By Leave a Comment on Mi az a Threat Intelligence?

A digitális technológiák napjainkban szinte minden iparág középpontjában állnak. Az általuk lehetővé tett automatizálás és a nagyobb összekapcsoltság forradalmasította a világ gazdasági és kulturális intézményeit – de kibertámadások formájában kockázatot is jelentenek. A fenyegetettségi intelligencia olyan tudás, amely lehetővé teszi e támadások megelőzését vagy mérséklését. Az adatokban gyökerező fenyegetési intelligencia kontextust biztosít – például azt, hogy ki támadja Önt, milyen motivációval és képességekkel rendelkezik, és milyen veszélyeztetettségi jeleket kell keresnie a rendszereiben -, ami segít Önnek megalapozott döntéseket hozni a biztonságával kapcsolatban.

“A fenyegetési intelligencia bizonyítékokon alapuló tudás, beleértve az összefüggéseket, mechanizmusokat, mutatókat, következményeket és cselekvésorientált tanácsokat egy meglévő vagy felmerülő fenyegetésről vagy az eszközöket fenyegető veszélyről. Ez az intelligencia felhasználható az adott fenyegetésre vagy veszélyre adott alanyi válaszra vonatkozó döntések megalapozására.” – Gartner

A részletesebb információkért tekintse meg az áttekintés “A fenyegetés-felderítés életciklusa” és “A fenyegetés-felderítés típusai” című részeit.”

Miért fontos a fenyegetés-felderítés?

A kiberbiztonsági ágazat ma számos kihívással néz szembe: egyre kitartóbb és fondorlatosabb fenyegető szereplőkkel, a több, egymással nem összefüggő biztonsági rendszeren keresztül naponta érkező, idegen információkkal és hamis riasztásokkal teli adatáradattal, valamint a képzett szakemberek súlyos hiányával.

Egyes szervezetek megpróbálják beépíteni a hálózatukba a fenyegetésekkel kapcsolatos adatfolyamokat, de nem tudják, hogy mit kezdjenek a sok felesleges adattal, ami tovább növeli az elemzők terheit, akiknek esetleg nincsenek meg az eszközeik annak eldöntésére, hogy mit kell priorizálni, és mit kell figyelmen kívül hagyni.

Egy kiberfenyegetésekkel kapcsolatos hírszerzési megoldás mindezeket a problémákat megoldhatja. A legjobb megoldások gépi tanulást használnak az adatgyűjtés és -feldolgozás automatizálására, integrálódnak a meglévő megoldásokba, strukturálatlan adatokat vesznek fel különböző forrásokból, majd összekötik a pontokat azáltal, hogy kontextust biztosítanak a veszélyeztetettségi mutatókról (IoC) és a fenyegető szereplők taktikáiról, technikáiról és eljárásairól (TTP).

A fenyegetettségi intelligencia cselekvőképes – időszerű, kontextust biztosít, és a döntések meghozataláért felelős személyek számára is érthető.

Ki profitálhat a fenyegetettségi intelligenciából?

Mindenki! A kiberfenyegetésekkel kapcsolatos hírszerzésről széles körben úgy képzelik, hogy az elit elemzők területe. A valóságban azonban minden biztonsági funkcióban hozzáadott értéket jelent a különböző méretű szervezetek számára.

Amikor a fenyegetések felderítését egy szélesebb körű biztonsági paradigmán belül különálló funkcióként kezelik, nem pedig minden más funkciót kiegészítő lényeges komponensként, az eredmény az, hogy sokan azok közül, akik a legtöbbet profitálnának a fenyegetések felderítéséből, nem férnek hozzá, amikor szükségük lenne rá.

A biztonsági műveleti csapatok rendszeresen képtelenek feldolgozni a kapott riasztásokat – a threat intelligence integrálódik a már használt biztonsági megoldásokba, segít automatikusan rangsorolni és szűrni a riasztásokat és egyéb fenyegetéseket. A sebezhetőséget kezelő csapatok pontosabban tudják rangsorolni a legfontosabb sebezhetőségeket, ha hozzáférnek a fenyegetéselemzés által biztosított külső meglátásokhoz és kontextushoz. A csalásmegelőzés, a kockázatelemzés és más magas szintű biztonsági folyamatok pedig gazdagodnak a fenyegetésekkel kapcsolatos intelligencia által nyújtott, az aktuális fenyegetettségi környezetre vonatkozó ismeretekkel, beleértve a fenyegető szereplőkre, taktikáikra, technikáikra és eljárásaikra vonatkozó kulcsfontosságú információkat, valamint a világhálón található adatforrásokból származó további információkat.

Nézze meg a felhasználási esetekről szóló alábbi részt, ahol mélyebb betekintést nyerhet abba, hogy minden biztonsági szerepkör hogyan profitálhat a fenyegetéselemzésből.

A fenyegetéselemzési életciklus

Hát hogyan készülnek a kiberfenyegetési információk? A nyers adat nem azonos az intelligenciával – a kiberfenyegetettségi intelligencia a késztermék, amely az adatgyűjtés, -feldolgozás és -elemzés hat részből álló ciklusának eredményeként jön létre. Ez a folyamat azért ciklikus, mert a hírszerzés fejlesztése során új kérdések és ismerethiányok merülnek fel, amelyek új adatgyűjtési követelmények meghatározásához vezetnek. A hatékony hírszerzési program iteratív, az idő múlásával egyre finomodik.

Az Ön által előállított fenyegetésekkel kapcsolatos hírszerzés értékének maximalizálása érdekében kritikus fontosságú, hogy mielőtt bármi mást tennének, azonosítsák a felhasználási eseteket és határozzák meg a célokat.

Tervezés és irányítás

A cselekvőképes fenyegetéselemzés előállításának első lépése a megfelelő kérdésfeltevés.

A cselekvőképes fenyegetéselemzés létrehozását leginkább elősegítő kérdések egyetlen tényre, eseményre vagy tevékenységre összpontosítanak – az átfogó, nyílt végű kérdéseket általában kerülni kell.

Priorizálják a hírszerzési célokat olyan tényezők alapján, mint például az, hogy mennyire illeszkednek a szervezet alapvető értékeihez, mekkora hatása lesz az ebből eredő döntésnek, és mennyire időérzékeny a döntés.

Egy fontos irányadó tényező ebben a szakaszban annak megértése, hogy ki fogja fogyasztani és hasznosítani a kész terméket – a hírszerzés egy technikai szakértelemmel rendelkező elemzőcsoporthoz kerül, amelynek gyors jelentésre van szüksége egy új exploitról, vagy egy olyan vezetőhöz, aki a következő negyedévre vonatkozó biztonsági befektetési döntéseihez a trendekről szeretne átfogó áttekintést kapni?

Begyűjtés

A következő lépés az első szakaszban meghatározott követelményeknek megfelelő nyers adatok összegyűjtése. A legjobb, ha az adatokat sokféle forrásból gyűjtjük – belső forrásokból, például a hálózati eseménynaplókból és a korábbi incidensekre adott válaszok nyilvántartásaiból, valamint külső forrásokból a nyílt internetről, a dark webről és technikai forrásokból.

A fenyegetési adatokra általában az IoC-k listáira gondolunk, például rosszindulatú IP-címekre, tartományokra és fájlhashákra, de tartalmazhatnak sebezhetőségi információkat is, például az ügyfelek személyazonosításra alkalmas adatait, pasztázott oldalak nyers kódját, valamint hírforrásokból vagy a közösségi médiából származó szöveget.

Feldolgozás

Mihelyt az összes nyers adatot összegyűjtötték, rendezni kell azokat, metaadatcímkékkel rendszerezve és kiszűrve a felesleges információkat vagy a hamis pozitív és negatív eredményeket.

Már a kisebb szervezetek is naponta több millió naplóesemény és több százezer mutató nagyságrendű adatot gyűjtenek. Ez túl sok az emberi elemzők számára a hatékony feldolgozáshoz – az adatgyűjtést és -feldolgozást automatizálni kell ahhoz, hogy egyáltalán értelmet nyerjenek.

A SIEM-hez hasonló megoldások jó kiindulópontot jelentenek, mivel viszonylag könnyen strukturálhatók az adatok korrelációs szabályokkal, amelyeket néhány különböző felhasználási esetre lehet beállítani, de csak korlátozott számú adattípust tudnak fogadni.

Ha sok különböző belső és külső forrásból gyűjt strukturálatlan adatokat, akkor egy robusztusabb megoldásra van szüksége. A Recorded Future gépi tanulást és természetes nyelvi feldolgozást használ, hogy hét különböző nyelven több millió strukturálatlan dokumentumból elemezze a szöveget, és nyelvfüggetlen ontológiák és események segítségével osztályozza azokat, így az elemzők olyan hatékony és intuitív kereséseket végezhetnek, amelyek túlmutatnak a puszta kulcsszavakon és egyszerű korrelációs szabályokon.

Analízis

A következő lépés a feldolgozott adatok értelmezése. Az elemzés célja a potenciális biztonsági problémák felkutatása és az érintett csapatok értesítése olyan formátumban, amely megfelel a tervezési és irányítási szakaszban felvázolt hírszerzési követelményeknek.

A fenyegetések felderítése a kezdeti céloktól és a célközönségtől függően számos formát ölthet, de a lényeg az, hogy az adatokat olyan formátumba hozzuk, amelyet a célközönség megért. Ez az egyszerű fenyegetéslistáktól a szakértői értékeléssel ellátott jelentésekig terjedhet.

Disszemináció

A kész terméket ezután eljuttatják a célközönséghez. Ahhoz, hogy a fenyegetésekkel kapcsolatos hírszerzési információ használható legyen, a megfelelő emberekhez kell eljutnia a megfelelő időben.

Azt is nyomon kell követni, hogy az egyik hírszerzési ciklus és a következő között folytonosság legyen, és a tanulságok ne vesszenek el. Használjon más biztonsági rendszereivel integrált jegykezelő rendszereket az intelligenciaciklus minden egyes lépésének nyomon követésére – minden egyes alkalommal, amikor új intelligenciaigénylés érkezik, a jegyeket egy helyen lehet benyújtani, megírni, felülvizsgálni és teljesíteni több ember által a különböző csapatokban.

Feedback

Az utolsó lépés az, amikor az intelligenciaciklus bezárul, így szorosan kapcsolódik a kezdeti tervezési és irányítási szakaszhoz. Miután megkapta a kész hírszerzési terméket, bárki is tette az eredeti kérést, felülvizsgálja azt, és megállapítja, hogy kérdéseire választ kapott-e. Ez határozza meg a következő hírszerzési ciklus célkitűzéseit és eljárásait, ami ismét elengedhetetlenné teszi a dokumentációt és a folyamatosságot.

A fenyegetéselhárítás típusai

Amint azt a fenyegetéselhárítás életciklusa mutatja, a végtermék a kezdeti hírszerzési követelményektől, az információforrásoktól és a célközönségtől függően másként fog kinézni. Hasznos lehet, ha e kritériumok alapján néhány kategóriába soroljuk a fenyegetéselhárítást.

A fenyegetések felderítését gyakran három alkategóriára bontják:

  • Stratégiai – szélesebb körű tendenciák, amelyeket jellemzően a nem technikai célközönségnek szánnak
  • Taktikai – A fenyegető szereplők taktikáinak, technikáinak és eljárásainak vázlatos ismertetése a technikai célközönség számára
  • Operatív – Konkrét támadások és kampányok technikai részletei

Stratégiai fenyegetésinformáció

A stratégiai fenyegetésinformáció átfogó áttekintést nyújt egy szervezet fenyegetettségi környezetéről. Célja, hogy egy szervezet vezetői és más döntéshozói által hozott magas szintű döntésekhez nyújtson tájékoztatást – mint ilyen, a tartalom általában kevésbé technikai jellegű, és jelentések vagy tájékoztatók formájában kerül bemutatásra. A jó stratégiai hírszerzésnek betekintést kell nyújtania olyan területekre, mint az egyes cselekvési irányvonalakkal kapcsolatos kockázatok, a fenyegető szereplők taktikáinak és célpontjainak általános mintái, valamint a geopolitikai események és trendek.

A stratégiai fenyegetettségi hírszerzés gyakori információforrásai a következők:

  • Nemzetállamok vagy nem kormányzati szervezetek politikai dokumentumai
  • Hírek a helyi és országos médiából, iparági és témaspecifikus kiadványokból vagy más szakértőktől
  • Fehérkönyvek, kutatási jelentések és egyéb, biztonsági szervezetek által készített tartalmak

A stratégiai fenyegetés-felderítés erős információinak előállítása a felderítési követelmények meghatározásához szükséges célzott, konkrét kérdések feltevésével kezdődik. A tipikus kiberbiztonsági ismereteken kívüli szakértelemmel rendelkező elemzőkre is szükség van – különösen a társadalmi-politikai és üzleti fogalmak alapos ismeretére.

A hatékony stratégiai hírszerzés előállításához – bár a végtermék nem technikai jellegű – hatalmas mennyiségű, gyakran többnyelvű adat mélyreható kutatására van szükség. Ez túlságosan megnehezítheti az adatok kezdeti gyűjtését és feldolgozását ahhoz, hogy manuálisan elvégezzék, még azon ritkaságszámba menő elemzők számára is, akik rendelkeznek a megfelelő nyelvtudással, technikai háttérrel és szakismeretekkel. Az adatgyűjtést és -feldolgozást automatizáló fenyegetéselhárítási megoldás segít csökkenteni ezt a terhet, és lehetővé teszi, hogy a kevesebb szakértelemmel rendelkező elemzők hatékonyabban dolgozhassanak.

Taktikai fenyegetéselhárítás

A taktikai fenyegetéselhárítás felvázolja a fenyegetést jelentő szereplők taktikáit, technikáit és eljárásait (TTP). Segítségével a védőknek konkrétan meg kell érteniük, hogyan érheti támadás a szervezetüket, és hogyan lehet a legjobban védekezni vagy enyhíteni ezeket a támadásokat. Általában technikai kontextust is tartalmaz, és a szervezet védelmében közvetlenül részt vevő személyzet, például a rendszerarchitektek, rendszergazdák és a biztonsági személyzet használja.

A biztonsági szállítók által készített jelentések gyakran a legegyszerűbb módja a taktikai fenyegetésekkel kapcsolatos információk megszerzésének. Keresse a jelentésekben a támadók által használt támadási vektorokra, eszközökre és infrastruktúrára vonatkozó információkat, beleértve a konkrétumokat arról, hogy milyen sebezhetőségeket céloznak meg és milyen kihasználásokat használnak a támadók, valamint milyen stratégiákat és eszközöket használnak a felderítés elkerülésére vagy késleltetésére.

A taktikai fenyegetettségi információkat fel kell használni a meglévő biztonsági ellenőrzések és folyamatok fejlesztésére és az incidensekre való reagálás felgyorsítására. Mivel a taktikai hírszerzés által megválaszolt kérdések közül sok csak az Ön szervezetére jellemző, és rövid határidőn belül kell megválaszolni őket – például: “Jelen van-e a rendszereimben ez a kritikus sebezhetőség, amelyet az iparágamat célba vevő fenyegető szereplők kihasználnak?”. – döntő fontosságú, hogy olyan fenyegetés-felderítési megoldással rendelkezzen, amely integrálja a saját hálózatából származó adatokat.

Műveleti fenyegetés-felderítés

A műveleti intelligencia a kibertámadásokkal, eseményekkel vagy kampányokkal kapcsolatos ismeretek. Olyan speciális betekintést nyújt, amely segít az incidensre reagáló csapatoknak megérteni az egyes támadások jellegét, szándékát és időzítését.

Mert ez általában technikai információkat is tartalmaz – olyan információkat, mint például, hogy milyen támadási vektort használnak, milyen sebezhetőségeket használnak ki, vagy milyen parancsnoki és vezérlési tartományokat alkalmaznak -, ezt a fajta intelligenciát technikai fenyegetettségi intelligenciának is nevezik. A technikai információk gyakori forrása a fenyegetési adatfolyamok, amelyek általában egyetlen típusú indikátorra összpontosítanak, mint például a rosszindulatú programok hash-jei vagy a gyanús tartományok.

Ha azonban a technikai fenyegetési intelligenciát szigorúan úgy gondoljuk, hogy az olyan technikai információkból származik, mint a fenyegetési adatfolyamok, akkor a technikai és az operatív fenyegetési intelligencia nem teljesen szinonimák – inkább egy Venn-diagramhoz hasonlítanak, hatalmas átfedésekkel. A konkrét támadásokra vonatkozó információk egyéb forrásai származhatnak zárt forrásokból, például a fenyegető csoportok kommunikációjának lehallgatásából, akár beszivárgással, akár e kommunikációs csatornákba való betöréssel.

Következésképpen az ilyen jellegű hírszerzésnek van néhány akadálya:

  • Hozzáférés – A fenyegető csoportok privát és titkosított csatornákon keresztül kommunikálhatnak, vagy valamilyen azonosító igazolást követelnek meg. A külföldi országokban található fenyegető csoportok esetében nyelvi akadályok is fennállnak.
  • Zaj – Nehéz vagy lehetetlen lehet manuálisan jó információkat gyűjteni olyan nagy mennyiségű forrásból, mint a csevegőszobák és a közösségi média.
  • Elhomályosítás – A felfedezés elkerülése érdekében a fenyegető csoportok olyan elhomályosító taktikákat alkalmazhatnak, mint például a kódnevek használata.

A hatékony operatív fenyegetés-felderítés kialakításakor a nagy léptékű, automatizált adatgyűjtéshez gépi tanulási folyamatokra támaszkodó fenyegetés-felderítési megoldások számos ilyen problémát áthidalhatnak. A természetes nyelvi feldolgozást alkalmazó megoldás például képes lesz idegen nyelvű forrásokból származó információkat gyűjteni anélkül, hogy emberi szakértelemre lenne szükség a megfejtéshez.

Machine Learning for Better Threat Intelligence

Az adatfeldolgozás ma már olyan méretben zajlik, hogy az automatizálásnak átfogónak kell lennie. Kombinálja a sok különböző típusú forrásból – többek között nyílt, sötét webes és technikai forrásokból – származó adatpontokat a lehető legmegbízhatóbb kép kialakításához.

A Recorded Future négyféleképpen használ gépi tanulási technikákat az adatgyűjtés és -összesítés javítására – az adatok kategóriákba rendezésére, a szöveg több nyelven történő elemzésére, kockázati pontszámok megadására és előrejelző modellek létrehozására.

Az adatok entitásokba és eseményekbe rendezésére

Az ontológia azzal kapcsolatos, hogy hogyan osztjuk fel a fogalmakat és hogyan csoportosítjuk őket. Az adattudományban az ontológiák az entitások kategóriáit nevük, tulajdonságaik és egymáshoz való kapcsolataik alapján reprezentálják, így könnyebben rendezhetők hierarchikus halmazokba. Például Boston, London és Göteborg mind különálló entitások, amelyek szintén a tágabb “város” entitás alá tartoznak.

Ha az entitások a fizikailag különálló fogalmak rendezésének módját jelentik, akkor az események a fogalmakat idővel rendezik. A rögzített Future események nyelvfüggetlenek – az olyan dolgok, mint “John meglátogatta Párizst”, “John elutazott Párizsba”, “John прилетел в Paris” és “John a visité Paris” mind ugyanannak az eseménynek minősülnek.

Az antológiák és az események hatékony keresést tesznek lehetővé a kategóriák között, így az elemzők az átfogó képre koncentrálhatnak ahelyett, hogy maguknak kellene manuálisan átválogatniuk az adatokat.

A szöveg több nyelven történő strukturálása természetes nyelvi feldolgozással

A természetes nyelvi feldolgozással az entitások és események képesek a puszta kulcsszavakon túlmutatni, és a különböző nyelvű forrásokból származó strukturálatlan szöveget strukturált adatbázissá alakítani.

A folyamatot vezérlő gépi tanulás képes elkülöníteni a reklámot az elsődleges tartalomtól, a szöveget olyan kategóriákba sorolni, mint a próza, az adatnaplók vagy a kód, és az azonos nevű entitások (például az “Apple” a vállalat és az “alma” a gyümölcs) között a környező szövegben található kontextuális támpontok segítségével egyértelművé tenni a szövegeket.

A rendszer így naponta több millió dokumentum szövegét tudja elemezni hét különböző nyelven – ez olyan feladat, amelynek elvégzéséhez emberi elemzők gyakorlatilag nagy és képzett csapatára lenne szükség. Az ilyen jellegű időmegtakarítás segít az IT-biztonsági csapatoknak 32 százalékkal hatékonyabban dolgozni a Recorded Future segítségével.

Az események és entitások osztályozásához, segítve az emberi elemzőket a riasztások rangsorolásában

A gépi tanulást és a statisztikai módszertant használják az entitások és események fontosság szerinti további rendezéséhez – például kockázati pontszámok hozzárendelésével a rosszindulatú entitásokhoz.

A kockázati pontszámok kiszámítása két rendszeren keresztül történik: az egyiket az emberi intuíción és tapasztalaton alapuló szabályok vezérlik, a másikat pedig a már ellenőrzött adathalmazon képzett gépi tanulás.

A kockázati pontszámokhoz hasonló osztályozók egyszerre adnak ítéletet (“ez az esemény kritikus”) és a pontszámot magyarázó kontextust (“mivel több forrás is megerősíti, hogy ez az IP-cím rosszindulatú”).

A kockázatok osztályozásának automatizálása időt takarít meg az elemzőknek a téves pozitívumok kiválogatására és annak eldöntésére, hogy mit kell priorizálni, így a Recorded Future-t használó IT-biztonsági munkatársak 34 százalékkal kevesebb időt töltenek jelentések összeállításával.

Az események és az entitások tulajdonságainak előrejelzésére prediktív modellek segítségével

A gépi tanulás is képes olyan modelleket létrehozni, amelyek a korábban bányászott és kategorizált adatok mély tárházából merítve a jövőt jósolják meg, gyakran sokkal pontosabban, mint bármely emberi elemző.

Ez a gépi tanulás különösen erős “a nagy számok törvénye” alkalmazása – ahogy egyre több adatforrásra támaszkodunk, ezek az előrejelző modellek egyre pontosabbá válnak.

Veszélyelemzési felhasználási esetek

A veszélyelemzés változatos felhasználási esetei miatt bármely szervezetben alapvető erőforrás a keresztfunkcionális csapatok számára. Bár talán akkor a legközvetlenebbül értékes, amikor segít megelőzni egy támadást, a fenyegetéselemzés a triázs, a kockázatelemzés, a sebezhetőségkezelés és a széles körű döntéshozatal hasznos része is.

Elhárítás incidensekre

Az incidensek elhárításáért felelős biztonsági elemzők az iparágban az egyik legnagyobb stresszről számolnak be, és nem csoda, hogy miért – a kiberincidensek aránya az elmúlt két évtizedben folyamatosan emelkedett, és a napi riasztások nagy hányada hamis pozitívnak bizonyul. Valós incidensek esetén az elemzőknek gyakran időt kell tölteniük azzal, hogy fáradságos kézzel válogassák át az adatokat, hogy felmérjék a problémát.

A fenyegetéselemzés többféleképpen csökkenti a nyomást:

  • Automatikusan azonosítja és elveti a hamis pozitív jelenségeket
  • A riasztások valós idejű kontextussal való gazdagítása, például egyéni kockázati pontszámokkal
  • Belső és külső forrásokból származó információk összehasonlítása

A Recorded Future felhasználói tízszer gyorsabban azonosítják a kockázatokat, mint a fenyegetési intelligencia biztonsági megoldásukba való integrálása előtt, így átlagosan napokkal több idejük marad a fenyegetésekre való reagálásra egy olyan iparágban, ahol másodpercek is számíthatnak.

Biztonsági műveletek

A legtöbb biztonsági műveleti központ (SOC) csapatának az általuk felügyelt hálózatok által generált hatalmas mennyiségű riasztással kell foglalkoznia. Ezeknek a riasztásoknak az elbírálása túl sok időt vesz igénybe, és sokakat egyáltalán nem is vizsgálnak ki. A “riasztási fáradtság” arra készteti az elemzőket, hogy kevésbé vegyék komolyan a riasztásokat, mint kellene. A fenyegetésekkel kapcsolatos intelligencia számos ilyen problémát megold – segít gyorsabban és pontosabban információt gyűjteni a fenyegetésekről, kiszűrni a téves riasztásokat, felgyorsítani az elbírálást, és egyszerűsíteni az incidensek elemzését. Segítségével az elemzők nem pazarolhatják tovább az idejüket a riasztások követésére:

  • Azok a tevékenységek, amelyek inkább ártalmatlanok, mint rosszindulatúak
  • Az adott vállalat számára nem releváns támadások
  • A támadások, amelyekre már léteznek védekezések és ellenőrzések

A fenyegetés-intelligencia a triázs felgyorsítása mellett segíthet a SOC-csapatoknak az incidensek elemzésének és megfékezésének egyszerűsítésében. A Recorded Future felhasználói 63 százalékkal gyorsabban oldják meg a fenyegetéseket, több mint felére csökkentve a helyreállítással töltött kritikus órákat.

Sérülékenységkezelés

A hatékony sérülékenységkezelés azt jelenti, hogy a “mindent és mindig foltozunk” megközelítésről – amelyet reálisan soha senki nem tud elérni – áttérünk a sérülékenységek tényleges kockázat alapján történő priorizálására.

Noha a sérülékenységek és fenyegetések száma évről évre nő, a kutatások szerint a legtöbb fenyegetés a sérülékenységek ugyanazon, kis hányadát célozza. A fenyegető szereplők is gyorsabbak – ma már átlagosan csak tizenöt nap telik el egy új sebezhetőség bejelentése és az azt célzó exploit megjelenése között.

Ez két következménnyel jár:

  • Egy új exploit ellen két hét áll rendelkezésére, hogy javítsa vagy helyreállítsa a rendszereit. Ha nem tud ebben az időkeretben foltozni, készítsen tervet a kár enyhítésére.
  • Ha egy új sebezhetőséget nem használnak ki két héttől három hónapig terjedő időszakban, akkor valószínűleg soha nem is fognak – a foltozás alacsonyabb prioritást kaphat.

A fenyegetéselemzés segít azonosítani azokat a sebezhetőségeket, amelyek tényleges kockázatot jelentenek a szervezet számára, a CVE pontozáson túlmutatóan, a belső sebezhetőség-vizsgálati adatok, külső adatok és a fenyegető szereplők TTP-jéről szóló további összefüggések kombinálásával. A Recorded Future segítségével a felhasználók 22 százalékkal több valós fenyegetést azonosítanak, mielőtt azok komoly hatást gyakorolnának.

Kockázatelemzés

A kockázatmodellezés hasznos módja lehet a szervezetek számára a beruházási prioritások meghatározásának. De sok kockázati modell szenved a homályos, nem számszerűsített kimenetektől, amelyeket elhamarkodottan állítanak össze, részleges információkon alapulnak, megalapozatlan feltételezéseken alapulnak, vagy amelyek alapján nehéz lépéseket tenni.

A fenyegetéselemzés olyan kontextust biztosít, amely segít a kockázati modelleknek a kockázatok meghatározott mérésében, és átláthatóbbá teszi a feltételezéseiket, változóikat és eredményeiket. Segíthet megválaszolni olyan kérdéseket, mint például:

  • Mely fenyegető szereplők használják ezt a támadást, és a mi iparágunkat veszik célba?
  • Milyen gyakran figyelték meg ezt a konkrét támadást a közelmúltban a miénkhez hasonló vállalkozások?
  • A tendencia emelkedő vagy csökkenő?
  • Mely sebezhetőségeket használja ki ez a támadás, és ezek a sebezhetőségek jelen vannak-e a mi vállalkozásunkban?
  • Milyen technikai és pénzügyi kárt okozott ez a támadás a miénkhez hasonló vállalkozásoknak?

A helyes kérdések feltevése a Recorded Future fenyegetéselemzésével az egyik módja annak, hogy a felhasználók 86 százalékkal csökkentik a nem tervezett állásidőt – ez óriási különbség, amikor egyes szervezeteknél akár egy perc állásidő is 9000 dollárba kerülhet a termelékenység kiesése és egyéb károk miatt.

Csalásmegelőzés

A szervezet biztonságához nem elég, ha csak a rendszereket már kihasználó fenyegetéseket észleli és reagál rájuk. Meg kell akadályoznia az adatainak vagy márkájának csalárd felhasználását is.

A földalatti bűnözői közösségekből összegyűjtött fenyegetési információk betekintést nyújtanak a fenyegető szereplők motivációiba, módszereibe és taktikáiba, különösen akkor, ha ezeket az információkat a felszíni webről származó információkkal, többek között a technikai tápokkal és indikátorokkal hozzák összefüggésbe.

Használja a fenyegetettségi információkat a következők megelőzésére:

  • Fizetési csalások – Az olyan források, mint a bűnözői közösségek, a beillesztett oldalak és más fórumok figyelése a releváns fizetési kártyaszámok, banki azonosítószámok vagy a pénzügyi intézményekre való konkrét hivatkozások tekintetében korai figyelmeztetést adhat a közelgő támadásokról, amelyek érinthetik a szervezetét.
  • Kompromittált adatok – A kiberbűnözők rendszeresen felhasználói nevek és jelszavak hatalmas gyorsítótárát töltik fel a beillesztett oldalakra és a sötét webre, vagy eladásra bocsátják azokat az illegális piactereken. Figyelje ezeket a forrásokat fenyegetettségi információkkal, hogy figyeljen a kiszivárgott hitelesítő adatokra, vállalati adatokra vagy védett kódokra.
  • Typosquatting – Kapjon valós idejű riasztásokat az újonnan regisztrált adathalász és typosquatting domainekről, hogy megakadályozza, hogy a kiberbűnözők az Ön márkájának adják ki magukat, és becsapják a gyanútlan felhasználókat.

A fenyegetésekkel kapcsolatos intelligencia révén a Recorded Future felhasználói több mint 1 millió dollárt tudnak megtakarítani potenciális jogsértésenként a káros bírságok, büntetések és a fogyasztói bizalom elvesztése miatt.

Biztonsági vezetés

A CISO-knak és más biztonsági vezetőknek úgy kell kezelniük a kockázatokat, hogy a korlátozottan rendelkezésre álló erőforrások és a folyamatosan fejlődő fenyegetések elleni védelem szükségessége között egyensúlyoznak. A fenyegetettségi intelligencia segíthet a fenyegetések feltérképezésében, a kockázatok kiszámításában, és a biztonsági személyzet számára a jobb és gyorsabb döntések meghozatalához szükséges információkat és kontextust biztosít.

A biztonsági vezetőknek ma a következőket kell tenniük:

  • Az üzleti és technikai kockázatok értékelése, beleértve az újonnan megjelenő fenyegetéseket és az “ismert ismeretleneket”, amelyek hatással lehetnek az üzletre
  • A megfelelő stratégiák és technológiák meghatározása a kockázatok mérséklésére
  • A kockázatok jellegének kommunikálása a felső vezetés felé, és a védelmi intézkedésekbe történő beruházások indoklása

A fenyegetéselemzés kritikus erőforrás lehet mindezen tevékenységekhez, információt nyújtva az általános trendekről, mint például:

  • Mely támadásfajták egyre gyakoribbá (vagy ritkábbá) válnak
  • Mely támadásfajták a legköltségesebbek az áldozatok számára
  • Milyen új típusú fenyegető szereplők jelennek meg, és az általuk megcélzott eszközök és vállalkozások
  • Azok a biztonsági gyakorlatok és technológiák, amelyek a legsikeresebbnek (vagy legkevésbé) bizonyultak e támadások megállításában vagy mérséklésében

Ez lehetővé teheti a biztonsági csoportok számára annak értékelését is, hogy egy újonnan megjelenő fenyegetés valószínűleg érinti-e az adott vállalatot olyan tényezők alapján, mint például:

  • Iparág – A fenyegetés más vállalkozásokat is érint a vertikumunkban?
  • Technológia – A fenyegetés a vállalkozásunkban használt szoftverek, hardverek vagy más technológiák veszélyeztetésével jár-e?
  • Földrajz – A fenyegetés olyan régiókban lévő létesítményeket céloz meg, ahol a mi tevékenységünk folyik?
  • Támadási módszer – A támadásban alkalmazott módszereket, beleértve a social engineeringet és a technikai módszereket, sikeresen alkalmazták-e már vállalatunk vagy hasonló vállalatok ellen?

A külső adatforrások széles köréből gyűjtött ilyen típusú információk segítségével a biztonsági döntéshozók holisztikus képet kapnak a kiberkockázati környezetről és a vállalatukat fenyegető legnagyobb kockázatokról.

Íme négy kulcsfontosságú terület, ahol a fenyegetésekkel kapcsolatos információk segítenek a biztonsági vezetőknek a döntéshozatalban:

  • Veszélycsökkentés – A fenyegetésekkel kapcsolatos információk segítenek a biztonsági vezetőknek rangsorolni azokat a sebezhetőségeket és gyenge pontokat, amelyeket a fenyegető szereplők a legnagyobb valószínűséggel célba vesznek, és kontextust adnak az adott fenyegető szereplők által használt TTP-kről, és így azokról a gyenge pontokról, amelyeket hajlamosak kihasználni.
  • Kommunikáció – A CISO-knak gyakran kihívást jelent a fenyegetések leírása és az ellenintézkedések indoklása olyan kifejezésekkel, amelyek motiválják a nem műszaki jellegű üzleti vezetőket, mint például a költségek, az ügyfelekre gyakorolt hatás, az új technológiák. A fenyegetésekkel kapcsolatos információk hatékony muníciót nyújtanak ezekhez a megbeszélésekhez, például a más iparágak azonos méretű vállalatai ellen elkövetett hasonló támadások hatása, vagy a dark webről származó trendek és információk, amelyek arra utalnak, hogy a vállalat valószínűleg célpont lesz.
  • A vezetők támogatása – A fenyegetéselemzés valós idejű képet adhat a biztonsági vezetőknek a legújabb fenyegetésekről, trendekről és eseményekről, segítve a biztonsági vezetőket abban, hogy időben és hatékonyan reagáljanak egy fenyegetésre, vagy időben és hatékonyan kommunikálják az üzleti vezetőknek és az igazgatótanács tagjainak egy új fenyegetéstípus lehetséges hatásait.
  • A biztonsági készségek hiánya – A CISO-knak gondoskodniuk kell arról, hogy az informatikai szervezet rendelkezzen a küldetés teljesítéséhez szükséges humán erőforrással. A kiberbiztonság készséghiánya azonban azt jelenti, hogy a meglévő biztonsági személyzet gyakran kezelhetetlen munkaterheléssel küzd. A fenyegetéselemzés automatizálja a legmunkaigényesebb feladatok egy részét, gyorsan összegyűjti az adatokat és korrelálja az összefüggéseket több hírszerzési forrásból, rangsorolja a kockázatokat és csökkenti a felesleges riasztásokat. A hatékony fenyegetés-intelligencia a fiatalabb személyzetet is segíti a gyors “felképzésben” és a tapasztalati szintjüket meghaladó teljesítményben.

A harmadik fél kockázatának csökkentése

Millió szervezet alakítja át az üzletmenetét a digitális folyamatok révén. A belső hálózatokról a felhőbe helyezik át az adatokat, és minden eddiginél több információt gyűjtenek.

Az adatok gyűjtésének, tárolásának és elemzésének megkönnyítése kétségtelenül számos iparágat jobb irányba változtat meg, de az információ szabad áramlásának ára van. Ez azt jelenti, hogy a saját szervezetünk kockázatának felméréséhez figyelembe kell vennünk partnereink, szállítóink és más harmadik felek biztonságát is.

Sajnos a ma alkalmazott legelterjedtebb harmadik fél kockázatkezelési gyakorlatok közül sok elmarad a biztonsági követelményektől. A kockázat statikus értékelései, mint például a pénzügyi auditok és a biztonsági tanúsítványok ellenőrzése, még mindig fontosak, de gyakran hiányzik belőlük a kontextus, és nem mindig időszerűek. Olyan megoldásra van szükség, amely valós idejű kontextust kínál a tényleges fenyegetettségi környezetről.

A fenyegetettségi intelligencia az egyik módja ennek. Átláthatóvá teheti a harmadik felek fenyegetettségi környezetét, akikkel együtt dolgozik, valós idejű riasztásokat ad a fenyegetésekről és a kockázataik változásairól, és megadja a kapcsolatok értékeléséhez szükséges kontextust.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.