By Leave a Comment on Hvad er Threat Intelligence?

Digitale teknologier ligger i hjertet af næsten alle industrier i dag. Automatiseringen og den større forbundethed, som de giver mulighed for, har revolutioneret verdens økonomiske og kulturelle institutioner – men de har også medført risici i form af cyberangreb. Trusselsinformation er viden, der gør det muligt for dig at forebygge eller afbøde disse angreb. Med rod i data giver trusselsoplysninger kontekst – f.eks. hvem der angriber dig, hvad deres motivation og kapacitet er, og hvilke indikatorer for kompromittering i dine systemer du skal kigge efter – som hjælper dig med at træffe informerede beslutninger om din sikkerhed.

“Trusselsoplysninger er evidensbaseret viden, herunder kontekst, mekanismer, indikatorer, konsekvenser og handlingsorienteret rådgivning om en eksisterende eller ny trussel eller fare for aktiver. Disse efterretninger kan bruges til at informere beslutninger om emnets reaktion på den pågældende trussel eller fare.” – Gartner

For mere detaljerede oplysninger kan du læse afsnittene i denne oversigt med titlen “The Threat Intelligence Lifecycle” og “The Types of Threat Intelligence.”

Hvorfor er Threat Intelligence vigtigt?

I dag står cybersikkerhedsbranchen over for mange udfordringer – stadig mere vedholdende og snedige trusselsaktører, en daglig strøm af data fyldt med uvedkommende oplysninger og falske alarmer på tværs af flere, usammenhængende sikkerhedssystemer og en alvorlig mangel på kvalificerede fagfolk.

Nogle organisationer forsøger at inkorporere trusselsdata-feeds i deres netværk, men ved ikke, hvad de skal gøre med alle de ekstra data, hvilket øger byrden for analytikerne, som måske ikke har værktøjerne til at beslutte, hvad der skal prioriteres, og hvad der skal ignoreres.

En cybertrusselsintelligensløsning kan løse hvert af disse problemer. De bedste løsninger bruger maskinlæring til at automatisere dataindsamling og -behandling, integrerer med dine eksisterende løsninger, indhenter ustrukturerede data fra forskellige kilder og forbinder derefter punkterne ved at give kontekst om indikatorer for kompromittering (IoC’er) og trusselsaktørers taktik, teknikker og procedurer (TTP’er).

Threat Intelligence er brugbar – den er rettidig, giver kontekst og kan forstås af de personer, der har ansvaret for at træffe beslutninger.

Hvem kan drage fordel af Threat Intelligence?

Alle! Cybertrusselsoplysninger er i vid udstrækning forestillet at være et domæne for eliteanalytikere. I virkeligheden giver den værditilvækst på tværs af sikkerhedsfunktioner for organisationer af alle størrelser.

Når trusselsinformation behandles som en separat funktion inden for et bredere sikkerhedsparadigme i stedet for som en vigtig komponent, der øger alle andre funktioner, er resultatet, at mange af de personer, der ville have mest gavn af trusselsinformation, ikke har adgang til den, når de har brug for den.

Sikkerhedsdriftsteams er rutinemæssigt ude af stand til at behandle de advarsler, de modtager – threat intelligence integreres med de sikkerhedsløsninger, du allerede bruger, og hjælper med automatisk at prioritere og filtrere advarsler og andre trusler. Sårbarhedsstyringsteams kan mere præcist prioritere de vigtigste sårbarheder med adgang til den eksterne indsigt og kontekst, som threat intelligence giver. Og forebyggelse af svig, risikoanalyse og andre sikkerhedsprocesser på højt niveau beriges af den forståelse af det aktuelle trusselslandskab, som threat intelligence giver, herunder vigtig indsigt i trusselsaktører, deres taktik, teknikker og procedurer og meget mere fra datakilder på hele nettet.

Se vores afsnit om brugssituationer nedenfor for at få et dybere indblik i, hvordan alle sikkerhedsroller kan drage fordel af threat intelligence.

The Threat Intelligence Lifecycle

Så, hvordan bliver cybertrusselsoplysninger produceret? Rå data er ikke det samme som intelligens – cybertrusselsintelligens er det færdige produkt, der kommer ud af en seksdelt cyklus af dataindsamling, -behandling og -analyse. Denne proces er en cyklus, fordi nye spørgsmål og huller i viden identificeres i løbet af udviklingen af efterretninger, hvilket fører til, at der fastsættes nye indsamlingskrav. Et effektivt efterretningsprogram er iterativt og bliver mere raffineret med tiden.

For at maksimere værdien af de trusselsoplysninger, du producerer, er det afgørende, at du identificerer dine brugssituationer og definerer dine mål, før du gør noget andet.

Planlægning og retning

Det første skridt til at producere brugbar trusselsinformation er at stille det rigtige spørgsmål.

De spørgsmål, der bedst driver oprettelsen af brugbar trusselsinformation, fokuserer på en enkelt kendsgerning, begivenhed eller aktivitet – brede, åbne spørgsmål bør normalt undgås.

Prioriter dine efterretningsmål ud fra faktorer som f.eks. hvor tæt de er på din organisations kerneværdier, hvor stor en indvirkning den resulterende beslutning vil få, og hvor tidsmæssigt følsom beslutningen er.

En vigtig vejledende faktor i denne fase er at forstå, hvem der skal forbruge og drage fordel af det færdige produkt – skal efterretningen gå til et team af analytikere med teknisk ekspertise, der har brug for en hurtig rapport om en ny udnyttelse, eller til en leder, der leder efter et bredt overblik over tendenser til at informere deres beslutninger om sikkerhedsinvesteringer for det næste kvartal?

Indsamling

Det næste skridt er at indsamle rådata, der opfylder de krav, der blev fastsat i den første fase. Det er bedst at indsamle data fra en bred vifte af kilder – interne som f.eks. netværkshændelseslogfiler og optegnelser over tidligere hændelsesreaktioner og eksterne fra det åbne net, dark web og tekniske kilder.

Trusseldata opfattes normalt som lister over IoC’er, f.eks. ondsindede IP-adresser, domæner og filhashes, men de kan også omfatte sårbarhedsoplysninger, f.eks. kunders personligt identificerbare oplysninger, råkode fra klisterwebsteder og tekst fra nyhedskilder eller sociale medier.

Bearbejdning

Når alle de rå data er indsamlet, skal du sortere dem, organisere dem med metadata-tags og filtrere overflødige oplysninger eller falske positive og negative oplysninger fra.

I dag indsamler selv små organisationer data i størrelsesordenen millioner af logbegivenheder og hundredtusindvis af indikatorer hver dag. Det er for meget til, at menneskelige analytikere kan behandle det effektivt – dataindsamling og -behandling skal automatiseres for at begynde at give mening med det.

Løsninger som SIEM’er er et godt sted at starte, fordi de gør det relativt nemt at strukturere data med korrelationsregler, der kan opstilles til nogle få forskellige brugssituationer, men de kan kun tage imod et begrænset antal datatyper.

Hvis du indsamler ustrukturerede data fra mange forskellige interne og eksterne kilder, har du brug for en mere robust løsning. Recorded Future bruger maskinlæring og behandling af naturligt sprog til at analysere tekst fra millioner af ustrukturerede dokumenter på syv forskellige sprog og klassificere dem ved hjælp af sproguafhængige ontologier og begivenheder, så analytikerne kan udføre kraftfulde og intuitive søgninger, der går ud over nøgne nøgleord og simple korrelationsregler.

Analyse

Det næste skridt er at give mening til de behandlede data. Målet med analysen er at søge efter potentielle sikkerhedsproblemer og underrette de relevante teams i et format, der opfylder de efterretningskrav, der er skitseret i planlægnings- og retningsfasen.

Threat Intelligence kan antage mange former afhængigt af de oprindelige mål og den tilsigtede målgruppe, men idéen er at få dataene i et format, som målgruppen vil forstå. Det kan være alt fra simple trussellister til peer-reviewede rapporter.

Dissemination

Det færdige produkt distribueres derefter til de tilsigtede forbrugere. For at trusselsoplysningerne kan bruges til handling, skal de nå ud til de rigtige personer på det rigtige tidspunkt.

Det er også nødvendigt at spore dem, så der er kontinuitet mellem en efterretningscyklus og den næste, og så læringen ikke går tabt. Brug billetsystemer, der integreres med dine andre sikkerhedssystemer, til at spore hvert trin i efterretningscyklussen – hver gang en ny efterretningsanmodning dukker op, kan der indsendes, skrives, gennemgås og opfyldes billetter af flere personer på tværs af forskellige teams, alt sammen ét sted.

Feedback

Det sidste trin er, når efterretningscyklussen slutter cirklen, hvilket gør den tæt forbundet med den indledende planlægnings- og retningsfase. Efter at have modtaget det færdige efterretningsprodukt gennemgår den, der har fremsat den oprindelige anmodning, det og afgør, om hans eller hendes spørgsmål er blevet besvaret. Dette styrer målene og procedurerne for den næste efterretningscyklus, hvilket igen gør dokumentation og kontinuitet afgørende.

Typerne af efterretninger om trusler

Som det fremgår af livscyklussen for efterretninger om trusler, vil det endelige produkt se forskelligt ud afhængigt af de oprindelige efterretningskrav, informationskilder og den tilsigtede målgruppe. Det kan være nyttigt at opdele trusselsoplysninger i et par kategorier baseret på disse kriterier.

Threat Intelligence opdeles ofte i tre underkategorier:

  • Strategisk – Bredere tendenser, der typisk er beregnet til et ikke-teknisk publikum
  • Taktisk – Oversigter over trusselsaktørernes taktik, teknikker og procedurer til et mere teknisk publikum
  • Operationel – Tekniske detaljer om specifikke angreb og kampagner

Strategisk trusselsinformation

Strategisk trusselsinformation giver et bredt overblik over en organisations trusselslandskab. Den er beregnet til at informere ledende medarbejdere og andre beslutningstagere i en organisation om beslutninger på højt niveau – som sådan er indholdet generelt mindre teknisk og præsenteres i form af rapporter eller briefinger. Gode strategiske efterretninger bør give indsigt i områder som f.eks. de risici, der er forbundet med visse handlingslinjer, brede mønstre i trusselsaktørers taktik og mål samt geopolitiske begivenheder og tendenser.

Fælles informationskilder til strategiske efterretninger om trusler omfatter:

  • Politiske dokumenter fra nationalstater eller ikke-statslige organisationer
  • Nyheder fra lokale og nationale medier, branche- og fagspecifikke publikationer eller andre fageksperter
  • White papers, forskningsrapporter og andet indhold produceret af sikkerhedsorganisationer

Produktion af stærke strategiske trusselsoplysninger starter med at stille fokuserede, specifikke spørgsmål for at fastsætte efterretningskravene. Det kræver også analytikere med ekspertise uden for de typiske cybersikkerhedskompetencer – især en stærk forståelse af sociopolitiske og forretningsmæssige koncepter.

Selv om det endelige produkt er ikke-teknisk, kræver det at producere effektive strategiske efterretninger dybdegående forskning gennem massive mængder af data, ofte på flere sprog. Det kan gøre den indledende indsamling og behandling af data for vanskelig at udføre manuelt, selv for de sjældne analytikere, der besidder de rette sprogfærdigheder, tekniske baggrund og faglige færdigheder. En trusselsoplysningsløsning, der automatiserer dataindsamling og -behandling, hjælper med at reducere denne byrde og gør det muligt for analytikere, der ikke har så stor ekspertise, at arbejde mere effektivt.

Taktisk trusselsoplysning

Taktisk trusselsoplysning beskriver trusselsaktørernes taktik, teknikker og procedurer (TTP’er). Den skal hjælpe forsvarere med at forstå, i specifikke termer, hvordan deres organisation kan blive angrebet og de bedste måder at forsvare sig mod eller afbøde disse angreb på. Den omfatter normalt en teknisk kontekst og anvendes af personale, der er direkte involveret i forsvaret af en organisation, f.eks. systemarkitekter, administratorer og sikkerhedspersonale.

Rapporter, der udarbejdes af sikkerhedsleverandører, er ofte den nemmeste måde at få taktisk trusselsinformation på. Søg efter oplysninger i rapporterne om de angrebsvektorer, værktøjer og infrastruktur, som angriberne bruger, herunder specifikke oplysninger om, hvilke sårbarheder der er målrettet, og hvilke udnyttelser angriberne udnytter, samt hvilke strategier og værktøjer, de kan bruge til at undgå eller forsinke opdagelse.

Taktiske trusselsoplysninger bør bruges til at informere om forbedringer af eksisterende sikkerhedskontroller og -processer og fremskynde reaktion på hændelser. Fordi mange af de spørgsmål, der besvares af taktisk efterretning, er unikke for din organisation og skal besvares inden for en kort tidsfrist – f.eks. “Er denne kritiske sårbarhed, der udnyttes af trusselsaktører, der er rettet mod min branche, til stede i mine systemer?” – er det afgørende at have en trusselsoplysningsløsning, der integrerer data fra dit eget netværk.

Operational Threat Intelligence

Operational intelligence er viden om cyberangreb, -hændelser eller -kampagner. Det giver specialiseret indsigt, der hjælper beredskabsteams med at forstå arten, hensigten og timingen af specifikke angreb.

Da dette normalt omfatter tekniske oplysninger – oplysninger som f.eks. hvilken angrebsvektor der anvendes, hvilke sårbarheder der udnyttes, eller hvilke kommando- og kontroldomæner der anvendes – kaldes denne form for efterretninger også for tekniske trusselsoplysninger. En almindelig kilde til tekniske oplysninger er trusselsdata-feeds, som normalt fokuserer på en enkelt type indikator, f.eks. hashes af malware eller mistænkelige domæner.

Men hvis tekniske trusselsoplysninger strengt taget tænkes at stamme fra tekniske oplysninger som f.eks. trusselsdata-feeds, så er tekniske og operationelle trusselsoplysninger ikke helt synonyme – det ligner snarere et Venn-diagram med store overlapninger. Andre kilder til oplysninger om specifikke angreb kan komme fra lukkede kilder som f.eks. aflytning af trusselsgruppers kommunikation, enten gennem infiltration eller indbrud i disse kommunikationskanaler.

Der er derfor nogle få hindringer for indsamling af denne form for efterretninger:

  • Adgang – Trusselsgrupper kan kommunikere over private og krypterede kanaler eller kræve et vist bevis for identifikation. Der er også sprogbarrierer med trusselsgrupper, der befinder sig i fremmede lande.
  • Støj – Det kan være vanskeligt eller umuligt at indsamle gode efterretninger manuelt fra kilder med stor volumen som chatrum og sociale medier.
  • Sløring – For at undgå at blive opdaget kan trusselsgrupper anvende sløringstaktikker som f.eks. brug af kodenavne.

Threat intelligence-løsninger, der er baseret på maskinlæringsprocesser til automatiseret dataindsamling i stor skala, kan overvinde mange af disse problemer, når man forsøger at udvikle effektive operationelle trusselsoplysninger. En løsning, der anvender naturlig sprogbehandling, vil f.eks. kunne indsamle oplysninger fra fremmedsproglige kilder uden at have brug for menneskelig ekspertise til at tyde dem.

Machine Learning for Better Threat Intelligence

Databehandling finder i dag sted i en skala, der kræver automatisering for at være omfattende. Kombiner datapunkter fra mange forskellige typer kilder – herunder åbne, dark web- og tekniske kilder – for at danne det mest robuste billede muligt.

Recorded Future bruger maskinlæringsteknikker på fire måder til at forbedre dataindsamling og aggregering – til at strukturere data i kategorier, til at analysere tekst på tværs af flere sprog, til at give risikoscorer og til at generere forudsigelsesmodeller.

Til at strukturere data i enheder og begivenheder

Ontologi har at gøre med, hvordan vi deler begreber op, og hvordan vi grupperer dem sammen. Inden for datalogi repræsenterer ontologier kategorier af enheder baseret på deres navne, egenskaber og relationer til hinanden, hvilket gør det lettere at sortere dem i hierarkier af sæt. F.eks. er Boston, London og Göteborg alle forskellige enheder, som også vil falde ind under den bredere enhed “by”.

Hvis enheder repræsenterer en måde at sortere fysisk forskellige begreber på, så sorterer begivenheder begreber over tid. Registrerede fremtidige begivenheder er sproguafhængige – noget som “John besøgte Paris”, “John tog en tur til Paris”, “Джон прилетел в Париж” og “John a visité Paris” genkendes alle som den samme begivenhed.

Ontologier og begivenheder muliggør kraftfulde søgninger over kategorier, så analytikere kan fokusere på det større billede i stedet for selv at skulle sortere data manuelt.

Til at strukturere tekst på flere sprog ved hjælp af naturlig sprogbehandling

Med naturlig sprogbehandling kan entiteter og begivenheder gå videre end blot nøgleord og forvandle ustruktureret tekst fra kilder på tværs af forskellige sprog til en struktureret database.

Den maskinlæring, der driver denne proces, kan adskille reklamer fra det primære indhold, klassificere tekst i kategorier som prosa, dataloger eller kode og skelne mellem enheder med samme navn (som “Apple” virksomheden og “æble” frugten) ved hjælp af kontekstuelle ledetråde i den omgivende tekst.

Systemet kan på denne måde analysere tekst fra millioner af dokumenter dagligt på syv forskellige sprog – en opgave, som ville kræve et upraktisk stort og dygtigt hold af menneskelige analytikere at udføre. Ved at spare tid på denne måde kan it-sikkerhedsteams arbejde 32 procent mere effektivt med Recorded Future.

Til at klassificere hændelser og enheder og hjælpe menneskelige analytikere med at prioritere alarmer

Maskinindlæring og statistiske metoder bruges til yderligere at sortere enheder og hændelser efter vigtighed – f.eks. ved at tildele risikoscore til skadelige enheder.

Risikoscorer beregnes via to systemer: det ene drives af regler baseret på menneskelig intuition og erfaring, og det andet drives af maskinlæring, der er trænet på et allerede gennemgået datasæt.

Klassifikatorer som risikoscorer giver både en vurdering (“denne hændelse er kritisk”) og en kontekst, der forklarer scoren (“fordi flere kilder bekræfter, at denne IP-adresse er skadelig”).

Automatisering af, hvordan risici klassificeres, sparer analytikere tid på at sortere falske positive resultater og beslutte, hvad der skal prioriteres, hvilket hjælper it-sikkerhedsmedarbejdere, der bruger Recorded Future, med at bruge 34 procent mindre tid på at udarbejde rapporter.

Til at forudsige begivenheder og enhedsegenskaber gennem forudsigelsesmodeller

Maskinlæring kan også generere modeller, der forudsiger fremtiden, ofte langt mere præcist end nogen menneskelige analytikere, ved at trække på de dybe puljer af data, der tidligere er udvundet og kategoriseret.

Dette er en særlig stærk “lov om store tal”-applikation af maskinlæring – efterhånden som vi fortsætter med at trække på flere datakilder, vil disse forudsigelsesmodeller blive mere og mere præcise.

Threat Intelligence Use Cases

De forskellige anvendelsesmuligheder for threat intelligence gør det til en vigtig ressource for tværfaglige teams i enhver organisation. Selv om den måske er mest umiddelbart værdifuld, når den hjælper dig med at forhindre et angreb, er trusselsinformation også en nyttig del af triage, risikoanalyse, sårbarhedsstyring og omfattende beslutningstagning.

Incident Response

Sikkerhedsanalytikere med ansvar for incidentrespons rapporterer om nogle af de højeste stressniveauer i branchen, og det er ikke underligt hvorfor – antallet af cyberhændelser er steget støt i løbet af de sidste to årtier, og en stor del af de daglige advarsler viser sig at være falske positive. Når der er tale om reelle hændelser, må analytikere ofte bruge tid på at sortere data manuelt for at vurdere problemet.

Threat Intelligence reducerer presset på flere måder:

  • Automatisk identifikation og afvisning af falske positiver
  • Udvidende advarsler med kontekst i realtid, som f.eks. brugerdefinerede risikoscorer
  • Sammenligning af oplysninger fra interne og eksterne kilder

Recorded Future-brugere identificerer risici 10 gange hurtigere, end de gjorde, før de integrerede trusselsinformation i deres sikkerhedsløsninger, hvilket giver dem i gennemsnit dage mere tid til at reagere på trusler i en branche, hvor selv sekunder kan have betydning.

Sikkerhedsoperationer

De fleste teams i sikkerhedsoperationscentre (SOC) skal håndtere store mængder af alarmer, der genereres af de netværk, de overvåger. Det tager for lang tid at behandle disse advarsler, og mange af dem bliver slet ikke undersøgt. “Alarmtræthed” får analytikerne til at tage alarmer mindre alvorligt, end de burde. Trusselsinformation løser mange af disse problemer – den hjælper med at indsamle oplysninger om trusler hurtigere og mere præcist, filtrere falske alarmer fra, fremskynde triage og forenkle analysen af hændelser. Med den kan analytikerne holde op med at spilde tid på at forfølge alarmer baseret på:

  • Aktioner, der med større sandsynlighed er uskadelige end ondsindede
  • Angreb, der ikke er relevante for den pågældende virksomhed
  • Angreb, som der allerede er indført forsvar og kontrol for

Selvom at fremskynde triage kan trusselsinformation hjælpe SOC-teams med at forenkle analyse og inddæmning af hændelser. Recorded Future-brugere løser trusler 63 procent hurtigere, hvilket reducerer de kritiske timer, de bruger på afhjælpning, med mere end halvdelen.

Sårbarhedsstyring

Effektiv sårbarhedsstyring betyder at skifte fra en “patch alt, hele tiden”-tilgang – en tilgang, som ingen realistisk set nogensinde kan opnå – til at prioritere sårbarheder baseret på den faktiske risiko.

Selv om antallet af sårbarheder og trusler er steget hvert år, viser forskning, at de fleste trusler er rettet mod den samme, lille del af sårbarhederne. Trusselsaktører er også hurtigere – der går nu i gennemsnit kun femten dage, fra en ny sårbarhed annonceres, til der dukker en udnyttelse op, der er rettet mod den.

Dette har to konsekvenser:

  • Du har to uger til at patche eller afhjælpe dine systemer mod en ny udnyttelse. Hvis du ikke kan patche inden for denne tidsramme, skal du have en plan for at begrænse skaden.
  • Hvis en ny sårbarhed ikke udnyttes inden for to uger til tre måneder, er det usandsynligt, at den nogensinde bliver udnyttet – patching af den kan få lavere prioritet.

Threat Intelligence hjælper dig med at identificere de sårbarheder, der udgør en reel risiko for din organisation, og går videre end CVE-scoring ved at kombinere interne data fra sårbarhedsscanning, eksterne data og yderligere kontekst om trusselsaktørers TTP’er. Med Recorded Future identificerer brugerne 22 procent flere reelle trusler, før de har en alvorlig indvirkning.

Risikoanalyse

Risikomodellering kan være en nyttig måde for organisationer at fastsætte investeringsprioriteter på. Men mange risikomodeller lider under vage, ikke-kvantificerede output, der er hastigt udarbejdet, baseret på delvise oplysninger, baseret på ubegrundede antagelser eller er vanskelige at handle på.

Threat Intelligence giver kontekst, der hjælper risikomodeller med at foretage definerede risikomålinger og være mere gennemsigtige med hensyn til deres antagelser, variabler og resultater. Det kan hjælpe med at besvare spørgsmål som:

  • Hvilke trusselsaktører bruger dette angreb, og er de målrettet mod vores branche?
  • Hvor ofte er dette specifikke angreb for nylig blevet observeret af virksomheder som vores?
  • Er tendensen stigende eller faldende?
  • Hvilke sårbarheder udnytter dette angreb, og er disse sårbarheder til stede i vores virksomhed?
  • Hvilken form for skade, teknisk og økonomisk, har dette angreb forvoldt i virksomheder som vores?

Det at stille de rigtige spørgsmål med Recorded Futures trusselsinformation er en af måderne, hvorpå brugerne oplever en reduktion på 86 procent i uplanlagt nedetid – en enorm forskel, når selv et minuts nedetid kan koste nogle organisationer op til 9.000 dollars i tabt produktivitet og andre skader.

Fraud Prevention

For at holde din organisation sikker er det ikke nok kun at opdage og reagere på trusler, der allerede udnytter dine systemer. Du skal også forhindre svigagtig brug af dine data eller dit brand.

Threat intelligence indsamlet fra kriminelle samfund i undergrunden giver et vindue ind til trusselsaktørernes motivation, metoder og taktik, især når disse oplysninger korreleres med oplysninger fra det overfladenet, herunder tekniske feeds og indikatorer.

Brug trusselsoplysninger til at forhindre:

  • Betalingssvindel – Overvågning af kilder som kriminelle fællesskaber, pastasider og andre fora for relevante betalingskortnumre, bankidentifikationsnumre eller specifikke henvisninger til finansielle institutioner kan give tidlig varsling om kommende angreb, der kan påvirke din organisation.
  • Kompromitterede data – Cyberkriminelle uploader regelmæssigt massive cacher af brugernavne og adgangskoder til pastasider og det mørke net eller gør dem tilgængelige til salg på underjordiske markedspladser. Overvåg disse kilder med trusselsoplysninger for at holde øje med lækkede legitimationsoplysninger, virksomhedsdata eller proprietær kode.
  • Typosquatting – Få advarsler i realtid om nyregistrerede phishing- og typosquatting-domæner for at forhindre cyberkriminelle i at udgive sig for at være dit brand og snyde intetanende brugere.

Gennem at undgå flere brud med trusselsoplysninger kan Recorded Future-brugere spare over 1 million dollars pr. potentielt brud gennem skadelige bøder, straffe og tabt forbrugertillid.

Sikkerhedsledelse

CISO’er og andre sikkerhedsledere skal styre risici ved at afveje begrænsede tilgængelige ressourcer mod behovet for at sikre deres organisationer mod trusler i konstant udvikling. Trusselsinformation kan hjælpe med at kortlægge trusselslandskabet, beregne risikoen og give sikkerhedspersonalet de oplysninger og den kontekst, der skal til for at træffe bedre og hurtigere beslutninger.

I dag skal sikkerhedsledere:

  • Vurdere forretningsmæssige og tekniske risici, herunder nye trusler og “kendte ukendte”, der kan påvirke virksomheden
  • Identificere de rigtige strategier og teknologier til at mindske risiciene
  • Kommunikere arten af risiciene til den øverste ledelse og retfærdiggøre investeringer i defensive foranstaltninger

Threat Intelligence kan være en vigtig ressource for alle disse aktiviteter og give oplysninger om generelle tendenser, f.eks:

  • Hvilke typer angreb bliver mere (eller mindre) hyppige
  • Hvilke typer angreb er mest omkostningsfulde for ofrene
  • Hvilke nye typer trusselsaktører dukker op, og hvilke aktiver og virksomheder de er rettet mod
  • De sikkerhedspraksis og teknologier, der har vist sig at være de mest (eller mindst) vellykkede til at stoppe eller afbøde disse angreb

Det kan også sætte sikkerhedsgrupper i stand til at vurdere, om en ny trussel sandsynligvis vil påvirke deres specifikke virksomhed på grundlag af faktorer som f.eks:

  • Branche – Påvirker truslen andre virksomheder i vores vertikale branche?
  • Teknologi – Indebærer truslen kompromittering af software, hardware eller andre teknologier, der anvendes i vores virksomhed?
  • Geografi – Er truslen rettet mod faciliteter i regioner, hvor vi har aktiviteter?
  • Angrebsmetode – Er de metoder, der anvendes i angrebet, herunder social engineering og tekniske metoder, blevet anvendt med succes mod vores virksomhed eller lignende virksomheder?

Med disse typer af oplysninger, der er indsamlet fra et bredt sæt eksterne datakilder, får beslutningstagere på sikkerhedsområdet et holistisk overblik over cyberrisikolandskabet og de største risici for deres virksomhed.

Her er fire nøgleområder, hvor trusselsoplysninger hjælper sikkerhedsledere med at træffe beslutninger:

  • Mitigering – Trusselsoplysninger hjælper sikkerhedsledere med at prioritere de sårbarheder og svagheder, som trusselsaktører mest sandsynligt vil gå efter, hvilket giver kontekst om de TTP’er, som disse trusselsaktører bruger, og dermed de svagheder, som de har tendens til at udnytte.
  • Kommunikation – CISO’er er ofte udfordret af behovet for at beskrive trusler og retfærdiggøre modforanstaltninger i termer, der kan motivere ikke-tekniske virksomhedsledere, f.eks. omkostninger, indvirkning på kunderne, nye teknologier. Trusselsoplysninger er en effektiv ammunition til disse diskussioner, f.eks. virkningen af lignende angreb på virksomheder af samme størrelse i andre brancher eller tendenser og oplysninger fra det mørke net, der viser, at virksomheden sandsynligvis vil blive mål for disse angreb.
  • Støtte til ledere – Trusselsinformation kan give sikkerhedsledere et realtidsbillede af de seneste trusler, tendenser og begivenheder, hvilket hjælper sikkerhedsledere med at reagere på en trussel eller kommunikere den potentielle indvirkning af en ny trusselstype til virksomhedsledere og bestyrelsesmedlemmer på en rettidig og effektiv måde.
  • Manglen på sikkerhedskompetencer – CISO’er skal sikre, at it-organisationen har de menneskelige ressourcer til at udføre sin mission. Men cybersikkerheds færdighedsmanglen betyder, at det eksisterende sikkerhedspersonale ofte klarer uoverskuelige arbejdsbyrder. Trusselsinformation automatiserer nogle af de mest arbejdskrævende opgaver ved hurtigt at indsamle data og korrelere kontekst fra flere informationskilder, prioritere risici og reducere unødvendige advarsler. Kraftig trusselsinformation hjælper også juniorpersonale til hurtigt at “opkvalificere” sig og præstere over deres erfaringsniveau.

Reduktion af tredjepartsrisici

Omkring et utal af organisationer er ved at omdanne den måde, de driver forretning på, gennem digitale processer. De flytter data fra interne netværk til skyen og indsamler flere oplysninger end nogensinde før.

Det at gøre data lettere at indsamle, lagre og analysere ændrer helt sikkert mange brancher til det bedre, men denne frie strøm af information har en pris. Det betyder, at vi for at vurdere risikoen i vores egen organisation også er nødt til at overveje sikkerheden hos vores partnere, leverandører og andre tredjeparter.

Det er desværre sådan, at mange af de mest almindelige risikostyringspraksis for tredjeparter, der anvendes i dag, halter bagefter sikkerhedskravene. Statiske risikovurderinger, som f.eks. finansielle revisioner og verificeringer af sikkerhedscertifikater, er stadig vigtige, men de mangler ofte kontekst og er ikke altid rettidige. Der er behov for en løsning, der tilbyder kontekst i realtid om det faktiske trusselslandskab.

Threat Intelligence er en måde at gøre netop dette på. Det kan give gennemsigtighed i trusselsmiljøerne hos de tredjeparter, du arbejder sammen med, og give dig advarsler i realtid om trusler og ændringer i deres risici og give dig den kontekst, du har brug for til at evaluere dine relationer.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.