Digitální technologie jsou dnes základem téměř každého odvětví. Automatizace a větší propojení, které umožňují, způsobily revoluci ve světových ekonomických a kulturních institucích – přinesly však také rizika v podobě kybernetických útoků. Threat intelligence jsou znalosti, které umožňují těmto útokům předcházet nebo je zmírňovat. Zpravodajství o hrozbách, které je zakořeněno v datech, poskytuje kontext – například kdo na vás útočí, jaká je jeho motivace a schopnosti a jaké indikátory kompromitace ve vašich systémech hledat – který vám pomůže činit informovaná rozhodnutí o vašem zabezpečení.
„Zpravodajství o hrozbách je znalost založená na důkazech, včetně kontextu, mechanismů, indikátorů, důsledků a na akci orientovaných rad o existující nebo vznikající hrozbě či nebezpečí pro aktiva. Tyto zpravodajské informace mohou být použity k informování o rozhodnutích týkajících se reakce subjektu na tuto hrozbu nebo nebezpečí.“ – Gartner
Podrobnější informace naleznete v částech tohoto přehledu nazvaných „Životní cyklus zpravodajství o hrozbách“ a „Druhy zpravodajství o hrozbách“.
- Proč je zpravodajství o hrozbách důležité?“
- Kdo může těžit z informací o hrozbách?
- Životní cyklus threat intelligence
- Plánování a směřování
- Sběr
- Zpracování
- Analýza
- Diseminace
- Zpětná vazba
- Typy zpravodajských informací o hrozbách
- Strategické zpravodajství o hrozbách
- Taktické zpravodajství o hrozbách
- Operational Threat Intelligence
- Strojové učení pro lepší zpravodajství o hrozbách
- Strukturovat data do entit a událostí
- Strukturovat text ve více jazycích pomocí zpracování přirozeného jazyka
- Klasifikovat události a entity a pomáhat tak lidským analytikům určovat priority výstrah
- Předpovídat události a vlastnosti entit pomocí prediktivních modelů
- Případy použití threat intelligence
- Reakce na incidenty
- Operace zabezpečení
- Správa zranitelností
- Analýza rizik
- Prevence podvodů
- Vedení bezpečnosti
- Snižování rizik třetích stran
Proč je zpravodajství o hrozbách důležité?“
Dnes čelí odvětví kybernetické bezpečnosti mnoha výzvám – stále vytrvalejším a zákeřnějším aktérům hrozeb, každodenní záplavě dat plných cizích informací a falešných poplachů v mnoha nepropojených bezpečnostních systémech a vážnému nedostatku kvalifikovaných odborníků.
Některé organizace se snaží začlenit do své sítě zdroje dat o hrozbách, ale nevědí, co si se všemi těmi daty navíc počít, což zvyšuje zátěž analytiků, kteří nemusí mít nástroje k rozhodování o tom, co upřednostnit a co ignorovat.
Řešení Cyber threat intelligence může řešit každý z těchto problémů. Nejlepší řešení využívají strojové učení k automatizaci sběru a zpracování dat, integrují se s vašimi stávajícími řešeními, přijímají nestrukturovaná data z různých zdrojů a poté propojují jednotlivé body tím, že poskytují kontext indikátorů kompromitace (IoC) a taktik, technik a postupů (TTP) aktérů hrozeb.
Informace o hrozbách jsou využitelné – jsou včasné, poskytují kontext a jsou schopny je pochopit lidé, kteří mají na starosti rozhodování.
Kdo může těžit z informací o hrozbách?
Každý! Všeobecně se má za to, že zpravodajství o kybernetických hrozbách je doménou elitních analytiků. Ve skutečnosti přináší přidanou hodnotu napříč bezpečnostními funkcemi organizací všech velikostí.
Když je zpravodajství o hrozbách považováno za samostatnou funkci v rámci širšího bezpečnostního paradigmatu, a ne za nezbytnou součást, která rozšiřuje každou jinou funkci, výsledkem je, že mnoho lidí, kteří by ze zpravodajství o hrozbách měli největší prospěch, k němu nemá přístup, když ho potřebují.
Týmy bezpečnostních operací běžně nejsou schopny zpracovávat výstrahy, které dostávají – threat intelligence se integruje s již používanými bezpečnostními řešeními a pomáhá automaticky určovat priority a filtrovat výstrahy a další hrozby. Týmy pro správu zranitelností mohou přesněji stanovit priority nejdůležitějších zranitelností díky přístupu k externím poznatkům a souvislostem, které poskytuje threat intelligence. A prevence podvodů, analýza rizik a další procesy zabezpečení na vysoké úrovni jsou obohaceny o porozumění aktuálnímu prostředí hrozeb, které poskytuje threat intelligence, včetně klíčových informací o aktérech hrozeb, jejich taktikách, technikách a postupech a dalších informací ze zdrojů dat napříč webem.
Podívejte se na naši část o případech použití níže, kde najdete hlubší pohled na to, jak může každá role v oblasti zabezpečení využívat threat intelligence.
Životní cyklus threat intelligence
Takže, jak se vytváří zpravodajství o kybernetických hrozbách? Surová data nejsou totéž co zpravodajské informace – zpravodajské informace o kybernetických hrozbách jsou hotovým produktem, který vzniká na základě šestidílného cyklu sběru, zpracování a analýzy dat. Tento proces je cyklem, protože v průběhu vývoje zpravodajských informací jsou identifikovány nové otázky a mezery ve znalostech, což vede ke stanovení nových požadavků na sběr dat. Efektivní zpravodajský program je iterativní a v průběhu času se zdokonaluje.
Chcete-li maximalizovat hodnotu zpravodajských informací o hrozbách, které vytváříte, je velmi důležité, abyste před jakoukoli další činností určili případy použití a definovali své cíle.
Plánování a směřování
Prvním krokem k vytvoření akčního zpravodajství o hrozbách je položení správné otázky.
Otázky, které nejlépe vedou k vytvoření akčního zpravodajství o hrozbách, se zaměřují na jednu skutečnost, událost nebo činnost – širokým, otevřeným otázkám je obvykle třeba se vyhnout.
Zpravodajské cíle upřednostňujte na základě faktorů, jako je například to, jak úzce souvisejí se základními hodnotami vaší organizace, jak velký dopad bude mít výsledné rozhodnutí a jak časově citlivé je rozhodnutí.
Jedním z důležitých vodítek v této fázi je pochopení toho, kdo bude výsledný produkt využívat a mít z něj prospěch – půjde zpravodajská informace týmu analytiků s technickými znalostmi, kteří potřebují rychlou zprávu o novém exploitu, nebo vedoucímu pracovníkovi, který hledá široký přehled trendů pro svá rozhodnutí o investicích do zabezpečení na další čtvrtletí?“
Sběr
Dalším krokem je shromáždění nezpracovaných dat, která splňují požadavky stanovené v první fázi. Nejlepší je shromažďovat data z různých zdrojů – interních, jako jsou protokoly síťových událostí a záznamy o reakcích na minulé incidenty, a externích z otevřeného webu, temného webu a technických zdrojů.
Daty o hrozbách se obvykle myslí seznamy IoC, jako jsou škodlivé IP adresy, domény a hashe souborů, ale mohou zahrnovat také informace o zranitelnostech, jako jsou osobní údaje zákazníků, surový kód z vkládaných stránek a text ze zpravodajských zdrojů nebo sociálních médií.
Zpracování
Po shromáždění všech surových dat je třeba je roztřídit, uspořádat pomocí metadatových značek a odfiltrovat nadbytečné informace nebo falešná pozitiva a negativa.
Dnes i malé organizace shromažďují denně data v řádu milionů událostí protokolu a stovek tisíc indikátorů. To je příliš mnoho na to, aby je lidští analytici dokázali efektivně zpracovat – sběr a zpracování dat musí být automatizované, aby z nich začal být nějaký smysl.
Řešení jako SIEM jsou dobrým začátkem, protože umožňují relativně snadno strukturovat data pomocí korelačních pravidel, která lze nastavit pro několik různých případů použití, ale mohou přijímat pouze omezený počet typů dat.
Pokud shromažďujete nestrukturovaná data z mnoha různých interních a externích zdrojů, budete potřebovat robustnější řešení. Společnost Recorded Future využívá strojové učení a zpracování přirozeného jazyka k analýze textu z milionů nestrukturovaných dokumentů v sedmi různých jazycích a jejich klasifikaci pomocí ontologií a událostí nezávislých na jazyce, což analytikům umožňuje provádět výkonné a intuitivní vyhledávání, které přesahuje rámec holých klíčových slov a jednoduchých korelačních pravidel.
Analýza
Dalším krokem je dát zpracovaným datům smysl. Cílem analýzy je vyhledat potenciální bezpečnostní problémy a informovat příslušné týmy ve formátu, který splňuje požadavky na zpravodajství nastíněné ve fázi plánování a směrování.
Zpravodajství o hrozbách může mít mnoho podob v závislosti na původních cílech a zamýšleném publiku, ale jde o to dostat data do formátu, kterému bude publikum rozumět. Ta může sahat od jednoduchých seznamů hrozeb až po recenzované zprávy.
Diseminace
Dokončený produkt je pak distribuován zamýšleným spotřebitelům. Aby byly zpravodajské informace o hrozbách využitelné, musí se dostat ke správným lidem ve správný čas.
Je také třeba je sledovat, aby existovala návaznost mezi jedním zpravodajským cyklem a dalším a aby se neztratily poznatky. Ke sledování jednotlivých kroků zpravodajského cyklu používejte systémy ticketů, které jsou integrovány s ostatními bezpečnostními systémy – pokaždé, když se objeví nový požadavek na zpravodajství, mohou být tickety odeslány, sepsány, zkontrolovány a vyřízeny více lidmi z různých týmů, a to vše na jednom místě.
Zpětná vazba
V posledním kroku se zpravodajský cyklus uzavírá, takže úzce souvisí s počáteční fází plánování a řízení. Po obdržení hotového zpravodajského produktu jej ten, kdo podal původní žádost, přezkoumá a určí, zda byly jeho otázky zodpovězeny. Tím se řídí cíle a postupy dalšího zpravodajského cyklu, čímž se opět stává zásadní dokumentace a kontinuita.
Typy zpravodajských informací o hrozbách
Jak ukazuje životní cyklus zpravodajských informací o hrozbách, konečný produkt bude vypadat odlišně v závislosti na počátečních zpravodajských požadavcích, zdrojích informací a zamýšleném publiku. Na základě těchto kritérií může být užitečné rozdělit threat intelligence do několika kategorií.
Zpravodajské informace o hrozbách se často člení do tří podkategorií:
- Strategické – širší trendy obvykle určené pro netechnické publikum
- Taktické – nástin taktik, technik a postupů aktérů hrozeb pro techničtější publikum
- Operativní – technické podrobnosti o konkrétních útocích a kampaních
Strategické zpravodajství o hrozbách
Strategické zpravodajství o hrozbách poskytuje široký přehled o prostředí hrozeb v organizaci. Je určena k informování vedoucích pracovníků a dalších osob s rozhodovací pravomocí v organizaci o rozhodnutích na vysoké úrovni – její obsah je proto zpravidla méně technický a je prezentován prostřednictvím zpráv nebo brífinků. Dobré strategické zpravodajství by mělo poskytovat vhled do oblastí, jako jsou rizika spojená s určitými směry činnosti, obecné vzorce taktiky a cílů aktérů hrozeb a geopolitické události a trendy.
Běžnými zdroji informací pro strategické zpravodajství o hrozbách jsou např:
- Politické dokumenty národních států nebo nevládních organizací
- Zprávy z místních a celostátních médií, oborové a tematické publikace nebo od jiných odborníků na danou problematiku
- Bílé knihy, výzkumné zprávy a další obsah vytvořený bezpečnostními organizacemi
Vytváření silného strategického zpravodajství o hrozbách začíná kladením cílených a specifických otázek, které stanoví požadavky na zpravodajství. Vyžaduje také analytiky s odbornými znalostmi mimo typické dovednosti v oblasti kybernetické bezpečnosti – zejména dobré porozumění sociopolitickým a obchodním konceptům.
Ačkoli konečný produkt není technického rázu, tvorba účinného strategického zpravodajství vyžaduje hluboký průzkum obrovských objemů dat, často ve více jazycích. To může způsobit, že počáteční sběr a zpracování dat je příliš obtížné provádět ručně, a to i pro ty raritní analytiky, kteří mají správné jazykové znalosti, technické zázemí a obchodní dovednosti. Řešení pro zpravodajství o hrozbách, které automatizuje sběr a zpracování dat, pomáhá tuto zátěž snížit a umožňuje analytikům, kteří nemají tolik odborných znalostí, pracovat efektivněji.
Taktické zpravodajství o hrozbách
Taktické zpravodajství o hrozbách popisuje taktiky, techniky a postupy (TTP) aktérů hrozeb. Měla by obráncům pomoci konkrétně pochopit, jak může být jejich organizace napadena a jak se proti těmto útokům nejlépe bránit nebo je zmírnit. Obvykle zahrnuje technické souvislosti a používají ji pracovníci přímo zapojení do obrany organizace, jako jsou systémoví architekti, správci a bezpečnostní pracovníci.
Zprávy vypracované dodavateli zabezpečení jsou často nejjednodušším způsobem, jak získat informace o taktických hrozbách. Ve zprávách hledejte informace o vektorech útoku, nástrojích a infrastruktuře, které útočníci používají, včetně konkrétních údajů o tom, na jaké zranitelnosti se útočníci zaměřují a jaké exploity využívají, a také o tom, jaké strategie a nástroje mohou používat, aby se vyhnuli odhalení nebo je oddálili.
Taktické zpravodajství o hrozbách by mělo být použito k informování o vylepšeních stávajících bezpečnostních kontrol a procesů a k urychlení reakce na incidenty. Protože mnoho otázek, na které odpovídá taktická zpravodajská informace, je jedinečných pro vaši organizaci a je třeba je zodpovědět v krátkém termínu – například: „Je v mých systémech přítomna tato kritická zranitelnost zneužívaná aktéry hrozeb zaměřenými na mé odvětví?“. – je klíčové mít k dispozici řešení threat intelligence, které integruje data z vaší vlastní sítě.
Operational Threat Intelligence
Operational intelligence jsou znalosti o kybernetických útocích, událostech nebo kampaních. Poskytuje specializované poznatky, které pomáhají týmům pro reakci na incidenty pochopit povahu, záměr a načasování konkrétních útoků.
Protože obvykle zahrnuje technické informace – informace typu, jaký vektor útoku je používán, jaké zranitelnosti jsou zneužívány nebo jaké domény velení a řízení jsou využívány – označuje se tento druh zpravodajství také jako technické zpravodajství o hrozbách. Běžným zdrojem technických informací jsou datové kanály hrozeb, které se obvykle zaměřují na jeden typ indikátorů, jako jsou hashe malwaru nebo podezřelé domény.
Jestliže však technické zpravodajství o hrozbách chápeme striktně jako zdroj technických informací, jako jsou datové kanály hrozeb, pak technické a operativní zpravodajství o hrozbách nejsou úplně synonyma – spíše jako Vennův diagram s obrovskými překryvy. Další zdroje informací o konkrétních útocích mohou pocházet z uzavřených zdrojů, jako je zachycení komunikace skupin hrozeb, a to buď infiltrací, nebo proniknutím do těchto komunikačních kanálů.
V důsledku toho existuje několik překážek při shromažďování tohoto druhu zpravodajských informací:
- Přístup – skupiny hrozeb mohou komunikovat prostřednictvím neveřejných a šifrovaných kanálů nebo vyžadovat určitý doklad totožnosti. Existují také jazykové bariéry u skupin hrozeb, které se nacházejí v cizích zemích.
- Šum – Může být obtížné nebo nemožné ručně shromáždit kvalitní zpravodajské informace z velkoobjemových zdrojů, jako jsou chatovací místnosti a sociální média.
- Obfuskace – Aby se vyhnuly odhalení, mohou skupiny hrozeb používat obfuskační taktiky, jako je používání kódových jmen.
Řešení pro zpravodajské informace o hrozbách, která se spoléhají na procesy strojového učení pro automatizovaný sběr dat ve velkém měřítku, mohou překonat mnoho z těchto problémů při snaze vyvinout účinné operativní zpravodajské informace o hrozbách. Řešení, které využívá zpracování přirozeného jazyka, bude například schopno shromažďovat informace z cizojazyčných zdrojů, aniž by k jejich dešifrování potřebovalo lidské znalosti.
Strojové učení pro lepší zpravodajství o hrozbách
Zpracování dat dnes probíhá v takovém rozsahu, že vyžaduje automatizaci, aby bylo komplexní. Kombinujte datové body z mnoha různých typů zdrojů – včetně otevřených zdrojů, temného webu a technických zdrojů – a vytvořte si co nejsolidnější obraz.
Recorded Future využívá techniky strojového učení čtyřmi způsoby, jak zlepšit sběr a agregaci dat – strukturovat data do kategorií, analyzovat text ve více jazycích, poskytovat skóre rizik a vytvářet prediktivní modely.
Strukturovat data do entit a událostí
Ontologie souvisí s tím, jak rozdělujeme pojmy a jak je seskupujeme. V datové vědě představují ontologie kategorie entit na základě jejich názvů, vlastností a vzájemných vztahů, což usnadňuje jejich třídění do hierarchií množin. Například Boston, Londýn a Göteborg jsou odlišné entity, které budou také spadat pod širší entitu „město“.
Pokud entity představují způsob třídění fyzicky odlišných konceptů, pak události třídí koncepty v čase. Zaznamenané budoucí události jsou jazykově nezávislé – něco jako „John navštívil Paříž“, „John podnikl výlet do Paříže“, „John прилетел в Париж“ a „John a visité Paris“ je rozpoznáno jako stejná událost.
Ontologie a události umožňují výkonné vyhledávání nad kategoriemi a umožňují analytikům soustředit se na celkový obraz, místo aby museli sami ručně třídit data.
Strukturovat text ve více jazycích pomocí zpracování přirozeného jazyka
Pomocí zpracování přirozeného jazyka jsou entity a události schopny jít nad rámec holých klíčových slov a proměnit nestrukturovaný text ze zdrojů v různých jazycích ve strukturovanou databázi.
Strojové učení, které tento proces řídí, dokáže oddělit reklamu od primárního obsahu, klasifikovat text do kategorií, jako je próza, datové protokoly nebo kód, a rozlišovat mezi entitami se stejným názvem (jako je „Apple“ společnost a „jablko“ ovoce) pomocí kontextových vodítek v okolním textu.
Tímto způsobem dokáže systém denně analyzovat text z milionů dokumentů v sedmi různých jazycích – což je úkol, který by vyžadoval neprakticky velký a kvalifikovaný tým lidských analytiků. Taková úspora času pomáhá týmům zabezpečení IT pracovat se systémem Recorded Future o 32 % efektivněji.
Klasifikovat události a entity a pomáhat tak lidským analytikům určovat priority výstrah
K dalšímu třídění entit a událostí podle důležitosti – například přiřazováním rizikového skóre škodlivým entitám – se používá strojové učení a statistická metodologie.
Skóre rizika se vypočítává pomocí dvou systémů: jeden se řídí pravidly založenými na lidské intuici a zkušenostech a druhý strojovým učením vycvičeným na již prověřeném souboru dat.
Klasifikátory, jako je skóre rizika, poskytují jak úsudek („tato událost je kritická“), tak kontext vysvětlující skóre („protože více zdrojů potvrzuje, že tato IP adresa je škodlivá“).
Automatizace způsobu klasifikace rizik šetří analytikům čas při třídění falešně pozitivních případů a rozhodování o tom, co je třeba upřednostnit, což pomáhá pracovníkům v oblasti zabezpečení IT, kteří používají Recorded Future, strávit o 34 % méně času sestavováním zpráv.
Předpovídat události a vlastnosti entit pomocí prediktivních modelů
Strojové učení může také vytvářet modely, které předpovídají budoucnost, často mnohem přesněji než jakýkoli lidský analytik, tím, že čerpají z hlubokých fondů dat, která byla dříve vytěžena a kategorizována.
Jedná se o obzvláště silnou aplikaci „zákona velkých čísel“ strojového učení – s tím, jak budeme i nadále čerpat z více zdrojů dat, budou tyto prediktivní modely stále přesnější.
Případy použití threat intelligence
Různorodé případy použití threat intelligence z ní činí základní zdroj pro multifunkční týmy v každé organizaci. Ačkoli je asi nejcennější bezprostředně, když pomáhá předcházet útokům, je threat intelligence také užitečnou součástí třídění, analýzy rizik, správy zranitelností a rozhodování v širokém rozsahu.
Reakce na incidenty
Bezpečnostní analytici, kteří mají na starosti reakci na incidenty, hlásí jednu z nejvyšších úrovní stresu v oboru a není divu proč – míra kybernetických incidentů v posledních dvou desetiletích neustále stoupá a vysoký podíl denních výstrah se ukáže jako falešně pozitivní. Při řešení skutečných incidentů musí analytici často trávit čas pracným ručním tříděním dat, aby vyhodnotili problém.
Zpravodajství o hrozbách snižuje tento tlak několika způsoby:
- Automatická identifikace a zamítnutí falešně pozitivních případů
- Obohacení výstrah o kontext v reálném čase, například o vlastní skóre rizik
- Porovnávání informací z interních a externích zdrojů
Uživatelé společnosti Recorded Future identifikují rizika desetkrát rychleji než před integrací threat intelligence do svých bezpečnostních řešení, což jim dává v průměru o několik dní více času na reakci na hrozby v odvětví, kde mohou záležet i na sekundách.
Operace zabezpečení
Většina týmů operačních center zabezpečení (SOC) se musí vypořádat s obrovskými objemy výstrah generovaných sítěmi, které monitorují. Třídění těchto výstrah trvá příliš dlouho a mnohé z nich nejsou vůbec prošetřeny. „Únava z výstrah“ vede k tomu, že analytici berou výstrahy méně vážně, než by měli. Threat intelligence řeší mnoho z těchto problémů – pomáhá rychleji a přesněji shromažďovat informace o hrozbách, odfiltrovat falešné poplachy, urychlit třídění a zjednodušit analýzu incidentů. Díky ní mohou analytici přestat ztrácet čas sledováním výstrah založených na:
- Akcích, které jsou s větší pravděpodobností neškodné než škodlivé
- Útocích, které nejsou pro daný podnik relevantní
- Útocích, pro které jsou již zavedeny obranné a kontrolní mechanismy
Kromě urychlení třídění může threat intelligence pomoci týmům SOC zjednodušit analýzu a omezení incidentů. Uživatelé společnosti Recorded Future řeší hrozby o 63 % rychleji, čímž se kritické hodiny, které stráví nápravou, zkracují o více než polovinu.
Správa zranitelností
Efektivní správa zranitelností znamená přechod od přístupu „záplatovat všechno a pořád“, kterého nikdo nemůže reálně nikdy dosáhnout, k prioritizaci zranitelností na základě skutečného rizika.
Ačkoli počet zranitelností a hrozeb každoročně roste, výzkumy ukazují, že většina hrozeb se zaměřuje na stejnou, malou část zranitelností. Aktéři hrozeb jsou také rychlejší – mezi oznámením nové zranitelnosti a objevením exploitu, který na ni cílí, uplyne nyní v průměru jen patnáct dní.
To má dva důsledky:
- Na opravu nebo nápravu systémů proti novému exploitu máte dva týdny. Pokud v této lhůtě nemůžete provést záplatu, připravte si plán na zmírnění škod.
- Pokud nová zranitelnost není zneužita do dvou týdnů až tří měsíců, pravděpodobně nebude nikdy zneužita – její záplatování může mít nižší prioritu.
Informace o hrozbách vám pomáhá identifikovat zranitelnosti, které představují skutečné riziko pro vaši organizaci, a to nad rámec bodového hodnocení CVE kombinací interních dat o skenování zranitelností, externích dat a dalších souvislostí o TTP aktérů hrozeb. S nástrojem Recorded Future identifikují uživatelé o 22 % více skutečných hrozeb dříve, než mají závažný dopad.
Analýza rizik
Modelování rizik může být pro organizace užitečným způsobem, jak stanovit investiční priority. Mnoho modelů rizik však trpí vágními, nekvantifikovanými výstupy, které jsou sestaveny narychlo, na základě částečných informací, vycházejí z nepodložených předpokladů nebo je obtížné na jejich základě přijmout opatření.
Informace o hrozbách poskytují kontext, který pomáhá modelům rizik provádět definovaná měření rizik a být transparentnější ohledně jejich předpokladů, proměnných a výsledků. Může pomoci odpovědět na otázky, jako jsou:
- Jací aktéři hrozeb používají tento útok a zaměřují se na naše odvětví?
- Jak často byl tento konkrétní útok v poslední době zaznamenán podniky, jako je ten náš?
- Je trend stoupající nebo klesající?
- Které zranitelnosti tento útok využívá a jsou tyto zranitelnosti přítomny v našem podniku?
- Jaké škody, technické a finanční, tento útok způsobil v podnicích, jako je náš?
Pokládání správných otázek pomocí zpravodajství o hrozbách společnosti Recorded Future je jedním ze způsobů, jak uživatelé zaznamenávají 86procentní snížení neplánovaných odstávek – což je obrovský rozdíl, když i minuta odstávky může některé organizace stát až 9 000 dolarů na ztrátě produktivity a dalších škodách.
Prevence podvodů
K tomu, aby byla vaše organizace v bezpečí, nestačí pouze detekovat a reagovat na hrozby, které již vaše systémy zneužívají. Musíte také zabránit podvodnému využití vašich dat nebo značky.
Zpravodajské informace o hrozbách získané z podzemních zločineckých komunit poskytují pohled na motivaci, metody a taktiku aktérů hrozeb, zejména pokud jsou tyto informace korelovány s informacemi z povrchového webu, včetně technických kanálů a indikátorů.
Použití zpravodajských informací o hrozbách k prevenci:
- Platebních podvodů – Sledování zdrojů, jako jsou kriminální komunity, vkládací stránky a další fóra, pro relevantní čísla platebních karet, identifikační čísla bank nebo konkrétní odkazy na finanční instituce může poskytnout včasné varování před nadcházejícími útoky, které by mohly ovlivnit vaši organizaci.
- Kompromitovaných dat – Kyberzločinci pravidelně nahrávají masivní cache uživatelských jmen a hesel na vkládací stránky a temný web nebo je poskytují k prodeji na podzemních tržištích. Monitorujte tyto zdroje pomocí zpravodajských informací o hrozbách a dávejte si pozor na únik přihlašovacích údajů, firemních dat nebo proprietárního kódu.
- Typosquatting – Získejte upozornění v reálném čase na nově registrované phishingové a typosquattingové domény, abyste zabránili kyberzločincům vydávat se za vaši značku a podvést nic netušící uživatele.
Předcházením dalším narušením pomocí informací o hrozbách jsou uživatelé společnosti Recorded Future schopni ušetřit více než 1 milion dolarů za každé potenciální narušení díky škodlivým pokutám, penále a ztrátě důvěry spotřebitelů.
Vedení bezpečnosti
CISO a další vedoucí pracovníci v oblasti bezpečnosti musí řídit rizika vyvažováním omezených dostupných zdrojů a potřebou zabezpečit své organizace před stále se vyvíjejícími hrozbami. Zpravodajství o hrozbách může pomoci zmapovat prostředí hrozeb, vypočítat rizika a poskytnout pracovníkům v oblasti zabezpečení informace a souvislosti, které jim umožní přijímat lepší a rychlejší rozhodnutí.
Dnes musí vedoucí pracovníci v oblasti zabezpečení:
- Ohodnotit obchodní a technická rizika, včetně nově vznikajících hrozeb a „známých neznámých“, které by mohly mít dopad na podnikání
- Identifikovat správné strategie a technologie ke zmírnění rizik
- Sdělit povahu rizik vrcholovému vedení a zdůvodnit investice do obranných opatření
Zpravodajství o hrozbách může být kritickým zdrojem informací pro všechny tyto činnosti, protože poskytuje informace o obecných trendech, jako např:
- Které typy útoků jsou stále častější (nebo méně časté)
- Které typy útoků jsou pro oběti nejnákladnější
- Jaké nové typy aktérů hrozeb se objevují, a na jaká aktiva a podniky se zaměřují
- Postupy a technologie zabezpečení, které se ukázaly jako nejúspěšnější (nebo nejméně úspěšné) při zastavení nebo zmírnění těchto útoků
Může také umožnit bezpečnostním skupinám posoudit, zda je pravděpodobné, že nová hrozba ovlivní jejich konkrétní podnik na základě faktorů, jako jsou např:
- Odvětví – Má hrozba vliv na jiné podniky v naší vertikále?
- Technologie – Zahrnuje hrozba ohrožení softwaru, hardwaru nebo jiných technologií používaných v našem podniku?
- Geografie – Je hrozba zaměřena na zařízení v regionech, kde působíme?
- Způsob útoku – Byly metody použité při útoku, včetně metod sociálního inženýrství a technických metod, úspěšně použity proti našemu podniku nebo podobným podnikům?
Díky těmto typům zpravodajských informací, shromážděných ze širokého souboru externích zdrojů dat, získávají osoby s rozhodovací pravomocí v oblasti zabezpečení ucelený pohled na prostředí kybernetických rizik a na největší rizika pro jejich podnik.
Jsou zde čtyři klíčové oblasti, ve kterých zpravodajské informace o hrozbách pomáhají vedoucím pracovníkům v oblasti zabezpečení při rozhodování:
- Zmírňování – Zpravodajské informace o hrozbách pomáhají vedoucím pracovníkům v oblasti zabezpečení stanovit priority zranitelností a slabých míst, na které se aktéři hrozeb s největší pravděpodobností zaměří, a poskytují kontext o TTP, které tito aktéři hrozeb používají, a tedy o slabých místech, která mají tendenci využívat.
- Komunikace – Ředitelé CISO se často potýkají s nutností popsat hrozby a zdůvodnit protiopatření v termínech, které budou motivovat netechnické vedoucí pracovníky, jako jsou náklady, dopad na zákazníky, nové technologie. Zpravodajské informace o hrozbách poskytují pro tyto diskuse silnou munici, například dopad podobných útoků na společnosti stejné velikosti v jiných odvětvích nebo trendy a informace z dark webu, které naznačují, že podnik bude pravděpodobně cílem útoku.
- Podpora vedoucích pracovníků – Threat intelligence může vedoucím pracovníkům v oblasti zabezpečení poskytnout v reálném čase přehled o nejnovějších hrozbách, trendech a událostech, což jim pomůže včas a efektivně reagovat na hrozbu nebo sdělit vedoucím pracovníkům podniku a členům představenstva potenciální dopad nového typu hrozby.
- Nedostatek dovedností v oblasti zabezpečení – CISO musí zajistit, aby organizace IT měla lidské zdroje pro plnění svého poslání. Nedostatek dovedností v oblasti kybernetické bezpečnosti však znamená, že stávající bezpečnostní pracovníci často zvládají nezvládnutelnou pracovní zátěž. Zpravodajství o hrozbách automatizuje některé z nejpracnějších úkolů, rychle shromažďuje data a koreluje souvislosti z různých zpravodajských zdrojů, určuje priority rizik a snižuje počet zbytečných výstrah. Výkonná služba threat intelligence také pomáhá mladším pracovníkům rychle se „zdokonalovat“ a podávat výkony přesahující jejich úroveň zkušeností.
Snižování rizik třetích stran
Nespočet organizací transformuje způsob svého podnikání prostřednictvím digitálních procesů. Přesouvají data z interních sítí do cloudu a shromažďují více informací než kdykoli předtím.
Snadnější sběr, ukládání a analýza dat jistě mění mnoho odvětví k lepšímu, ale tento volný tok informací má svou cenu. Znamená to, že chceme-li posoudit rizika vlastní organizace, musíme vzít v úvahu také bezpečnost našich partnerů, dodavatelů a dalších třetích stran.
Naneštěstí mnohé z nejběžnějších postupů řízení rizik třetích stran, které se dnes používají, zaostávají za bezpečnostními požadavky. Statická hodnocení rizik, jako jsou finanční audity a ověřování bezpečnostních certifikátů, jsou stále důležitá, ale často jim chybí kontext a nejsou vždy včasná. Je zapotřebí řešení, které by nabízelo kontext aktuálních hrozeb v reálném čase.
Jedním ze způsobů, jak toho dosáhnout, je zpravodajství o hrozbách. Může zajistit transparentnost prostředí hrozeb třetích stran, se kterými spolupracujete, poskytovat upozornění na hrozby a změny jejich rizik v reálném čase a poskytnout vám kontext, který potřebujete k vyhodnocení svých vztahů.