости местных и национальных СМИ, отраслевых и тематических изданий или других экспертов в данной области;
  • официальные документы, отчеты об исследованиях и другой контент, подготовленный организациями безопасности.

Создание надежной стратегической информации об угрозах начинается с конкретных, целенаправленных вопросов для определения требований к информации. Также необходимы аналитики с опытом, выходящим за рамки типичных навыков кибербезопасности, в частности, с глубоким пониманием социально-политических и бизнес-концепций.

Хотя конечный продукт не является техническим, создание эффективной стратегической разведки требует глубокого исследования больших объемов данных, часто на нескольких языках. 

Это может затруднить первоначальный сбор и обработку данных вручную даже для тех редких аналитиков, которые обладают необходимыми языковыми знаниями, техническим образованием и навыками. 

Таким образом, решение для анализа угроз, которое автоматизирует сбор и обработку данных, помогает уменьшить эту нагрузку и позволяет менее опытным аналитикам работать более эффективно.

2. Тактическая разведка угроз

Тактическая информация об угрозах описывает тактику, методы и процедуры субъектов угроз. Это должно помочь защитникам понять, в частности, как их организация может быть атакована, и как лучше всего защититься от этих атак или смягчить их. 

Обычно он включает технический контекст и используется персоналом, непосредственно участвующим в защите организации, например, системными архитекторами, администраторами и персоналом службы безопасности.

Отчеты, подготовленные поставщиками средств безопасности, часто являются самым простым способом получения тактической информации об угрозах. 

Активный поиск информации в отчетах о векторах атак, инструментах и ​​​​инфраструктуре, которые используют злоумышленники. Включая подробную информацию о том, какие уязвимости преследуются и какие эксплойты используют злоумышленники, а также какие стратегии и инструменты они могут использовать, чтобы избежать или отсрочить обнаружение.

3. Оперативная разведка угроз

Оперативная разведка — это информация о кибератаках, событиях или кампаниях. Он предоставляет экспертную информацию, которая помогает группам реагирования на инциденты понять характер, намерение и время конкретных атак.

Поскольку это часто включает в себя техническую информацию, например, какой вектор атаки используется, какие уязвимости используются или какие домены управления и контроля используются, этот тип аналитики также называется технической аналитикой угроз. 

Распространенным источником технической информации являются потоки данных об угрозах, которые часто сосредоточены на индикаторах одного типа, таких как хэши вредоносных программ или подозрительные домены.

Но если техническая информация об угрозах строго рассматривается как полученная из технической информации, такой как потоки данных об угрозах, техническая и операционная информация об угрозах не являются полностью синонимами — они больше похожи на диаграмму Венна с большим перекрытием. 

Другие источники информации о конкретных атаках могут поступать из закрытых источников, таких как перехват сообщений от групп угроз путем проникновения или вторжения в эти каналы связи.

Следовательно, существуют некоторые препятствия для сбора такого рода разведывательных данных:

  • Доступ — Группы угроз могут общаться по частным, зашифрованным каналам или требовать подтверждения личности. Существуют также языковые барьеры из-за групп угроз, находящихся в зарубежных странах.
  • Ruido — Может быть сложно или невозможно собрать вручную достоверные сведения из источников большого объема, таких как чаты и социальные сети.
  • Обфускация — Чтобы избежать обнаружения, группы угроз могут использовать тактику запутывания, например использование псевдонимов.

Решения по анализу угроз, основанные на процессах машинного обучения для автоматизированного крупномасштабного сбора данных, могут решить многие из этих проблем при попытке разработать эффективную оперативную информацию об угрозах. 

Например, решение, использующее обработку естественного языка, сможет собирать информацию из источников на иностранном языке, не требуя человеческих знаний для ее расшифровки.

Как в вашей компании решается тема разведки угроз? Углубитесь в эту концепцию, загрузив электронную книгу которые мы только что выпустили!

нажмите, чтобы скачать