Digitaalinen teknologia on nykyään lähes jokaisen toimialan ytimessä. Niiden mahdollistama automatisointi ja suurempi verkottuneisuus ovat mullistaneet maailman talous- ja kulttuurilaitokset – mutta ne ovat tuoneet mukanaan myös riskin verkkohyökkäysten muodossa. Uhkatieto on tietoa, jonka avulla voit estää tai lieventää näitä hyökkäyksiä. Uhkatiedustelu perustuu tietoon, ja se tarjoaa kontekstin – esimerkiksi sen, kuka sinua vastaan hyökkää, mikä on heidän motivaationsa ja kykynsä ja mitä järjestelmissäsi olevia vaarantumisen indikaattoreita on syytä etsiä – joka auttaa sinua tekemään tietoon perustuvia päätöksiä turvallisuudestasi.
”Uhkatiedustelu on todisteisiin perustuvaa tietoa, mukaan lukien kontekstiä, mekanismeja, indikaattoreita, seurauksia ja toimintaan tähtäävää neuvontaa olemassa olevasta tai kehittyvästä uhkasta tai omaisuuseriin kohdistuvasta vaara- tai vaaratekijästä”. Tätä tiedustelutietoa voidaan käyttää päätöksenteossa, joka koskee kohteen reagointia kyseiseen uhkaan tai vaaraan.” – Gartner
Tarkempia tietoja saat tämän katsauksen kohdista ”Uhkatiedustelun elinkaari” ja ”Uhkatiedustelun tyypit”.
- Miksi uhkatiedustelu on tärkeää?
- Kuka voi hyötyä uhka-analyysistä?
- Uhkatiedustelun elinkaari
- Suunnittelu ja suuntaus
- Keräys
- Käsittely
- Analyysi
- Levittäminen
- Palaute
- Uhkatiedustelun tyypit
- Strateginen uhkatiedustelu
- Taktinen uhkatiedustelu
- Operatiivinen uhkatiedustelu
- Machine Learning for Better Threat Intelligence
- Datan jäsentämiseksi kokonaisuuksiksi ja tapahtumiksi
- Tekstin jäsentäminen useilla kielillä luonnollisen kielenkäsittelyn avulla
- Tapahtumien ja entiteettien luokitteluun, mikä auttaa ihmisanalyytikkoja priorisoimaan hälytyksiä
- Tapahtumien ja entiteettien ominaisuuksien ennustaminen ennakoivien mallien avulla
- Uhka-analyysin käyttötapaukset
- Välikohtauksiin vastaaminen
- Turvaoperaatiot
- Haavoittuvuuksien hallinta
- Riskianalyysi
- Petosten ennaltaehkäisy
- Turvallisuuden johtaminen
- Kolmansien osapuolten riskien vähentäminen
Miksi uhkatiedustelu on tärkeää?
Tänä päivänä kyberturvallisuusalalla on edessään lukemattomia haasteita: yhä sinnikkäämpiä ja juonikkaampia uhkatoimijoita, päivittäinen tietotulva, joka on täynnä epäolennaista informaatiota ja vääriä hälytyksiä useista, toisiinsa liittymättömistä tietoturvajärjestelmistä käsin ja vakava ammattilaisten puute ammattilaisista.
Jotkut organisaatiot yrittävät sisällyttää uhkatietosyötteitä verkkoonsa, mutta eivät tiedä, mitä tehdä kaikella ylimääräisellä tiedolla, mikä lisää analyytikoiden taakkaa, sillä heillä ei välttämättä ole työkaluja päättää, mitä priorisoida ja mitä jättää huomiotta.
Verkkouhkakartoitusratkaisulla voidaan puuttua jokaiseen näistä ongelmista. Parhaat ratkaisut käyttävät koneoppimista tietojen keräämisen ja käsittelyn automatisoimiseksi, integroituvat olemassa oleviin ratkaisuihin, ottavat vastaan strukturoimatonta dataa eri lähteistä ja yhdistävät sitten pisteet tarjoamalla kontekstiä IoC-indikaattoreista (Indicators of compromise) ja uhkatoimijoiden taktiikoista, tekniikoista ja menettelytavoista (TTP).
Uhka-analyysi on toimintakelpoista – se on ajantasaista, tarjoaa asiayhteyden ja sitä pystyvät ymmärtämään päätöksenteosta vastaavat henkilöt.
Kuka voi hyötyä uhka-analyysistä?
Kaikki! Kyberuhkatiedustelun kuvitellaan yleisesti olevan eliittianalyytikoiden aluetta. Todellisuudessa se tuo lisäarvoa kaikkiin turvallisuustoimintoihin kaikenkokoisissa organisaatioissa.
Kun uhkatiedusteluun suhtaudutaan erillisenä toimintona laajemmassa turvallisuusparadigmassa sen sijaan, että sitä pidettäisiin olennaisena komponenttina, joka täydentää jokaista muuta toimintoa, tuloksena on, että monilla niistä ihmisistä, jotka hyötyisivät uhkatiedustelusta eniten, ei ole pääsyä uhkatiedusteluun silloin, kun he sitä tarvitsevat.
Turvaoperaatiotiimit eivät rutiininomaisesti pysty käsittelemään saamiaan hälytyksiä – uhkatiedustelu integroituu jo käytössä oleviin tietoturvaratkaisuihin ja auttaa automaattisesti priorisoimaan ja suodattamaan hälytyksiä ja muita uhkia. Haavoittuvuuksien hallintatiimit voivat priorisoida tärkeimpiä haavoittuvuuksia tarkemmin, kun ne saavat käyttöönsä uhkatiedustelun tarjoamat ulkoiset näkemykset ja asiayhteyden. Ja petostentorjunta, riskianalyysi ja muut korkean tason turvallisuusprosessit rikastuvat uhkatiedustelun tarjoamalla ymmärryksellä nykyisestä uhkamaisemasta, mukaan lukien keskeiset tiedot uhkatoimijoista, heidän taktiikoistaan, tekniikoistaan ja menettelytavoistaan ja muusta eri puolilta verkkoa löytyvistä tietolähteistä.
Katsokaa alla olevasta käyttötapauksia käsittelevästä osiostamme, jossa tarkastellaan syvällisemmin sitä, miten kukin tietoturva-rooli voi hyötyä uhkatiedustelusta.
Uhkatiedustelun elinkaari
Miten siis tuotetaan kybertoiminnan uhkakuvatiedustelu? Raakadata ei ole sama asia kuin tiedustelu – kyberuhkatiedustelu on lopputuote, joka syntyy kuusiosaisen tiedonkeruu-, käsittely- ja analysointisyklin tuloksena. Prosessi on sykli, koska tiedustelutiedon kehittämisen aikana tunnistetaan uusia kysymyksiä ja tietopuutteita, joiden perusteella asetetaan uusia tiedonkeruuvaatimuksia. Tehokas tiedusteluohjelma on iteratiivinen, ja se tarkentuu ajan myötä.
Jotta tuottamastasi uhkatiedustelusta saataisiin mahdollisimman paljon arvoa, on ratkaisevan tärkeää, että tunnistat käyttötapauksesi ja määrittelet tavoitteesi ennen kuin teet mitään muuta.
Suunnittelu ja suuntaus
Ensimmäinen askel käyttökelpoisen uhkatiedon tuottamiseen on oikeiden kysymysten esittäminen.
Kysymykset, jotka parhaiten ohjaavat käyttökelpoisen uhkatiedon luomista, keskittyvät yksittäiseen tosiasiaan, tapahtumaan tai toimintoon – laajoja, avoimia kysymyksiä on yleensä vältettävä.
Priorisoi tiedustelutavoitteesi sellaisten tekijöiden perusteella, kuten kuinka läheisesti ne vastaavat organisaatiosi keskeisiä arvoja, kuinka suuri vaikutus tuloksena syntyvällä päätöksellä on ja kuinka ajallisesti herkkä päätös on.
Yksi tärkeäksi ohjaavaksi tekijäksi tässä vaiheessa on sen ymmärtäminen, kuka lopputuotteen kuluttaa ja hyötyy siitä – menevätkö tiedustelutiedot teknisen asiantuntemuksen omaavalle analyytikkoryhmälle, joka tarvitsee nopean raportin uudesta hyväksikäytöstä, vai johtajalle, joka kaipaa laajaa katsausta trendeihin tietoturvainvestointeja koskevien päätösten tekemiseksi seuraavalla vuosineljänneksellä?
Keräys
Seuraavaksi kerätään raakadataa, joka täyttää ensimmäisessä vaiheessa asetetut vaatimukset. Tietoa kannattaa kerätä monista eri lähteistä – sisäisistä, kuten verkkotapahtumalokeista ja aiempien vaaratilanteiden vastausten tallenteista, ja ulkoisista, avoimesta verkosta, pimeästä verkosta ja teknisistä lähteistä.
Uhkailutieto ajatellaan yleensä IoC-luetteloiksi, kuten haitallisiksi luokitelluiksi IP-osoitteiksi, verkkotunnuksiksi ja tiedostojen hasheiksi.
Ohkailutieto voi kuitenkin sisältää myös haavoittuvuustietoja, kuten asiakkaiden henkilökohtaisia tietoja, raakakoodia liimattujen sivustojen sivuilta ja tekstiä uutislähteistä tai sosiaalisesta mediasta.
Käsittely
Kun kaikki raakadata on kerätty, se on lajiteltava, järjestettävä metatietotunnisteilla ja suodatettava pois tarpeeton tieto tai väärät positiiviset ja negatiiviset tulokset.
Tänä päivänä pienetkin organisaatiot keräävät päivittäin miljoonien lokitapahtumien ja satojentuhansien indikaattoreiden suuruusluokkaa olevaa tietoa. Se on liikaa ihmisanalyytikoille, jotta he voisivat käsitellä sitä tehokkaasti – tiedonkeruu ja -käsittely on automatisoitava, jotta siitä alkaisi saada mitään tolkkua.
SIEM:ien kaltaiset ratkaisut ovat hyvä paikka aloittaa, koska niillä on suhteellisen helppo jäsentää dataa korrelaatiosäännöillä, jotka voidaan määrittää muutamiin eri käyttötapauksiin, mutta ne pystyvät käsittelemään vain rajallisen määrän tietotyyppejä.
Jos keräät jäsentymätöntä dataa monista eri sisäisistä ja ulkoisista lähteistä, tarvitset kestävämmän ratkaisun. Recorded Future käyttää koneoppimista ja luonnollisen kielen käsittelyä jäsentämään tekstiä miljoonista jäsentymättömistä asiakirjoista seitsemällä eri kielellä ja luokittelemaan ne kieliriippumattomien ontologioiden ja tapahtumien avulla, jolloin analyytikot voivat tehdä tehokkaita ja intuitiivisia hakuja, jotka menevät pelkkiä avainsanoja ja yksinkertaisia korrelaatiosääntöjä pidemmälle.
Analyysi
Seuraavana askeleena käsitellyn datan ymmärtäminen. Analyysin tavoitteena on etsiä mahdollisia tietoturvaongelmia ja ilmoittaa niistä asianomaisille tiimeille sellaisessa muodossa, joka täyttää suunnittelu- ja ohjausvaiheessa hahmotellut tiedusteluvaatimukset.
Uhka-analyysin muodot voivat olla moninaisia riippuen alkuperäisistä tavoitteista ja aiotusta kohderyhmästä, mutta ideana on saada tiedot sellaiseen muotoon, että kohderyhmä ymmärtää ne. Tämä voi vaihdella yksinkertaisista uhkaluetteloista vertaisarvioituihin raportteihin.
Levittäminen
Valmis tuote jaetaan sitten aiotuille kuluttajille. Jotta uhkatiedustelutieto olisi käyttökelpoista, se on saatava oikeille henkilöille oikeaan aikaan.
Tietoa on myös seurattava, jotta tiedustelusyklien välillä on jatkuvuutta ja jotta oppimista ei menetetä. Käytä tikettijärjestelmiä, jotka integroituvat muihin turvallisuusjärjestelmiin, jotta voit seurata tiedustelusyklin jokaista vaihetta – joka kerta, kun uusi tiedustelupyyntö tulee esiin, tikettejä voidaan lähettää, kirjoittaa, tarkistaa ja täyttää useiden ihmisten toimesta eri tiimeissä yhdessä paikassa.
Palaute
Viimeisessä vaiheessa tiedustelusykli sulkeutuu ympyrään, jolloin se liittyy läheisesti alkuperäiseen suunnittelu- ja ohjausvaiheeseen. Saatuaan valmiin tiedustelutuotteen se, joka esitti alkuperäisen pyynnön, tarkastelee sitä ja määrittää, onko hänen kysymyksiinsä vastattu. Tämä ohjaa seuraavan tiedustelusyklin tavoitteita ja menettelyjä, jolloin dokumentointi ja jatkuvuus ovat jälleen olennaisen tärkeitä.
Uhkatiedustelun tyypit
Kuten uhkatiedustelun elinkaari osoittaa, lopputuote näyttää erilaiselta riippuen alkuperäisistä tiedusteluvaatimuksista, tietolähteistä ja kohderyhmästä. Voi olla hyödyllistä jakaa uhkatiedustelu muutamaan luokkaan näiden kriteerien perusteella.
Uhkatiedustelu jaetaan usein kolmeen alaluokkaan:
- Strateginen – Laajemmat suuntaukset, jotka on tyypillisesti tarkoitettu ei-tekniselle yleisölle
- Taktinen – Uhkatoimijoiden taktiikoiden, tekniikoiden ja menettelytapojen hahmotelmat teknisemmälle yleisölle
- Operatiivinen – Tekniset yksityiskohdat tietyistä hyökkäyksistä ja kampanjoista
Strateginen uhkatiedustelu
Strateginen uhkatiedustelu tarjoaa laajan yleiskatsauksen organisaation uhkakuvasta. Se on tarkoitettu tiedottamaan organisaation johtajien ja muiden päätöksentekijöiden korkean tason päätöksistä – siksi sen sisältö on yleensä vähemmän teknistä ja se esitetään raporttien tai tiedotteiden muodossa. Hyvän strategisen tiedustelutiedon pitäisi tarjota tietoa esimerkiksi tiettyihin toimintalinjoihin liittyvistä riskeistä, uhkatoimijoiden taktiikoiden ja kohteiden laajoista malleista sekä geopoliittisista tapahtumista ja suuntauksista.
Strategisen uhkatiedustelun yleisiä tietolähteitä ovat muun muassa:
- Kansallisvaltioiden tai valtiosta riippumattomien järjestöjen poliittiset asiakirjat
- Uutiset paikallisista ja kansallisista tiedotusvälineistä, toimiala- ja aihepiirikohtaisista julkaisuista tai muilta alan asiantuntijoilta
- White papers, tutkimusraportit ja muu turvallisuusorganisaatioiden tuottama sisältö
Vahvan strategisen uhkatiedustelun tuottaminen lähtee liikkeelle kohdennetuista, tarkoin määritellyistä tiedustelutiedustelun tarpeiden asettamista koskevista kysymyksistä. Siihen tarvitaan myös analyytikkoja, joilla on tyypillisten kyberturvallisuustaitojen ulkopuolista asiantuntemusta – erityisesti vahvaa ymmärrystä yhteiskuntapoliittisista ja liiketoiminnallisista käsitteistä.
Vaikka lopputuote ei ole tekninen, tehokkaan strategisen tiedustelutiedustelun tuottaminen edellyttää syvällistä tutkimusta valtavista tietomääristä, usein useilla eri kielillä. Tämä voi tehdä tietojen alkuperäisestä keräämisestä ja käsittelystä liian vaikeaa manuaalisesti, jopa niille harvinaisille analyytikoille, joilla on oikea kielitaito, tekninen tausta ja ammattitaito. Uhkatiedusteluratkaisu, joka automatisoi tiedonkeruun ja -käsittelyn, auttaa vähentämään tätä taakkaa ja antaa analyytikoille, joilla ei ole yhtä paljon asiantuntemusta, mahdollisuuden työskennellä tehokkaammin.
Taktinen uhkatiedustelu
Taktisessa uhkatiedustelussa hahmotellaan uhkatoimijoiden taktiikat, tekniikat ja menettelytavat (TTP). Sen pitäisi auttaa puolustajia ymmärtämään konkreettisesti, miten heidän organisaatiotaan vastaan saatetaan hyökätä ja mitkä ovat parhaat tavat puolustautua näitä hyökkäyksiä vastaan tai lieventää niitä. Se sisältää yleensä teknisen kontekstin, ja sitä käyttää organisaation puolustamiseen suoraan osallistuva henkilöstö, kuten järjestelmäarkkitehdit, järjestelmänvalvojat ja turvallisuushenkilöstö.
Turvatoimittajien tuottamat raportit ovat usein helpoin tapa saada taktisia uhkatietoja. Etsi raporteista tietoa hyökkääjien käyttämistä hyökkäysvektoreista, työkaluista ja infrastruktuurista, mukaan lukien tarkat tiedot siitä, mihin haavoittuvuuksiin hyökkääjät kohdistuvat ja mitä hyväksikäyttötapoja he käyttävät, sekä mitä strategioita ja työkaluja he saattavat käyttää välttääkseen tai viivyttääkseen havaitsemista.
Taktisia uhkatietoja tulisi käyttää nykyisten tietoturvavalvontakeinojen ja -prosessien parantamiseen ja vaaratilanteisiin reagoimisen nopeuttamiseen. Koska monet taktisen uhkatiedustelun avulla vastattavista kysymyksistä ovat ainutlaatuisia organisaatiollesi ja niihin on vastattava lyhyessä ajassa – esimerkiksi: ”Onko järjestelmissäni tätä kriittistä haavoittuvuutta, jota toimialaani kohdistuvat uhkatoimijat käyttävät hyväkseen?”. – on ratkaisevan tärkeää, että käytössä on uhkatiedusteluratkaisu, joka integroi tietoja omasta verkostostasi.
Operatiivinen uhkatiedustelu
Operatiivinen tiedustelu on tietoa tietoverkkohyökkäyksistä, tapahtumista tai kampanjoista. Se antaa erikoistunutta tietoa, joka auttaa vaaratilanteiden torjuntaryhmiä ymmärtämään tiettyjen hyökkäysten luonteen, aikomuksen ja ajoituksen.
Koska tämä sisältää yleensä teknistä tietoa – tietoa esimerkiksi siitä, mitä hyökkäysvektoria käytetään, mitä haavoittuvuuksia hyödynnetään tai mitä komento- ja valvontatoimialueita käytetään – tämäntyyppistä tiedustelutietoa kutsutaan myös tekniseksi uhkatiedusteluksi. Yleinen teknisen tiedon lähde on uhkatietosyötteet, joissa keskitytään yleensä yhteen indikaattorityyppiin, kuten haittaohjelmien hasheihin tai epäilyttäviin verkkotunnuksiin.
Mutta jos teknisen uhkatiedustelun ajatellaan olevan peräisin teknisestä tiedosta, kuten uhkatietosyötteiden kaltaisista tiedoista, tekninen ja operatiivinen uhkatiedustelu eivät ole täysin synonyymejä – ne muistuttavat pikemminkin Vennin kaaviota, jossa on suuria päällekkäisyyksiä. Muut tietolähteet yksittäisistä hyökkäyksistä voivat olla peräisin suljetuista lähteistä, kuten uhkaryhmien viestinnän kuuntelusta, joko soluttautumalla tai murtautumalla kyseisiin viestintäkanaviin.
Siten tämänkaltaisen tiedustelutiedon keräämiseen liittyy muutamia esteitä:
- Pääsy – Uhkaryhmät saattavat viestiä yksityisten ja salattujen kanavien välityksellä tai vaatia jonkinlaista todistusaineistoa henkilöllisyydestä. Ulkomailla sijaitsevien uhkaryhmien kohdalla on myös kielellisiä esteitä.
- Kohina – Hyvän tiedustelutiedon kerääminen manuaalisesti suurista tietolähteistä, kuten keskustelupalstoilta ja sosiaalisesta mediasta, voi olla vaikeaa tai mahdotonta.
- Hämäys – Välttääkseen havainnointia uhkaryhmät saattavat käyttää hämäystaktiikoita, kuten koodinimien käyttämistä.
Uhka-analyysi- ja tiedusteluratkaisut, jotka tukeutuvat koneelliseen oppimiseen perustuviin prosesseihin, joiden avulla voidaan automatisoidusti kerätä tietoja laajassa mittakaavassa, voivat voittaa monet näistä ongelmista, kun yritetään kehitellä tehokasta uhka-analyysiä. Esimerkiksi luonnollisen kielen käsittelyä käyttävä ratkaisu pystyy keräämään tietoa vieraskielisistä lähteistä ilman, että sen tulkitseminen vaatii ihmisen asiantuntemusta.
Machine Learning for Better Threat Intelligence
Tiedonkäsittely tapahtuu nykyään sellaisessa mittakaavassa, että kokonaisvaltainen tietojenkäsittely edellyttää automaatiota. Monista erityyppisistä lähteistä – kuten avoimista, pimeästä verkosta ja teknisistä lähteistä – peräisin olevien datapisteiden yhdistäminen muodostaa mahdollisimman vankan kuvan.
Recorded Future käyttää koneoppimistekniikoita neljällä tavalla tietojen keräämisen ja yhdistämisen tehostamiseksi – tietojen jäsentämiseksi luokkiin, tekstin analysoimiseksi useilla kielillä, riskipisteytysten tuottamiseksi ja ennakoivien mallien luomiseksi.
Datan jäsentämiseksi kokonaisuuksiksi ja tapahtumiksi
Ontologialla on tekemistä sen kanssa, miten jaottelemme käsitteitä osiinsa ja ryhmittelemmekin niitä. Tietotieteessä ontologiat edustavat entiteettien luokkia, jotka perustuvat niiden nimiin, ominaisuuksiin ja suhteisiin toisiinsa, jolloin niitä on helpompi lajitella hierarkkisiin joukkoihin. Esimerkiksi Boston, Lontoo ja Göteborg ovat kaikki erillisiä entiteettejä, jotka kuuluvat myös laajemman ”kaupunki”-entiteetin alle.
Jos entiteetit edustavat tapaa lajitella fyysisesti erillisiä käsitteitä, tapahtumat lajittelevat käsitteitä ajan kuluessa. Tallennetut Future-tapahtumat ovat kielestä riippumattomia – esimerkiksi ”John kävi Pariisissa”, ”John teki matkan Pariisiin”, ”John прилетел in Paris” ja ”John a visité Paris” tunnistetaan kaikki samaksi tapahtumaksi.
Ontologiat ja tapahtumat mahdollistavat tehokkaan haun kategorioiden yli, jolloin analyytikot voivat keskittyä laajempaan kokonaiskuvaan sen sijaan, että heidän tarvitsisi itse lajitella tietoja käsin.
Tekstin jäsentäminen useilla kielillä luonnollisen kielenkäsittelyn avulla
Luonnollisen kielenkäsittelyn avulla entiteetit ja tapahtumat pystyvät menemään pelkkiä avainsanoja pidemmälle ja muuttamaan eri kielisistä lähteistä peräisin olevan jäsentymättömän tekstin jäsennellyksi tietokannaksi.
Tämän prosessin taustalla oleva koneoppiminen pystyy erottamaan mainonnan ensisijaisesta sisällöstä, luokittelemaan tekstin luokkiin, kuten proosaan, tietolokeihin tai koodiin, ja erottelemaan samannimisiä entiteettejä toisistaan (kuten yritys ”Apple” ja hedelmä ”omena”) käyttämällä ympäröivässä tekstissä olevia asiayhteyteen liittyviä vihjeitä.
Siten järjestelmä pystyy analysoimaan tekstiä miljoonista asiakirjoista päivittäin seitsemällä eri kielellä – tehtävään, jonka suorittaminen vaatisi epäkäytännöllisen suuren ja ammattitaitoisen ihmisanalyytikkoryhmän tekemää. Tällainen ajansäästö auttaa tietoturvatiimejä työskentelemään 32 prosenttia tehokkaammin Recorded Futuren avulla.
Tapahtumien ja entiteettien luokitteluun, mikä auttaa ihmisanalyytikkoja priorisoimaan hälytyksiä
Koneellista oppimista ja tilastollisia menetelmiä käytetään entiteettien ja tapahtumien lajitteluun edelleen tärkeyden mukaan – esimerkiksi antamalla riskipisteitä haitallisille entiteeteille.
Riskipisteet lasketaan kahdella järjestelmällä: toinen perustuu inhimilliseen intuitioon ja kokemukseen perustuviin sääntöihin ja toinen koneoppimiseen, joka on koulutettu jo tarkistettuun tietokokonaisuuteen.
Riskipisteiden kaltaiset luokittelijat antavat sekä arvion (”tämä tapahtuma on kriittinen”) että kontekstin, joka selittää pistemäärän (”koska useat lähteet vahvistavat, että tämä IP-osoite on haitallinen”).
Riskien luokittelun automatisointi säästää analyytikoiden aikaa väärien positiivisten tulosten lajitteluun ja sen päättämiseen, mitä priorisoidaan, ja auttaa Recorded Futurea käyttävää tietoturvahenkilöstöä käyttämään 34 prosenttia vähemmän aikaa raporttien laatimiseen.
Tapahtumien ja entiteettien ominaisuuksien ennustaminen ennakoivien mallien avulla
Koneellinen oppiminen voi myös luoda malleja, jotka ennustavat tulevaisuutta, usein paljon tarkemmin kuin yksikään ihmisanalyytikko, hyödyntämällä syviä tietovarantoja, jotka on aiemmin louhittu ja kategorisoitu.
Tämä on erityisen vahva koneoppimisen ”suurten lukujen laki” -sovellus – kun jatkossakin hyödynnämme yhä useampia tietolähteitä, näistä ennustemalleista tulee yhä tarkempia.
Uhka-analyysin käyttötapaukset
Uhka-analyysin moninaiset käyttötapaukset tekevät uhka-analyysistä olennaisen tärkeän resurssin minkä tahansa organisaation poikkihallinnollisille ryhmille. Vaikka uhkatiedustelu on ehkä välittömimmin arvokasta silloin, kun sen avulla voidaan ehkäistä hyökkäys, se on myös hyödyllinen osa triagea, riskianalyysiä, haavoittuvuuksien hallintaa ja laaja-alaista päätöksentekoa.
Välikohtauksiin vastaaminen
Välikohtauksiin vastaamisesta vastaavat tietoturva-analyytikot raportoivat, että heillä on alan korkeimpia stressaantuneisuustasoja, eikä ole mikään ihme, että näin on – tietoverkko-onnettomuuksien määrä on noussut jatkuvasti viimeisten kahdenkymmenen vuoden aikana, eikä ole mikään ihme, että päivittäisistä varoitusilmoituksista suuri osa on vääränlaista hälytystä. Todellisia vaaratilanteita käsitellessään analyytikot joutuvat usein käyttämään aikaa vaivalloiseen tietojen manuaaliseen lajitteluun ongelman arvioimiseksi.
Uhka-analyysit vähentävät painetta monin tavoin:
- Väärien positiivisten ilmiöiden automaattinen tunnistaminen ja hylkääminen
- Hälytysten rikastaminen reaaliaikaisella asiayhteydellä, kuten mukautetuilla riskipisteytyksillä
- Sisäisistä ja ulkoisista lähteistä saatujen tietojen vertailu
Recorded Future -käyttäjät tunnistavat riskejä kymmenkertaisesti nopeammin kuin ennen uhka-analytiikan integroimista tietoturvaratkaisuihinsa, mikä antaa heille keskimäärin päiviä enemmän aikaa vastata uhkiin toimialalla, jolla sekunneillakin voi olla merkitystä.
Turvaoperaatiot
Useimpien tietoturvaoperaatiokeskusten (SOC) tiimien on käsiteltävä valtavia määriä hälytyksiä, joita niiden valvomat verkot tuottavat. Näiden hälytysten käsittely vie liian kauan, ja monia niistä ei tutkita lainkaan. ”Hälytysväsymys” saa analyytikot suhtautumaan hälytyksiin vähemmän vakavasti kuin pitäisi. Uhkatiedustelu ratkaisee monia näistä ongelmista – se auttaa keräämään tietoa uhkista nopeammin ja tarkemmin, suodattamaan väärät hälytykset pois, nopeuttamaan käsittelyä ja yksinkertaistamaan vaaratilanteiden analysointia. Sen avulla analyytikot voivat lakata tuhlaamasta aikaa hälytyksiin, jotka perustuvat:
- Toimintoihin, jotka ovat todennäköisemmin harmittomia kuin haitallisia
- Hyökkäyksiin, jotka eivät ole merkityksellisiä kyseiselle yritykselle
- Hyökkäyksiin, joita varten on jo olemassa suojaukset ja kontrollit
Uhka-analytiikan lisäksi uhka-analytiikka voi auttaa SOC-tiimejä yksinkertaistamaan vaaratilanteiden analyysiä ja rajoittamista. Recorded Future -käyttäjät ratkaisevat uhkia 63 prosenttia nopeammin, mikä vähentää heidän korjaamiseen käyttämiään kriittisiä tunteja yli puoleen.
Haavoittuvuuksien hallinta
Tehokas haavoittuvuuksien hallinta tarkoittaa siirtymistä ”korjaa aina kaikki” -lähestymistavasta – jota kukaan ei voi realistisesti koskaan saavuttaa – haavoittuvuuksien asettamiseen tärkeysjärjestykseen todellisen riskin perusteella.
Vaavoittuvuuksien ja uhkien määrä on kasvanut vuosi vuodelta, mutta tutkimukset osoittavat, että suurin osa uhkakuvista kohdistuu samoihin haavoittuvuuskohteisiin ja niiden pieneen osaan. Uhkatoimijat ovat myös nopeampia – uuden haavoittuvuuden julkistamisen ja siihen kohdistuvan hyväksikäytön ilmestymisen välillä kuluu nykyään keskimäärin vain viisitoista päivää.
Tällä on kaksi vaikutusta:
- Sinulla on kaksi viikkoa aikaa paikata tai korjata järjestelmäsi uutta hyväksikäyttöä vastaan. Jos et pysty korjaamaan sitä tuossa ajassa, sinulla on oltava suunnitelma vahinkojen lieventämiseksi.
- Jos uutta haavoittuvuutta ei hyödynnetä kahdesta viikosta kolmeen kuukauteen, sitä ei todennäköisesti koskaan hyödynnetä – sen korjaaminen voi olla vähemmän tärkeää.
Uhka-analyysi auttaa tunnistamaan haavoittuvuudet, jotka muodostavat todellisen riskin organisaatiollesi, ja se menee CVE-pisteytystä pidemmälle, sillä se yhdistää sisäiset haavoittuvuusskannaus-tiedot, ulkoiset tiedot ja uhkailijatahoja koskevan TTP:n lisäkontekstin. Recorded Futuren avulla käyttäjät tunnistavat 22 prosenttia enemmän todellisia uhkia ennen kuin niillä on vakavia vaikutuksia.
Riskianalyysi
Riskien mallintaminen voi olla organisaatioille hyödyllinen tapa asettaa investointien painopisteet. Monet riskimallit kärsivät kuitenkin epämääräisistä, kvantifioimattomista tuotoksista, jotka on laadittu hätäisesti, jotka perustuvat osittaisiin tietoihin, jotka perustuvat perusteettomiin oletuksiin tai joiden perusteella on vaikea ryhtyä toimenpiteisiin.
Uhka-analyysit tarjoavat kontekstin, jonka avulla riskimallit pystyvät tekemään määriteltyjä riskimittauksia ja olemaan läpinäkyvämpiä olettamustensa, muuttujiensa ja lopputulostensa suhteen. Se voi auttaa vastaamaan esimerkiksi seuraaviin kysymyksiin:
- Minkälaiset uhkatoimijat käyttävät tätä hyökkäystä, ja kohdistuuko se meidän toimialallemme?
- Miten usein tätä tiettyä hyökkäystä on viime aikoina havaittu meidän kaltaisissamme yrityksissä?
- Onko suuntaus nouseva vai laskeva?
- Mitä haavoittuvuuksia tämä hyökkäys käyttää hyväkseen, ja esiintyykö kyseisiä haavoittuvuuksia yrityksessämme?
- Millaista teknistä ja taloudellista vahinkoa tämä hyökkäys on aiheuttanut kaltaisissamme yrityksissä?
Oikeiden kysymysten esittäminen Recorded Futuren uhkatiedustelun avulla on yksi niistä tavoista, joilla käyttäjät näkevät suunnittelemattomien seisokkiaikojen vähenevän 86 prosenttia – valtava ero, kun jopa minuutin seisokkiaika voi maksaa joillekin organisaatioille jopa 9000 dollaria menetettynä tuottavuutena ja muina vahinkoina.
Petosten ennaltaehkäisy
Organisaatiosi turvaamiseksi ei riitä, että vain havaitset järjestelmiäsi hyväksikäyttävät uhat ja reagoit niihin. Sinun on myös estettävä tietojesi tai tuotemerkkisi vilpillinen käyttö.
Alamaailman rikollisyhteisöistä kerätty uhkatiedustelu tarjoaa ikkunan uhkatoimijoiden motiiveihin, menetelmiin ja taktiikoihin, erityisesti silloin, kun tämä tiedustelu suhteutetaan pintaverkon tietoihin, mukaan lukien tekniset syötteet ja indikaattorit.
Hyödynnä uhkatiedustelua ehkäistäksesi:
- Maksupetokset – Lähteiden, kuten rikollisyhteisöjen, paste-sivustojen ja muiden foorumien, seuraaminen asiaankuuluvien maksukorttinumeroiden, pankkitunnisten numeroiden tai erityisten viittausten löytämiseksi rahoituslaitoksiin voi antaa ennakkovaroituksen tulevista hyökkäyksistä, jotka saattavat vaikuttaa organisaatioonne.
- Tietojen tietoturvaloukkaukset – Tietoverkkorikolliset tallentavat säännöllisesti massiivisia välimuistitietokantoja, joissa on käyttäjätunnuksia ja salasanoja, pastesivustoille ja pimeään verkkoon, tai asettavat ne myyntiin maanalaisilla markkinapaikoilla. Seuraa näitä lähteitä uhkatiedustelun avulla ja varo vuotavia tunnistetietoja, yritystietoja tai omaa koodia.
- Typosquatting – Saat reaaliaikaisia hälytyksiä äskettäin rekisteröidyistä phishing- ja typosquatting-verkkotunnuksista, jotta verkkorikolliset eivät voi esiintyä tuotemerkkinäsi ja huijata pahaa-aavistamattomia käyttäjiä.
Välttämällä useampia tietoturvaloukkauksia uhkatiedustelun avulla Recorded Future -käyttäjät pystyvät säästämään yli miljoona dollaria mahdollista tietoturvaloukkausta kohden vahingollisten sakkojen, rangaistusten ja kuluttajien luottamuksen menettämisen kautta.
Turvallisuuden johtaminen
CISO:iden ja muiden tietoturvajohtajien on hallittava riskejä tasapainoilemalla rajallisten resurssien välillä ja turvaamalla organisaationsa jatkuvasti kehittyviltä uhkilta. Uhkatiedustelu voi auttaa kartoittamaan uhkakuvaa, laskemaan riskejä ja antamaan turvallisuushenkilöstölle tietoa ja kontekstia parempien ja nopeampien päätösten tekemiseen.
Tänä päivänä turvallisuusjohtajien on:
- Arvioida liiketoiminnallisia ja teknisiä riskejä, mukaan lukien uudet uhat ja ”tunnetut tuntemattomat”, jotka voivat vaikuttaa liiketoimintaan
- Tunnistaa oikeat strategiat ja teknologiat riskien vähentämiseksi
- Viestittää riskien luonne ylimmälle johdolle ja perustella investoinnit puolustuskeinoihin
Uhka-analytiikka voi olla kriittinen resurssi kaikissa näissä toiminnoissa, sillä se tarjoaa tietoa yleisistä trendeistä, kuten:
- Minkä tyyppiset hyökkäykset ovat yleistymässä (tai vähenemässä)
- Minkä tyyppiset hyökkäykset ovat uhreille kalleimpia
- Minkälaisia uudenlaisia uhkatoimijoita on tulossa esiin, ja mihin omaisuuseriin ja yrityksiin ne kohdistuvat
- mitkä tietoturvakäytännöt ja -teknologiat ovat osoittautuneet menestyksekkäimmiksi (tai vähiten menestyksekkäiksi) näiden hyökkäysten pysäyttämisessä tai lieventämisessä
Sen avulla tietoturvaryhmät pystyvät myös arvioimaan, vaikuttaako kehittyvä uhka todennäköisesti heidän tiettyyn yritykseensä esimerkiksi seuraavien tekijöiden perusteella:
- Toimiala – Vaikuttaako uhka muihin vertikaalimme yrityksiin?
- Teknologia – Koskeeko uhka ohjelmistojen, laitteistojen tai muiden yrityksessämme käytettävien teknologioiden vaarantamista?
- Maantiede – Kohdistuuko uhka laitoksiin alueilla, joilla meillä on toimintaa?
- Hyökkäysmenetelmä – Onko hyökkäyksessä käytettyjä menetelmiä, mukaan lukien sosiaalinen manipulointi ja tekniset menetelmät, käytetty menestyksekkäästi yritystämme tai samankaltaisia yrityksiä vastaan?
Tämäntyyppisillä tiedustelutiedoilla, jotka on kerätty laajasta joukosta ulkoisia tietolähteitä, tietoturvapäättäjät saavat kokonaisvaltaisen näkemyksen tietoverkkoriskien maisemasta ja yritykseensä kohdistuvasta suurimmasta riskistä.
Tässä on neljä keskeistä aluetta, joilla uhkatiedustelu auttaa tietoturvajohtajia tekemään päätöksiä:
- Mitigointi – Uhkatiedustelu auttaa tietoturvajohtajia priorisoimaan haavoittuvuudet ja heikkoudet, joihin uhkatekijät todennäköisimmin kohdistuvat, ja antaa kontekstia uhkatekijöiden käyttämille TTP:ille ja siten heikkouksille, joita he pyrkivät hyödyntämään.
- Viestintä – CISO:iden haasteena on usein tarve kuvata uhkia ja perustella vastatoimia sellaisilla termeillä, jotka motivoivat ei-teknisiä yritysjohtajia, kuten kustannukset, vaikutus asiakkaisiin ja uudet teknologiat. Uhkatiedustelu tarjoaa tehokkaita ammuksia näihin keskusteluihin, kuten samankokoisiin yrityksiin kohdistuneiden samankaltaisten hyökkäysten vaikutukset muilla toimialoilla tai pimeästä verkosta saadut suuntaukset ja tiedustelutiedot, jotka viittaavat siihen, että yritys on todennäköisesti kohteena.
- Johtajien tukeminen – Uhkatiedustelu voi antaa turvallisuusjohtajille reaaliaikaisen kuvan viimeisimmistä uhkista, trendeistä ja tapahtumista, mikä auttaa turvallisuusjohtajia reagoimaan uhkaan tai tiedottamaan uuden uhkatyypin mahdollisista vaikutuksista yritysjohtajille ja hallituksen jäsenille oikea-aikaisesti ja tehokkaasti.
- Tietoturvan osaamisvaje – CISO:iden on huolehdittava siitä, että tietotekniikkaorganisaatiolla on henkilöstöresurssit, jotka mahdollistavat sen tehtävän suorittamisen. Kyberturvallisuuden osaamisvaje tarkoittaa kuitenkin sitä, että nykyinen tietoturvahenkilöstö joutuu usein selviytymään hallitsemattomasta työmäärästä. Uhkatiedustelu automatisoi joitakin kaikkein työläimpiä tehtäviä, kerää nopeasti tietoja ja korreloi kontekstia useista tiedustelulähteistä, priorisoi riskejä ja vähentää tarpeettomia hälytyksiä. Tehokas uhkatiedustelu auttaa myös nuorempaa henkilöstöä nopeasti ”kouluttautumaan” ja suoriutumaan kokemustasonsa yläpuolella.
Kolmansien osapuolten riskien vähentäminen
Lukemattomat organisaatiot ovat muuttamassa liiketoimintaansa digitaalisten prosessien avulla. Ne siirtävät tietoja sisäisistä verkoista pilveen ja keräävät enemmän tietoa kuin koskaan ennen.
Datan keräämisen, tallentamisen ja analysoinnin helpottaminen muuttaa varmasti monia toimialoja parempaan suuntaan, mutta tällä vapaalla tiedonkululla on hintansa. Se tarkoittaa, että oman organisaatiomme riskien arvioimiseksi meidän on otettava huomioon myös yhteistyökumppaneidemme, toimittajiemme ja muiden kolmansien osapuolten turvallisuus.
Valitettavasti monet nykyisin käytetyistä yleisimmistä kolmansien osapuolten riskienhallintakäytännöistä jäävät jälkeen turvallisuusvaatimuksista. Staattiset riskinarvioinnit, kuten taloudelliset tarkastukset ja turvallisuustodistusten tarkistukset, ovat edelleen tärkeitä, mutta niistä puuttuu usein asiayhteys, eivätkä ne ole aina ajantasaisia. Tarvitaan ratkaisu, joka tarjoaa reaaliaikaista kontekstia todellisesta uhkakuvasta.
Uhka-analyysi on yksi tapa tehdä juuri näin. Se voi tarjota läpinäkyvyyttä niiden kolmansien osapuolten uhkaympäristöihin, joiden kanssa teet yhteistyötä, tarjota reaaliaikaisia hälytyksiä uhkista ja niiden riskien muutoksista ja antaa sinulle kontekstin, jota tarvitset suhteidesi arvioimiseksi.