Digital technologies lie at the heart of nearly every industry today. Automatyzacja i większa łączność, na jakie pozwalają, zrewolucjonizowały światowe instytucje gospodarcze i kulturalne – ale przyniosły również ryzyko w postaci cyberataków. Wywiad dotyczący zagrożeń to wiedza, która pozwala zapobiegać takim atakom lub je ograniczać. Wywiad dotyczący zagrożeń, zakorzeniony w danych, dostarcza kontekstu – np. kto atakuje, jaka jest jego motywacja i możliwości oraz jakich wskaźników kompromitacji w systemach należy szukać – który pomaga podejmować świadome decyzje dotyczące bezpieczeństwa.
„Wywiad dotyczący zagrożeń to oparta na dowodach wiedza, obejmująca kontekst, mechanizmy, wskaźniki, implikacje i porady ukierunkowane na działanie dotyczące istniejącego lub pojawiającego się zagrożenia lub niebezpieczeństwa dla zasobów. Informacje te mogą być wykorzystywane do podejmowania decyzji dotyczących reakcji podmiotu na to zagrożenie lub niebezpieczeństwo.” – Gartner
W celu uzyskania bardziej szczegółowych informacji, sprawdź sekcje tego przeglądu zatytułowane „The Threat Intelligence Lifecycle” oraz „The Types of Threat Intelligence.”
- Why Is Threat Intelligence Important?
- Kto może skorzystać z informacji o zagrożeniach?
- Cykl życia wywiadu o zagrożeniach
- Planowanie i kierowanie
- Zbieranie danych
- Przetwarzanie
- Analiza
- Dystrybucja
- Wskazówki zwrotne
- Rodzaje wywiadu na temat zagrożeń
- Strategiczne informacje o zagrożeniach
- Taktyczny wywiad o zagrożeniach
- Operational Threat Intelligence
- Machine Learning for Better Threat Intelligence
- Układanie danych w jednostki i zdarzenia
- Układanie tekstu w wielu językach za pomocą przetwarzania języka naturalnego
- Klasyfikuje zdarzenia i podmioty, pomagając ludzkim analitykom nadawać priorytety alertom
- Prognozowanie zdarzeń i właściwości podmiotów za pomocą modeli predykcyjnych
- Przypadki użycia wywiadu o zagrożeniach
- Reagowanie na incydenty
- Operacje bezpieczeństwa
- Zarządzanie podatnościami
- Analiza ryzyka
- Zapobieganie oszustwom
- Przywództwo w zakresie bezpieczeństwa
- Redukcja ryzyka stron trzecich
Why Is Threat Intelligence Important?
Dzisiaj branża cyberbezpieczeństwa stoi przed wieloma wyzwaniami – coraz bardziej uporczywymi i przebiegłymi aktorami zagrożeń, codziennym zalewem danych pełnym obcych informacji i fałszywych alarmów w wielu, niepołączonych systemach bezpieczeństwa oraz poważnym brakiem wykwalifikowanych specjalistów.
Niektóre organizacje próbują włączyć dane o zagrożeniach do swojej sieci, ale nie wiedzą, co zrobić z tymi wszystkimi dodatkowymi danymi, zwiększając obciążenie analityków, którzy mogą nie mieć narzędzi do decydowania o tym, co należy traktować priorytetowo, a co ignorować.
Rozwiązanie typu cyber threat intelligence może rozwiązać każdy z tych problemów. Najlepsze rozwiązania wykorzystują uczenie maszynowe do automatyzacji gromadzenia i przetwarzania danych, integrują się z istniejącymi rozwiązaniami, pobierają nieustrukturyzowane dane z różnych źródeł, a następnie łączą punkty, zapewniając kontekst wskaźników zagrożenia (IoC) oraz taktyk, technik i procedur (TTP) podmiotów stanowiących zagrożenie.
Informacje o zagrożeniach są przydatne w działaniu – pojawiają się w odpowiednim czasie, zapewniają kontekst i są zrozumiałe dla osób odpowiedzialnych za podejmowanie decyzji.
Kto może skorzystać z informacji o zagrożeniach?
Każdy! Wywiad dotyczący zagrożeń cybernetycznych jest powszechnie uważany za domenę elitarnych analityków. W rzeczywistości stanowią one wartość dodaną we wszystkich funkcjach bezpieczeństwa w organizacjach każdej wielkości.
Gdy analityka zagrożeń jest traktowana jako oddzielna funkcja w ramach szerszego paradygmatu bezpieczeństwa, a nie jako niezbędny komponent, który uzupełnia każdą inną funkcję, w rezultacie wiele osób, które odniosłyby największe korzyści z analityki zagrożeń, nie ma do niej dostępu wtedy, gdy jej potrzebuje.
Zespoły operacyjne ds. bezpieczeństwa rutynowo nie są w stanie przetwarzać otrzymywanych alertów – analityka zagrożeń integruje się z używanymi już rozwiązaniami bezpieczeństwa, pomagając automatycznie nadawać priorytety i filtrować alerty oraz inne zagrożenia. Zespoły zarządzające podatnościami na ataki mogą dokładniej określać priorytety najważniejszych podatności na ataki dzięki dostępowi do zewnętrznych spostrzeżeń i kontekstu zapewnianego przez analitykę zagrożeń. Zapobieganie oszustwom, analiza ryzyka i inne procesy bezpieczeństwa wysokiego szczebla są wzbogacone o zrozumienie aktualnego krajobrazu zagrożeń, które zapewnia wywiad o zagrożeniach, w tym kluczowe informacje o podmiotach stanowiących zagrożenie, ich taktykach, technikach i procedurach oraz inne informacje pochodzące ze źródeł danych w sieci.
Zobacz naszą sekcję poświęconą przypadkom użycia poniżej, aby dowiedzieć się, w jaki sposób każda rola związana z bezpieczeństwem może czerpać korzyści z wywiadu o zagrożeniach.
Cykl życia wywiadu o zagrożeniach
Więc, w jaki sposób powstaje wywiad o zagrożeniach cybernetycznych? Surowe dane to nie to samo, co dane wywiadowcze – wywiad na temat zagrożeń cybernetycznych to gotowy produkt, który powstaje w wyniku sześcioczęściowego cyklu zbierania, przetwarzania i analizowania danych. Proces ten ma charakter cykliczny, ponieważ w trakcie opracowywania danych wywiadowczych identyfikowane są nowe pytania i luki w wiedzy, co prowadzi do ustalenia nowych wymagań dotyczących gromadzenia danych. Skuteczny program wywiadowczy ma charakter iteracyjny i z czasem staje się coraz bardziej dopracowany.
Aby zmaksymalizować wartość tworzonych danych wywiadowczych o zagrożeniach, przed podjęciem jakichkolwiek innych działań należy zidentyfikować przypadki użycia i zdefiniować cele.
Planowanie i kierowanie
Pierwszym krokiem do stworzenia użytecznych danych wywiadu o zagrożeniach jest zadanie właściwego pytania.
Pytania, które najlepiej wpływają na tworzenie użytecznych danych wywiadu o zagrożeniach, koncentrują się na pojedynczym fakcie, zdarzeniu lub działaniu – zazwyczaj należy unikać szerokich, otwartych pytań.
Ustal priorytety celów wywiadu w oparciu o takie czynniki, jak ścisłe powiązanie z podstawowymi wartościami organizacji, wpływ decyzji, która zostanie podjęta, oraz czas, w jakim decyzja ma być podjęta.
Jednym z ważnych czynników przewodnich na tym etapie jest zrozumienie, kto będzie korzystał z gotowego produktu – czy dane wywiadowcze trafią do zespołu analityków z wiedzą techniczną, którzy potrzebują szybkiego raportu na temat nowego exploita, czy do kierownictwa, które szuka szerokiego przeglądu trendów, aby podjąć decyzje dotyczące inwestycji w bezpieczeństwo w następnym kwartale?
Zbieranie danych
Kolejnym krokiem jest zebranie surowych danych, które spełniają wymagania określone w pierwszym etapie. Najlepiej jest zbierać dane z wielu różnych źródeł – wewnętrznych, takich jak dzienniki zdarzeń sieciowych i zapisy reakcji na wcześniejsze incydenty, oraz zewnętrznych, z otwartej sieci, ciemnej sieci i źródeł technicznych.
Dane o zagrożeniach są zwykle rozumiane jako listy IoC, takie jak złośliwe adresy IP, domeny i hashe plików, ale mogą również zawierać informacje o podatnościach, takie jak dane osobowe klientów, surowy kod z witryn z pastami i teksty ze źródeł informacyjnych lub mediów społecznościowych.
Przetwarzanie
Po zebraniu wszystkich surowych danych, trzeba je posortować, organizując je za pomocą znaczników metadanych i odfiltrowując zbędne informacje lub fałszywe pozytywy i negatywy.
Dzisiaj, nawet małe organizacje zbierają dane rzędu milionów zdarzeń dziennika i setek tysięcy wskaźników każdego dnia. Jest to zbyt wiele danych, aby ludzcy analitycy mogli je efektywnie przetwarzać – zbieranie i przetwarzanie danych musi być zautomatyzowane, aby zacząć nadawać im sens.
Rozwiązania takie jak SIEM są dobrym miejscem na początek, ponieważ stosunkowo łatwo strukturyzują dane za pomocą reguł korelacji, które mogą być ustawione dla kilku różnych przypadków użycia, ale mogą one przyjąć tylko ograniczoną liczbę typów danych.
Jeśli zbierasz niestrukturalne dane z wielu różnych źródeł wewnętrznych i zewnętrznych, będziesz potrzebował bardziej solidnego rozwiązania. Recorded Future wykorzystuje uczenie maszynowe i przetwarzanie języka naturalnego do przetwarzania tekstu z milionów nieustrukturyzowanych dokumentów w siedmiu różnych językach i klasyfikowania ich przy użyciu niezależnych od języka ontologii i zdarzeń, umożliwiając analitykom wykonywanie potężnych i intuicyjnych wyszukiwań, które wykraczają poza czyste słowa kluczowe i proste reguły korelacji.
Analiza
Kolejnym krokiem jest nadanie sensu przetworzonym danym. Celem analizy jest wyszukanie potencjalnych problemów związanych z bezpieczeństwem i powiadomienie odpowiednich zespołów w formacie spełniającym wymagania wywiadowcze nakreślone na etapie planowania i ukierunkowania.
Dane wywiadowcze o zagrożeniach mogą przybierać różne formy w zależności od początkowych celów i zamierzonej grupy odbiorców, ale chodzi o to, aby dane były przekazywane w formacie zrozumiałym dla odbiorców. Może to obejmować zarówno proste listy zagrożeń, jak i recenzowane raporty.
Dystrybucja
Końcowy produkt jest następnie przekazywany odbiorcom, dla których jest przeznaczony. Aby informacje o zagrożeniach mogły być użyteczne, muszą trafić do właściwych osób we właściwym czasie.
Trzeba je również śledzić, aby zachować ciągłość między jednym cyklem wywiadowczym a następnym i nie utracić zdobytej wiedzy. Do śledzenia każdego etapu cyklu wywiadowczego należy używać systemów biletowych, które integrują się z innymi systemami bezpieczeństwa – za każdym razem, gdy pojawia się nowe zapytanie o dane wywiadowcze, bilety mogą być przesyłane, sporządzane, przeglądane i realizowane przez wiele osób z różnych zespołów, a wszystko to w jednym miejscu.
Wskazówki zwrotne
Ostatni etap to zatoczenie pełnego koła w cyklu wywiadowczym, co sprawia, że jest on ściśle powiązany z początkową fazą planowania i kierowania. Po otrzymaniu gotowego produktu wywiadowczego osoba, która złożyła początkowy wniosek, dokonuje jego przeglądu i określa, czy udzielono odpowiedzi na jej pytania. To napędza cele i procedury kolejnego cyklu wywiadowczego, co ponownie sprawia, że dokumentacja i ciągłość są niezbędne.
Rodzaje wywiadu na temat zagrożeń
Jak wynika z cyklu życia wywiadu na temat zagrożeń, produkt końcowy będzie wyglądał inaczej w zależności od początkowych wymagań wywiadowczych, źródeł informacji i docelowych odbiorców. Pomocne może być podzielenie danych wywiadowczych o zagrożeniach na kilka kategorii w oparciu o te kryteria.
Dane wywiadowcze o zagrożeniach są często dzielone na trzy podkategorie:
- Strategiczne – Szersze trendy przeznaczone zazwyczaj dla odbiorców nietechnicznych
- Taktyczne – Zarys taktyk, technik i procedur podmiotów stanowiących zagrożenie dla bardziej technicznych odbiorców
- Operacyjne – Szczegóły techniczne dotyczące konkretnych ataków i kampanii
Strategiczne informacje o zagrożeniach
Strategiczne informacje o zagrożeniach zapewniają szeroki przegląd krajobrazu zagrożeń danej organizacji. Jego celem jest informowanie o decyzjach wysokiego szczebla podejmowanych przez kadrę kierowniczą i inne osoby podejmujące decyzje w organizacji – w związku z tym jego zawartość jest na ogół mniej techniczna i jest prezentowana w formie raportów lub briefingów. Dobry wywiad strategiczny powinien zapewniać wgląd w takie obszary, jak ryzyko związane z określonymi kierunkami działań, ogólne wzorce taktyk i celów podmiotów stanowiących zagrożenie oraz wydarzenia i trendy geopolityczne.
Wspólne źródła informacji dla strategicznego wywiadu o zagrożeniach obejmują:
- Dokumenty polityczne państw narodowych lub organizacji pozarządowych
- Wiadomości z mediów lokalnych i krajowych, publikacje branżowe i tematyczne lub od innych ekspertów
- Białe księgi, raporty z badań i inne treści tworzone przez organizacje zajmujące się bezpieczeństwem
Produkowanie silnych strategicznych danych wywiadowczych o zagrożeniach rozpoczyna się od zadawania ukierunkowanych, konkretnych pytań w celu określenia wymagań dotyczących danych wywiadowczych. Wymaga to również od analityków wiedzy specjalistycznej wykraczającej poza typowe umiejętności z zakresu bezpieczeństwa cybernetycznego – w szczególności dobrego zrozumienia koncepcji społeczno-politycznych i biznesowych.
Chociaż produkt końcowy nie ma charakteru technicznego, tworzenie skutecznych strategicznych danych wywiadowczych wymaga dogłębnego badania ogromnych ilości danych, często w wielu językach. Może to sprawić, że początkowe zbieranie i przetwarzanie danych będzie zbyt trudne do wykonania ręcznie, nawet dla tych elitarnych analityków, którzy posiadają odpowiednie umiejętności językowe, zaplecze techniczne i doświadczenie. Rozwiązanie z zakresu wywiadu o zagrożeniach, które automatyzuje zbieranie i przetwarzanie danych, pomaga zmniejszyć to obciążenie i umożliwia bardziej efektywną pracę analitykom, którzy nie mają tak dużej wiedzy specjalistycznej.
Taktyczny wywiad o zagrożeniach
Taktyczny wywiad o zagrożeniach przedstawia taktykę, techniki i procedury (TTP) podmiotów stanowiących zagrożenie. Powinny one pomóc obrońcom zrozumieć, w konkretnych kategoriach, w jaki sposób ich organizacja może zostać zaatakowana i jakie są najlepsze sposoby obrony przed tymi atakami lub ich łagodzenia. Zwykle zawiera kontekst techniczny i jest wykorzystywana przez personel bezpośrednio zaangażowany w obronę organizacji, taki jak architekci systemów, administratorzy i pracownicy działu bezpieczeństwa.
Raporty opracowane przez dostawców zabezpieczeń są często najłatwiejszym sposobem uzyskania taktycznych informacji o zagrożeniach. W raportach należy szukać informacji o wektorach ataków, narzędziach i infrastrukturze wykorzystywanych przez atakujących, w tym o konkretnych podatnościach i wykorzystywanych exploitach, a także o strategiach i narzędziach, których mogą oni używać w celu uniknięcia lub opóźnienia wykrycia.
Taktyczne informacje o zagrożeniach powinny być wykorzystywane do wprowadzania ulepszeń w istniejących mechanizmach i procesach bezpieczeństwa oraz przyspieszania reakcji na incydenty. Ponieważ wiele pytań, na które odpowiada wywiad taktyczny, jest unikalnych dla danej organizacji i wymaga odpowiedzi w krótkim terminie – na przykład „Czy w moich systemach jest obecna ta krytyczna luka wykorzystywana przez podmioty stanowiące zagrożenie, których celem jest moja branża?” – posiadanie rozwiązania do analizy zagrożeń, które integruje dane z własnej sieci, jest kluczowe.
Operational Threat Intelligence
Operational Intelligence to wiedza na temat cyberataków, zdarzeń lub kampanii. Zapewnia ona specjalistyczny wgląd, który pomaga zespołom reagowania na incydenty zrozumieć charakter, intencje i czas konkretnych ataków.
Ponieważ zazwyczaj obejmuje ona informacje techniczne – informacje takie jak wektor ataku, wykorzystywane podatności lub domeny dowodzenia i kontroli – ten rodzaj wywiadu jest również określany mianem technicznego wywiadu o zagrożeniach. Powszechnym źródłem informacji technicznych są kanały danych o zagrożeniach, które zazwyczaj koncentrują się na jednym typie wskaźników, takich jak hashe złośliwego oprogramowania lub podejrzane domeny.
Jeśli jednak techniczne dane wywiadowcze o zagrożeniach są ściśle rozumiane jako pochodzące z informacji technicznych, takich jak kanały danych o zagrożeniach, to techniczne i operacyjne dane wywiadowcze o zagrożeniach nie są całkowitymi synonimami – przypominają raczej diagram Venna z wieloma nakładającymi się elementami. Inne źródła informacji o konkretnych atakach mogą pochodzić ze źródeł zamkniętych, takich jak przechwytywanie komunikacji grup zagrożeń, poprzez infiltrację lub włamanie się do tych kanałów komunikacyjnych.
W związku z tym istnieje kilka barier w gromadzeniu tego rodzaju danych wywiadowczych:
- Dostęp – grupy zagrożeń mogą komunikować się za pośrednictwem prywatnych i zaszyfrowanych kanałów lub wymagać dowodu tożsamości. Istnieją również bariery językowe w przypadku grup zagrożeń zlokalizowanych w obcych krajach.
- Hałas – Ręczne zebranie dobrych informacji wywiadowczych ze źródeł o dużej objętości, takich jak czaty i media społecznościowe, może być trudne lub niemożliwe.
- Obfuskacja – Aby uniknąć wykrycia, grupy zagrożeń mogą stosować taktyki obfuskacji, takie jak używanie nazw kodowych.
Rozwiązania wywiadu o zagrożeniach, które opierają się na procesach uczenia maszynowego w celu zautomatyzowanego gromadzenia danych na dużą skalę, mogą przezwyciężyć wiele z tych problemów podczas prób opracowania skutecznego operacyjnego wywiadu o zagrożeniach. Rozwiązanie, które wykorzystuje przetwarzanie języka naturalnego, na przykład, będzie w stanie zebrać informacje ze źródeł obcojęzycznych bez konieczności posiadania specjalistycznej wiedzy ludzkiej do ich odszyfrowania.
Machine Learning for Better Threat Intelligence
Przetwarzanie danych odbywa się dziś na skalę, która wymaga automatyzacji, aby było kompleksowe. Łączenie punktów danych z wielu różnych typów źródeł – w tym źródeł otwartych, ciemnej sieci i źródeł technicznych – w celu uzyskania jak najbardziej solidnego obrazu.
Recorded Future wykorzystuje techniki uczenia maszynowego na cztery sposoby, aby ulepszyć gromadzenie i agregację danych – do strukturyzacji danych w kategorie, do analizy tekstu w wielu językach, do zapewnienia oceny ryzyka i do generowania modeli predykcyjnych.
Układanie danych w jednostki i zdarzenia
Ontologia ma do czynienia z tym, jak dzielimy pojęcia i jak je grupujemy. W nauce o danych, ontologie reprezentują kategorie podmiotów w oparciu o ich nazwy, właściwości i relacje między sobą, co ułatwia sortowanie ich w hierarchie zestawów. Na przykład, Boston, Londyn i Göteborg są odrębnymi bytami, które również wchodzą w zakres szerszego bytu „miasto”.
Jeśli byty reprezentują sposób sortowania fizycznie odrębnych pojęć, to zdarzenia sortują pojęcia w czasie. Zapisane zdarzenia przyszłości są niezależne od języka – coś takiego jak „John odwiedził Paryż”, „John odbył podróż do Paryża”, „Джон прилетел в Париж,” i „John a visité Paris” są rozpoznawane jako to samo zdarzenie.
Ontologie i zdarzenia umożliwiają wydajne wyszukiwanie w kategoriach, pozwalając analitykom skupić się na szerszym obrazie, zamiast ręcznie sortować dane.
Układanie tekstu w wielu językach za pomocą przetwarzania języka naturalnego
Dzięki przetwarzaniu języka naturalnego encje i zdarzenia są w stanie wyjść poza czyste słowa kluczowe, przekształcając nieustrukturyzowany tekst ze źródeł w różnych językach w ustrukturyzowaną bazę danych.
Uczenie maszynowe napędzające ten proces może oddzielić reklamy od treści podstawowych, sklasyfikować tekst na kategorie takie jak proza, dzienniki danych lub kod, a także rozróżnić podmioty o tej samej nazwie (takie jak „Apple” – firma i „jabłko” – owoc) za pomocą wskazówek kontekstowych w otaczającym tekście.
W ten sposób system może analizować tekst z milionów dokumentów dziennie w siedmiu różnych językach – zadanie, które wymagałoby niepraktycznie dużego i wykwalifikowanego zespołu ludzkich analityków. Oszczędność czasu w ten sposób pomaga zespołom bezpieczeństwa IT pracować o 32 procent wydajniej z Recorded Future.
Klasyfikuje zdarzenia i podmioty, pomagając ludzkim analitykom nadawać priorytety alertom
Uczenie maszynowe i metodologia statystyczna są wykorzystywane do dalszego sortowania podmiotów i zdarzeń według ważności – na przykład poprzez przypisywanie punktów ryzyka do złośliwych podmiotów.
Punktacja ryzyka jest obliczana przez dwa systemy: jeden napędzany przez reguły oparte na ludzkiej intuicji i doświadczeniu, a drugi napędzany przez uczenie maszynowe wyszkolone na już zweryfikowanym zbiorze danych.
Klasyfikatory takie jak punktacja ryzyka zapewniają zarówno ocenę („to zdarzenie jest krytyczne”), jak i kontekst wyjaśniający wynik („ponieważ wiele źródeł potwierdza, że ten adres IP jest złośliwy”).
Automatyzacja sposobu klasyfikacji zagrożeń oszczędza analitykom czasu na sortowanie fałszywych pozytywów i podejmowanie decyzji o tym, co należy traktować priorytetowo, pomagając pracownikom działu bezpieczeństwa IT korzystającym z Recorded Future spędzać o 34 procent mniej czasu na opracowywaniu raportów.
Prognozowanie zdarzeń i właściwości podmiotów za pomocą modeli predykcyjnych
Uczenie maszynowe może również generować modele, które przewidują przyszłość, często znacznie dokładniej niż ludzcy analitycy, czerpiąc z głębokich pul danych uprzednio wydobytych i skategoryzowanych.
Jest to szczególnie silne zastosowanie „prawa wielkich liczb” w uczeniu maszynowym – w miarę jak będziemy korzystać z coraz większej liczby źródeł danych, te modele predykcyjne będą stawały się coraz dokładniejsze.
Przypadki użycia wywiadu o zagrożeniach
Różne przypadki użycia wywiadu o zagrożeniach sprawiają, że jest on niezbędnym zasobem dla zespołów wielofunkcyjnych w każdej organizacji. Chociaż prawdopodobnie najbardziej wartościowe jest natychmiastowe zapobieganie atakom, dane wywiadu o zagrożeniach stanowią również użyteczną część triage’u, analizy ryzyka, zarządzania podatnościami i podejmowania decyzji w szerokim zakresie.
Reagowanie na incydenty
Analitycy ds. bezpieczeństwa odpowiedzialni za reagowanie na incydenty zgłaszają jedne z najwyższych poziomów stresu w branży i nic dziwnego, że tak się dzieje – liczba incydentów cybernetycznych stale rosła w ciągu ostatnich dwóch dekad, a duża część codziennych alarmów okazuje się fałszywie pozytywna. W przypadku prawdziwych incydentów analitycy muszą często spędzać czas na żmudnym ręcznym sortowaniu danych, aby ocenić problem.
Wiadomości o zagrożeniach zmniejszają tę presję na wiele sposobów:
- Automatyczne identyfikowanie i odrzucanie fałszywych alarmów pozytywnych
- Wzbogacanie alertów o kontekst w czasie rzeczywistym, taki jak niestandardowe oceny ryzyka
- Porównywanie informacji ze źródeł wewnętrznych i zewnętrznych
Użytkownicy firmy Recorded Future identyfikują zagrożenia 10 razy szybciej niż przed zintegrowaniem inteligencji zagrożeń ze swoimi rozwiązaniami bezpieczeństwa, co daje im średnio o kilka dni więcej czasu na reagowanie na zagrożenia w branży, w której nawet sekundy mogą mieć znaczenie.
Operacje bezpieczeństwa
Większość zespołów centrum operacji bezpieczeństwa (SOC) musi radzić sobie z ogromnymi ilościami alertów generowanych przez sieci, które monitorują. Rozwiązywanie problemów z tymi alarmami trwa zbyt długo, a wiele z nich w ogóle nie jest badanych. „Zmęczenie alertami” prowadzi do tego, że analitycy traktują je mniej poważnie niż powinni. Wywiad dotyczący zagrożeń rozwiązuje wiele z tych problemów – pomaga szybciej i dokładniej gromadzić informacje o zagrożeniach, odfiltrować fałszywe alarmy, przyspieszyć triage i uprościć analizę incydentów. Dzięki temu analitycy mogą przestać tracić czas na śledzenie alarmów opartych na:
- Działaniach, które z dużym prawdopodobieństwem są raczej nieszkodliwe niż złośliwe
- Atakach, które nie są istotne dla danego przedsiębiorstwa
- Atakach, w przypadku których wdrożono już mechanizmy obronne i kontrolne
Ale oprócz przyspieszenia eliminacji zagrożeń, analityka zagrożeń może pomóc zespołom SOC uprościć analizę incydentów i ich ograniczanie. Użytkownicy Recorded Future rozwiązują problemy o 63 procent szybciej, zmniejszając liczbę krytycznych godzin spędzanych na usuwaniu skutków zagrożeń o ponad połowę.
Zarządzanie podatnościami
Skuteczne zarządzanie podatnościami oznacza zmianę podejścia z „łatania wszystkiego i przez cały czas” – takiego, którego nikt nie jest w stanie realistycznie osiągnąć – na priorytetowe traktowanie podatności w oparciu o rzeczywiste ryzyko.
Choć liczba podatności i zagrożeń wzrasta każdego roku, badania pokazują, że większość zagrożeń jest ukierunkowana na tę samą, niewielką część podatności. Podmioty stanowiące zagrożenie są również szybsze – od momentu ogłoszenia nowej luki do pojawienia się exploita wykorzystującego tę lukę mija średnio piętnaście dni.
Ma to dwie implikacje:
- Masz dwa tygodnie na załatanie lub remediate swoich systemów przed nowym exploitem. Jeśli nie możesz załatać luki w tym czasie, opracuj plan łagodzenia szkód.
- Jeśli nowa luka nie zostanie wykorzystana w ciągu dwóch tygodni do trzech miesięcy, jest mało prawdopodobne, aby kiedykolwiek została wykorzystana – jej załatanie może mieć niższy priorytet.
Wiadomości o zagrożeniach pomagają zidentyfikować luki, które stanowią rzeczywiste ryzyko dla Twojej organizacji, wykraczając poza punktację CVE poprzez połączenie wewnętrznych danych ze skanowania luk, danych zewnętrznych oraz dodatkowego kontekstu dotyczącego TTP podmiotów stanowiących zagrożenie. Dzięki Recorded Future użytkownicy identyfikują o 22 procent więcej rzeczywistych zagrożeń, zanim będą one miały poważny wpływ.
Analiza ryzyka
Modelowanie ryzyka może być dla organizacji użytecznym sposobem określania priorytetów inwestycyjnych. Jednak wiele modeli ryzyka cierpi z powodu niejasnych, niekwantyfikowanych danych wyjściowych, które są pospiesznie opracowane, oparte na częściowych informacjach, na bezpodstawnych założeniach lub na których trudno jest podjąć działania.
Wiadomości o zagrożeniach zapewniają kontekst, który pomaga modelom ryzyka dokonywać określonych pomiarów ryzyka i być bardziej przejrzystym w zakresie założeń, zmiennych i wyników. Może pomóc odpowiedzieć na takie pytania, jak:
- Którzy aktorzy zagrożeń używają tego ataku i czy ich celem jest nasza branża?
- Jak często ten konkretny atak był ostatnio obserwowany przez przedsiębiorstwa takie jak nasze?
- Czy tendencja jest wzrostowa czy spadkowa?
- Jakie luki wykorzystuje ten atak i czy te luki występują w naszym przedsiębiorstwie?
- Jakiego rodzaju szkody, techniczne i finansowe, spowodował ten atak w przedsiębiorstwach takich jak nasze?
Zadawanie właściwych pytań za pomocą inteligencji zagrożeń Recorded Future to jeden ze sposobów, w jaki użytkownicy odnotowują 86-procentową redukcję nieplanowanych przestojów – to ogromna różnica, gdy nawet minuta przestoju może kosztować niektóre organizacje do 9 000 USD w postaci utraconej produktywności i innych szkód.
Zapobieganie oszustwom
Aby zapewnić bezpieczeństwo Twojej organizacji, nie wystarczy tylko wykrywać i reagować na zagrożenia już wykorzystujące Twoje systemy. Należy również zapobiegać nieuczciwemu wykorzystaniu danych lub marki.
Informacje o zagrożeniach zebrane od podziemnych społeczności przestępczych zapewniają wgląd w motywacje, metody i taktykę podmiotów stanowiących zagrożenie, zwłaszcza gdy informacje te są skorelowane z informacjami pochodzącymi z sieci, w tym z informacjami technicznymi i wskaźnikami.
Używaj wywiadu o zagrożeniach do zapobiegania:
- Oszustwom płatniczym – Monitorowanie źródeł takich jak społeczności przestępcze, strony z pastą i inne fora pod kątem odpowiednich numerów kart płatniczych, numerów identyfikatorów bankowych lub konkretnych odniesień do instytucji finansowych może zapewnić wczesne ostrzeżenie o nadchodzących atakach, które mogą mieć wpływ na Twoją organizację.
- Skompromitowane dane – Cyberprzestępcy regularnie przesyłają ogromne cache nazw użytkowników i haseł do stron z pastą i ciemną siecią lub udostępniają je na sprzedaż na podziemnych rynkach. Monitoruj te źródła za pomocą informacji o zagrożeniach, aby uważać na wyciek danych uwierzytelniających, danych firmowych lub zastrzeżonego kodu.
- Typosquatting – Otrzymuj w czasie rzeczywistym alerty o nowo zarejestrowanych domenach phishingowych i typosquattingowych, aby uniemożliwić cyberprzestępcom podszywanie się pod Twoją markę i wyłudzanie pieniędzy od niczego niepodejrzewających użytkowników.
Unikając większej liczby naruszeń dzięki analizie zagrożeń, użytkownicy Recorded Future są w stanie zaoszczędzić ponad 1 milion dolarów na każdym potencjalnym naruszeniu poprzez niszczące grzywny, kary i utratę zaufania konsumentów.
Przywództwo w zakresie bezpieczeństwa
CISO i inni liderzy ds. bezpieczeństwa muszą zarządzać ryzykiem, równoważąc ograniczone dostępne zasoby z potrzebą zabezpieczenia organizacji przed stale ewoluującymi zagrożeniami. Informacje o zagrożeniach mogą pomóc w mapowaniu krajobrazu zagrożeń, obliczaniu ryzyka oraz zapewnieniu pracownikom działu bezpieczeństwa informacji i kontekstu do podejmowania lepszych, szybszych decyzji.
Dzisiaj liderzy ds. bezpieczeństwa muszą:
- Oceniać ryzyko biznesowe i techniczne, w tym pojawiające się zagrożenia i „znane niewiadome”, które mogą mieć wpływ na działalność
- Identyfikować odpowiednie strategie i technologie w celu ograniczenia ryzyka
- Komunikować charakter zagrożeń kierownictwu najwyższego szczebla i uzasadniać inwestycje w środki obronne
Dziennik danych o zagrożeniach może być krytycznym zasobem dla wszystkich tych działań, dostarczając informacji o ogólnych trendach, takich jak:
- Które rodzaje ataków stają się coraz częstsze (lub rzadsze)
- Które rodzaje ataków są najbardziej kosztowne dla ofiar
- Jakie nowe rodzaje podmiotów stanowiących zagrożenie pojawiają się, oraz zasoby i przedsiębiorstwa, w które są one wymierzone
- Praktyki i technologie bezpieczeństwa, które okazały się najbardziej (lub najmniej) skuteczne w powstrzymywaniu lub ograniczaniu tych ataków
Mogą one również umożliwić grupom ds. bezpieczeństwa ocenę, czy pojawiające się zagrożenie może mieć wpływ na ich konkretne przedsiębiorstwo w oparciu o takie czynniki, jak:
- Branża – Czy zagrożenie ma wpływ na inne przedsiębiorstwa w naszym pionie?
- Technologia – czy zagrożenie dotyczy oprogramowania, sprzętu lub innych technologii wykorzystywanych w naszym przedsiębiorstwie?
- Geografia – czy zagrożenie jest ukierunkowane na obiekty w regionach, w których prowadzimy działalność?
- Metoda ataku – Czy metody użyte w ataku, w tym socjotechnika i metody techniczne, zostały z powodzeniem wykorzystane przeciwko naszej lub podobnej firmie?
Dzięki tego rodzaju informacjom, zebranym z szerokiego zestawu zewnętrznych źródeł danych, decydenci ds. bezpieczeństwa uzyskują całościowy obraz krajobrazu zagrożeń cybernetycznych i największych zagrożeń dla ich przedsiębiorstwa.
Oto cztery kluczowe obszary, w których wywiad o zagrożeniach pomaga liderom ds. bezpieczeństwa w podejmowaniu decyzji:
- Łagodzenie zagrożeń – Wywiad o zagrożeniach pomaga liderom ds. bezpieczeństwa w ustalaniu priorytetów w zakresie podatności i słabości, które najprawdopodobniej będą celem ataków podmiotów stanowiących zagrożenie, zapewniając kontekst dla stosowanych przez te podmioty metod TTP, a tym samym słabości, które zazwyczaj wykorzystują.
- Komunikacja – CISO często stają przed koniecznością opisania zagrożeń i uzasadnienia środków zaradczych w kategoriach, które zmotywują nietechnicznych liderów biznesowych, takich jak koszty, wpływ na klientów, nowe technologie. Wywiad dotyczący zagrożeń dostarcza potężnej amunicji do tych dyskusji, np. wpływ podobnych ataków na firmy tej samej wielkości w innych branżach lub trendy i informacje wywiadowcze z ciemnej sieci wskazujące, że przedsiębiorstwo prawdopodobnie stanie się celem ataku.
- Wspieranie liderów – Wywiad dotyczący zagrożeń może zapewnić liderom ds. bezpieczeństwa obraz najnowszych zagrożeń, trendów i wydarzeń w czasie rzeczywistym, pomagając liderom ds. bezpieczeństwa reagować na zagrożenia lub informować liderów biznesowych i członków zarządu o potencjalnym wpływie nowego typu zagrożenia w sposób terminowy i skuteczny.
- Luka w umiejętnościach w zakresie bezpieczeństwa – CISO muszą upewnić się, że organizacja IT posiada zasoby ludzkie do realizacji swojej misji. Niedobór umiejętności w dziedzinie bezpieczeństwa cybernetycznego oznacza jednak, że obecni pracownicy zajmujący się bezpieczeństwem często muszą radzić sobie z obciążeniem pracą nie do opanowania. Wywiad o zagrożeniach automatyzuje niektóre z najbardziej pracochłonnych zadań, szybko zbierając dane i korelując kontekst z wielu źródeł wywiadowczych, nadając priorytety zagrożeniom i redukując niepotrzebne alerty. Zaawansowana analityka zagrożeń pomaga również młodszym pracownikom szybko podnosić kwalifikacje i osiągać wyniki przewyższające ich poziom doświadczenia.
Redukcja ryzyka stron trzecich
Niezliczone organizacje przekształcają sposób prowadzenia działalności za pomocą procesów cyfrowych. Przenoszą one dane z sieci wewnętrznych do chmury i gromadzą więcej informacji niż kiedykolwiek wcześniej.
Ułatwianie gromadzenia, przechowywania i analizowania danych z pewnością zmienia na lepsze wiele branż, ale ten swobodny przepływ informacji ma swoją cenę. Oznacza to, że aby ocenić ryzyko naszej własnej organizacji, musimy również rozważyć bezpieczeństwo naszych partnerów, sprzedawców i innych stron trzecich.
Niestety, wiele z najbardziej powszechnych praktyk zarządzania ryzykiem stron trzecich stosowanych obecnie pozostaje w tyle za wymaganiami bezpieczeństwa. Statyczne oceny ryzyka, takie jak audyty finansowe i weryfikacje certyfikatów bezpieczeństwa, są nadal ważne, ale często brakuje im kontekstu i nie zawsze są przeprowadzane na czas. Potrzebne jest rozwiązanie, które oferuje kontekst w czasie rzeczywistym na temat rzeczywistego środowiska zagrożeń.
Dziennik zagrożeń jest jednym ze sposobów, aby to osiągnąć. Może ono zapewnić przejrzystość środowisk zagrożeń firm trzecich, z którymi współpracujesz, dostarczając w czasie rzeczywistym ostrzeżenia o zagrożeniach i zmianach w ich ryzyku oraz dając Ci kontekst potrzebny do oceny Twoich relacji.