Tehnologiile digitale se află astăzi în centrul aproape tuturor industriilor. Automatizarea și conectivitatea mai mare pe care acestea le permit au revoluționat instituțiile economice și culturale ale lumii – dar au adus și riscuri sub forma atacurilor cibernetice. Informațiile privind amenințările sunt cunoștințe care vă permit să preveniți sau să atenuați aceste atacuri. Înrădăcinate în date, informațiile privind amenințările oferă un context – cum ar fi cine vă atacă, care sunt motivația și capacitățile lor și ce indicatori de compromitere a sistemelor dvs. trebuie să căutați – care vă ajută să luați decizii în cunoștință de cauză cu privire la securitatea dvs.
„Informațiile privind amenințările sunt cunoștințe bazate pe dovezi, inclusiv context, mecanisme, indicatori, implicații și sfaturi orientate spre acțiune cu privire la o amenințare sau un pericol existent sau emergent pentru active. Aceste informații pot fi utilizate pentru a informa deciziile privind răspunsul subiectului la amenințarea sau pericolul respectiv.” – Gartner
Pentru informații mai detaliate, consultați secțiunile din această prezentare generală intitulate „The Threat Intelligence Lifecycle” (Ciclul de viață al informațiilor privind amenințările) și „The Types of Threat Intelligence” (Tipurile de informații privind amenințările).”
- De ce sunt importante informațiile privind amenințările?
- Cine poate beneficia de Threat Intelligence?
- Ciclul de viață al informațiilor despre amenințări
- Planificare și direcționare
- Colectare
- Procesare
- Analiză
- Diseminare
- Feedback
- Tipurile de informații privind amenințările
- Informații strategice privind amenințările
- Informații privind amenințările tactice
- Informații operaționale privind amenințările
- Machine Learning for Better Threat Intelligence
- Pentru a structura datele în entități și evenimente
- Structurarea textului în mai multe limbi prin procesarea limbajului natural
- Pentru a clasifica evenimentele și entitățile, ajutându-i pe analiștii umani să prioritizeze alertele
- Pentru a prevedea evenimente și proprietăți ale entităților prin modele predictive
- Cazuri de utilizare a informațiilor privind amenințările
- Răspunsul la incidente
- Operațiuni de securitate
- Gestionarea vulnerabilităților
- Analiză de risc
- Prevenirea fraudei
- Security Leadership
- Reducerea riscurilor terților
De ce sunt importante informațiile privind amenințările?
În prezent, industria securității cibernetice se confruntă cu numeroase provocări – actori de amenințări din ce în ce mai persistenți și mai vicleni, o avalanșă zilnică de date pline de informații străine și alarme false în cadrul unor sisteme de securitate multiple și neconectate și o lipsă gravă de profesioniști calificați.
Câteva organizații încearcă să încorporeze fluxuri de date privind amenințările în rețeaua lor, dar nu știu ce să facă cu toate aceste date suplimentare, ceea ce se adaugă la povara analiștilor care s-ar putea să nu aibă instrumentele necesare pentru a decide ce să prioritizeze și ce să ignore.
O soluție de informații privind amenințările cibernetice poate aborda fiecare dintre aceste probleme. Cele mai bune soluții utilizează învățarea automatizată pentru a automatiza colectarea și procesarea datelor, se integrează cu soluțiile dvs. existente, preiau date nestructurate din surse disparate și apoi leagă punctele prin furnizarea de context privind indicatorii de compromitere (IoC) și tacticile, tehnicile și procedurile (TTP) ale actorilor de amenințare.
Threat intelligence este acționabil – este oportun, oferă context și poate fi înțeles de către persoanele responsabile de luarea deciziilor.
Cine poate beneficia de Threat Intelligence?
Toată lumea! Informațiile privind amenințările cibernetice sunt în general imaginate ca fiind de domeniul analiștilor de elită. În realitate, acesta adaugă valoare în toate funcțiile de securitate pentru organizațiile de toate dimensiunile.
Când informațiile privind amenințările sunt tratate ca o funcție separată în cadrul unei paradigme de securitate mai largi, mai degrabă decât ca o componentă esențială care sporește fiecare altă funcție, rezultatul este că multe dintre persoanele care ar beneficia cel mai mult de informațiile privind amenințările nu au acces la acestea atunci când au nevoie.
Echipele de operațiuni de securitate sunt în mod obișnuit incapabile să proceseze alertele pe care le primesc – informațiile privind amenințările se integrează cu soluțiile de securitate pe care le folosiți deja, ajutând la prioritizarea și filtrarea automată a alertelor și a altor amenințări. Echipele de gestionare a vulnerabilităților pot prioritiza cu mai multă acuratețe cele mai importante vulnerabilități, având acces la informațiile externe și la contextul oferit de informațiile despre amenințări. Iar prevenirea fraudei, analiza riscurilor și alte procese de securitate la nivel înalt sunt îmbogățite de înțelegerea peisajului actual al amenințărilor pe care o oferă informațiile despre amenințări, inclusiv informații cheie despre actorii care reprezintă amenințări, tacticile, tehnicile și procedurile acestora și multe altele din surse de date de pe întreaga rețea.
Consultați secțiunea noastră de mai jos privind cazurile de utilizare pentru o privire mai profundă asupra modului în care fiecare rol de securitate poate beneficia de informațiile despre amenințări.
Ciclul de viață al informațiilor despre amenințări
Atunci, cum se produc informațiile despre amenințările cibernetice? Datele brute nu sunt același lucru cu informațiile – informațiile privind amenințările cibernetice sunt produsul finit care rezultă dintr-un ciclu în șase părți de colectare, procesare și analiză a datelor. Acest proces este un ciclu deoarece, pe parcursul elaborării informațiilor, sunt identificate noi întrebări și lacune în cunoștințe, ceea ce duce la stabilirea unor noi cerințe de colectare. Un program eficient de informații este iterativ, devenind mai rafinat în timp.
Pentru a maximiza valoarea informațiilor despre amenințări pe care le produceți, este esențial să vă identificați cazurile de utilizare și să vă definiți obiectivele înainte de a face orice altceva.
Planificare și direcționare
Primul pas pentru a produce informații despre amenințări care pot fi puse în practică este să puneți întrebarea potrivită.
Întrebările care conduc cel mai bine la crearea de informații despre amenințări care pot fi puse în practică se concentrează pe un singur fapt, eveniment sau activitate – întrebările largi și deschise ar trebui, de obicei, să fie evitate.
Prioritizați-vă obiectivele de informații pe baza unor factori precum cât de mult aderă la valorile de bază ale organizației dumneavoastră, cât de mare va fi impactul pe care îl va avea decizia rezultată și cât de sensibilă este decizia în funcție de timp.
Un factor de orientare important în această etapă este înțelegerea cine va consuma și va beneficia de produsul finit – informațiile vor ajunge la o echipă de analiști cu expertiză tehnică care au nevoie de un raport rapid cu privire la un nou exploit sau la un director executiv care caută o imagine de ansamblu amplă a tendințelor pentru a-și fundamenta deciziile de investiții în securitate pentru următorul trimestru?
Colectare
Postul următor este colectarea datelor brute care îndeplinesc cerințele stabilite în prima etapă. Cel mai bine este să colectați date dintr-o gamă largă de surse – cele interne, cum ar fi jurnalele de evenimente de rețea și înregistrările răspunsurilor la incidente din trecut, și cele externe de pe web-ul deschis, dark web-ul și sursele tehnice.
Datele de amenințare sunt de obicei considerate ca fiind liste de IoC-uri, cum ar fi adrese IP malițioase, domenii și hașuri de fișiere, dar pot include, de asemenea, informații despre vulnerabilități, cum ar fi informațiile de identificare personală ale clienților, coduri brute de pe site-urile de lipire și texte din surse de știri sau social media.
Procesare
După ce toate datele brute au fost colectate, trebuie să le sortați, organizându-le cu ajutorul etichetelor de metadate și filtrând informațiile redundante sau falsele pozitive și negative.
Astăzi, chiar și organizațiile mici colectează date de ordinul a milioane de evenimente de jurnal și sute de mii de indicatori în fiecare zi. Este prea mult pentru ca analiștii umani să proceseze în mod eficient – colectarea și procesarea datelor trebuie să fie automatizate pentru a începe să le dea un sens.
Soluțiile precum SIEM-urile sunt un bun punct de plecare, deoarece acestea fac relativ ușoară structurarea datelor cu reguli de corelare care pot fi configurate pentru câteva cazuri de utilizare diferite, dar pot prelua doar un număr limitat de tipuri de date.
Dacă colectați date nestructurate din multe surse interne și externe diferite, veți avea nevoie de o soluție mai robustă. Recorded Future folosește învățarea automată și procesarea limbajului natural pentru a analiza textul din milioane de documente nestructurate în șapte limbi diferite și pentru a le clasifica folosind ontologii și evenimente independente de limbă, permițând analiștilor să efectueze căutări puternice și intuitive care depășesc cuvintele cheie goale și regulile simple de corelare.
Analiză
Postul următor este de a da sens datelor procesate. Scopul analizei este de a căuta potențiale probleme de securitate și de a notifica echipele relevante într-un format care să îndeplinească cerințele de informații subliniate în etapa de planificare și direcționare.
Serviciile de informații privind amenințările pot lua mai multe forme, în funcție de obiectivele inițiale și de publicul vizat, dar ideea este de a aduce datele într-un format pe care publicul să îl înțeleagă. Acest lucru poate varia de la simple liste de amenințări până la rapoarte revizuite de colegi.
Diseminare
Produsul finit este apoi distribuit consumatorilor destinați. Pentru ca informațiile privind amenințările să fie acționabile, acestea trebuie să ajungă la persoanele potrivite la momentul potrivit.
De asemenea, trebuie să fie urmărite, astfel încât să existe continuitate între un ciclu de informații și următorul și învățarea să nu se piardă. Folosiți sisteme de ticketing care se integrează cu celelalte sisteme de securitate pentru a urmări fiecare etapă a ciclului de informații – de fiecare dată când apare o nouă solicitare de informații, biletele pot fi trimise, redactate, revizuite și îndeplinite de mai multe persoane din diferite echipe, toate într-un singur loc.
Feedback
Etapa finală este cea în care ciclul de informații se încheie, ceea ce îl face să fie strâns legat de faza inițială de planificare și direcționare. După ce primește produsul finit de informații, cel care a făcut cererea inițială îl analizează și stabilește dacă s-a răspuns la întrebările sale. Acest lucru determină obiectivele și procedurile următorului ciclu de informații, ceea ce face din nou ca documentarea și continuitatea să fie esențiale.
Tipurile de informații privind amenințările
După cum demonstrează ciclul de viață al informațiilor privind amenințările, produsul final va arăta diferit în funcție de cerințele inițiale de informații, de sursele de informații și de publicul vizat. Poate fi util să împărțim informațiile privind amenințările în câteva categorii pe baza acestor criterii.
Serviciile de informații privind amenințările sunt adesea defalcate în trei subcategorii:
- Strategice – Tendințe mai largi destinate, de obicei, unei audiențe non-tehnice
- Tactice – Schițe ale tacticilor, tehnicilor și procedurilor actorilor de amenințare pentru o audiență mai tehnică
- Operaționale – Detalii tehnice despre atacuri și campanii specifice
Informații strategice privind amenințările
Informațiile strategice privind amenințările oferă o imagine de ansamblu a peisajului de amenințări al unei organizații. Este destinat să informeze deciziile la nivel înalt luate de directori și de alți factori de decizie dintr-o organizație – ca atare, conținutul este, în general, mai puțin tehnic și este prezentat prin intermediul unor rapoarte sau informări. Un bun serviciu de informații strategice ar trebui să ofere o perspectivă în domenii precum riscurile asociate cu anumite linii de acțiune, modelele generale ale tacticilor și țintelor actorilor de amenințare, precum și evenimentele și tendințele geopolitice.
Sursele comune de informații pentru informațiile strategice privind amenințările includ:
- Documente de politică de la state-națiune sau organizații neguvernamentale
- Știri din mass-media locală și națională, publicații specifice industriei și subiectului sau alți experți în domeniu
- Cărți albe, rapoarte de cercetare și alte conținuturi produse de organizații de securitate
Producția de informații strategice solide privind amenințările începe cu adresarea de întrebări focalizate și specifice pentru a stabili cerințele de informații. De asemenea, este nevoie de analiști cu expertiză în afara abilităților tipice de securitate cibernetică – în special, o înțelegere puternică a conceptelor sociopolitice și de afaceri.
Deși produsul final este non-tehnic, producerea de informații strategice eficiente necesită o cercetare profundă prin volume masive de date, adesea în mai multe limbi. Acest lucru poate face ca strângerea și prelucrarea inițială a datelor să fie prea dificilă pentru a fi realizată manual, chiar și pentru acei analiști rarificați care posedă competențele lingvistice, pregătirea tehnică și abilitățile comerciale adecvate. O soluție de informații privind amenințările care automatizează colectarea și procesarea datelor ajută la reducerea acestei sarcini și permite analiștilor care nu au atât de multă expertiză să lucreze mai eficient.
Informații privind amenințările tactice
Informațiile privind amenințările tactice descriu tacticile, tehnicile și procedurile (TTP) ale actorilor de amenințări. Ar trebui să ajute apărătorii să înțeleagă, în termeni specifici, modul în care organizația lor ar putea fi atacată și cele mai bune modalități de a se apăra împotriva acestor atacuri sau de a le atenua. De obicei, include contextul tehnic și este utilizat de personalul direct implicat în apărarea unei organizații, cum ar fi arhitecții de sistem, administratorii și personalul de securitate.
Rapoartele produse de furnizorii de securitate sunt adesea cea mai ușoară modalitate de a obține informații tactice privind amenințările. Căutați în rapoarte informații despre vectorii de atac, instrumentele și infrastructura pe care le folosesc atacatorii, inclusiv detalii despre ce vulnerabilități sunt vizate și ce exploatări folosesc atacatorii, precum și despre strategiile și instrumentele pe care aceștia le pot folosi pentru a evita sau întârzia detectarea.
Informația tactică privind amenințările ar trebui să fie utilizată pentru a informa îmbunătățirile aduse controalelor și proceselor de securitate existente și pentru a accelera răspunsul la incidente. Deoarece multe dintre întrebările la care răspunde inteligența tactică sunt unice pentru organizația dvs. și trebuie să primească un răspuns într-un termen scurt – de exemplu, „Este această vulnerabilitate critică exploatată de actorii de amenințare care vizează industria mea prezentă în sistemele mele?”. – este esențial să dispuneți de o soluție de informații privind amenințările care integrează date din propria rețea.
Informații operaționale privind amenințările
Informațiile operaționale reprezintă cunoștințe despre atacuri, evenimente sau campanii cibernetice. Oferă informații specializate care ajută echipele de răspuns la incidente să înțeleagă natura, intenția și momentul atacurilor specifice.
Pentru că acestea includ, de obicei, informații tehnice – informații precum ce vector de atac este utilizat, ce vulnerabilități sunt exploatate sau ce domenii de comandă și control sunt folosite – acest tip de informații este denumit și informații tehnice privind amenințările. O sursă obișnuită de informații tehnice este reprezentată de fluxurile de date privind amenințările, care se concentrează de obicei pe un singur tip de indicator, cum ar fi hașurile malware sau domeniile suspecte.
Dar dacă informațiile tehnice privind amenințările sunt considerate strict ca provenind din informații tehnice, cum ar fi fluxurile de date privind amenințările, atunci informațiile tehnice și informațiile operaționale privind amenințările nu sunt în totalitate sinonime – mai degrabă o diagramă Venn cu suprapuneri uriașe. Alte surse de informații cu privire la atacuri specifice pot proveni din surse închise, cum ar fi interceptarea comunicațiilor grupurilor de amenințare, fie prin infiltrare, fie prin spargerea acelor canale de comunicare.
În consecință, există câteva bariere în colectarea acestui tip de informații:
- Acces – Grupurile de amenințare pot comunica prin canale private și criptate sau pot necesita anumite dovezi de identificare. Există, de asemenea, bariere lingvistice în cazul grupurilor de amenințare localizate în țări străine.
- Zgomot – Poate fi dificil sau imposibil să se adune manual informații bune din surse cu volum mare de informații, cum ar fi camerele de chat și rețelele sociale.
- Ofuscare – Pentru a evita detectarea, grupurile de amenințare ar putea folosi tactici de ofuscare, cum ar fi utilizarea numelor de cod.
Soluțiile de informații privind amenințările care se bazează pe procese de învățare automată pentru colectarea automată a datelor pe scară largă pot depăși multe dintre aceste probleme atunci când se încearcă dezvoltarea unor informații operaționale eficiente privind amenințările. O soluție care utilizează procesarea limbajului natural, de exemplu, va fi capabilă să adune informații din surse în limbi străine fără a avea nevoie de expertiză umană pentru a le descifra.
Machine Learning for Better Threat Intelligence
Procesarea datelor are loc astăzi la o scară care necesită automatizare pentru a fi cuprinzătoare. Combinați punctele de date din mai multe tipuri diferite de surse – inclusiv surse deschise, dark web și surse tehnice – pentru a forma cea mai solidă imagine posibilă.
Recorded Future utilizează tehnici de învățare automată în patru moduri pentru a îmbunătăți colectarea și agregarea datelor – pentru a structura datele în categorii, pentru a analiza textul în mai multe limbi, pentru a oferi scoruri de risc și pentru a genera modele predictive.
Pentru a structura datele în entități și evenimente
Ontologia are de-a face cu modul în care împărțim conceptele și cum le grupăm. În știința datelor, ontologiile reprezintă categorii de entități pe baza numelor, proprietăților și relațiilor dintre ele, facilitând sortarea lor în ierarhii de seturi. De exemplu, Boston, Londra și Göteborg sunt toate entități distincte care se vor încadra, de asemenea, în entitatea mai largă „oraș”.
Dacă entitățile reprezintă o modalitate de a sorta concepte distincte din punct de vedere fizic, atunci evenimentele sortează conceptele în timp. Evenimentele înregistrate în viitor sunt independente de limbă – ceva de genul „John a vizitat Parisul”, „John a făcut o excursie la Paris”, „Джон прилетел в Париж” și „John a visité Paris” sunt toate recunoscute ca fiind același eveniment.
Ontologiile și evenimentele permit căutări puternice pe categorii, permițând analiștilor să se concentreze asupra imaginii de ansamblu în loc să fie nevoiți să sorteze ei înșiși manual datele.
Structurarea textului în mai multe limbi prin procesarea limbajului natural
Cu ajutorul procesării limbajului natural, entitățile și evenimentele sunt capabile să meargă dincolo de cuvinte cheie goale, transformând textul nestructurat din surse în diferite limbi într-o bază de date structurată.
Procesul de învățare automată care conduce acest proces poate separa publicitatea de conținutul primar, poate clasifica textul în categorii precum proză, jurnale de date sau cod și poate dezambiguiza între entități cu același nume (cum ar fi „Apple”, compania, și „măr”, fructul) folosind indicii contextuale din textul înconjurător.
În acest fel, sistemul poate analiza textul din milioane de documente zilnic în șapte limbi diferite – o sarcină care ar necesita o echipă de analiști umani nepractic de mare și calificată pentru a o realiza. O astfel de economie de timp ajută echipele de securitate IT să lucreze cu 32% mai eficient cu Recorded Future.
Pentru a clasifica evenimentele și entitățile, ajutându-i pe analiștii umani să prioritizeze alertele
Învățarea mecanică și metodologia statistică sunt folosite pentru a clasifica în continuare entitățile și evenimentele în funcție de importanță – de exemplu, prin atribuirea de scoruri de risc entităților rău intenționate.
Scorele de risc sunt calculate prin intermediul a două sisteme: unul condus de reguli bazate pe intuiția și experiența umană, iar celălalt condus de învățarea automată antrenată pe un set de date deja verificat.
Clasificatorii precum scorurile de risc oferă atât o judecată („acest eveniment este critic”), cât și contextul care explică scorul („deoarece mai multe surse confirmă că această adresă IP este rău intenționată”).
Automatizarea modului de clasificare a riscurilor economisește timpul analiștilor de a sorta prin falsurile pozitive și de a decide ce să prioritizeze, ajutând personalul de securitate IT care utilizează Recorded Future să petreacă cu 34% mai puțin timp pentru compilarea rapoartelor.
Pentru a prevedea evenimente și proprietăți ale entităților prin modele predictive
Învățarea mecanică poate genera, de asemenea, modele care prezic viitorul, de multe ori mult mai precis decât orice analist uman, bazându-se pe bazele profunde de date extrase și clasificate anterior.
Aceasta este o aplicație deosebit de puternică a „legii numerelor mari” a învățării automate – pe măsură ce continuăm să atragem mai multe surse de date, aceste modele predictive vor deveni din ce în ce mai precise.
Cazuri de utilizare a informațiilor privind amenințările
Cazurile diverse de utilizare a informațiilor privind amenințările fac din acestea o resursă esențială pentru echipele interfuncționale din orice organizație. Deși este poate cel mai imediat valoros atunci când vă ajută să preveniți un atac, informațiile privind amenințările sunt, de asemenea, o parte utilă a triajului, a analizei riscurilor, a gestionării vulnerabilităților și a procesului de luare a deciziilor pe scară largă.
Răspunsul la incidente
Analiștii de securitate însărcinați cu răspunsul la incidente raportează unele dintre cele mai ridicate niveluri de stres din industrie și nu este de mirare de ce – rata incidentelor cibernetice a crescut constant în ultimele două decenii, iar o mare parte din alertele zilnice se dovedesc a fi false pozitive. Atunci când au de-a face cu incidente reale, analiștii trebuie să petreacă adesea timp triind manual și cu greu datele pentru a evalua problema.
Serviciile de informații privind amenințările reduc presiunea în mai multe moduri:
- Identificarea și respingerea automată a falselor pozitive
- Îmbogățirea alertelor cu context în timp real, cum ar fi scorurile de risc personalizate
- Compararea informațiilor din surse interne și externe
Utilizatorii Recorded Future identifică riscurile de 10 ori mai repede decât o făceau înainte de a integra informații despre amenințări în soluțiile lor de securitate, oferindu-le în medie cu câteva zile mai mult timp pentru a răspunde la amenințări într-o industrie în care chiar și secundele pot conta.
Operațiuni de securitate
Majoritatea echipelor centrelor de operațiuni de securitate (SOC) trebuie să facă față unor volume uriașe de alerte generate de rețelele pe care le monitorizează. Triajul acestor alerte durează prea mult, iar multe dintre ele nu sunt niciodată investigate. „Oboseala alertelor” îi determină pe analiști să ia alertele mai puțin în serios decât ar trebui. Informațiile privind amenințările rezolvă multe dintre aceste probleme – ajutând la colectarea mai rapidă și mai precisă a informațiilor despre amenințări, la filtrarea alarmelor false, la accelerarea triajului și la simplificarea analizei incidentelor. Cu ajutorul acestuia, analiștii pot înceta să mai piardă timp urmărind alerte bazate pe:
- Acțiuni care este mai probabil să fie mai degrabă inofensive decât rău intenționate
- Atacțiuni care nu sunt relevante pentru întreprinderea respectivă
- Atacțiuni pentru care apărările și controalele sunt deja instituite
Pe lângă accelerarea triajului, informațiile privind amenințările pot ajuta echipele SOC să simplifice analiza și izolarea incidentelor. Utilizatorii Recorded Future rezolvă amenințările cu 63% mai repede, reducând cu mai mult de jumătate orele critice pe care le petrec pentru remediere.
Gestionarea vulnerabilităților
Gestionarea eficientă a vulnerabilităților înseamnă trecerea de la o abordare de tipul „patch-uri pe toate, tot timpul” – o abordare pe care nimeni nu o poate realiza în mod realist – la prioritizarea vulnerabilităților în funcție de riscul real.
Deși numărul de vulnerabilități și amenințări a crescut în fiecare an, cercetările arată că majoritatea amenințărilor vizează aceeași proporție mică de vulnerabilități. Actorii de amenințări sunt, de asemenea, mai rapizi – acum durează în medie doar cincisprezece zile între anunțarea unei noi vulnerabilități și apariția unui exploit care o vizează.
Acest lucru are două implicații:
- Aveți la dispoziție două săptămâni pentru a vă corecta sau remedia sistemele împotriva unui nou exploit. Dacă nu puteți aplica patch-uri în acest interval de timp, aveți un plan de atenuare a pagubelor.
- Dacă o nouă vulnerabilitate nu este exploatată în termen de două săptămâni până la trei luni, este puțin probabil să fie exploatată vreodată – aplicarea de patch-uri poate avea o prioritate mai mică.
Threat intelligence vă ajută să identificați vulnerabilitățile care prezintă un risc real pentru organizația dumneavoastră, depășind scorul CVE prin combinarea datelor interne de scanare a vulnerabilităților, a datelor externe și a contextului suplimentar despre TTP-urile actorilor de amenințare. Cu Recorded Future, utilizatorii identifică cu 22 la sută mai multe amenințări reale înainte ca acestea să aibă un impact serios.
Analiză de risc
Modelarea riscului poate fi o modalitate utilă pentru ca organizațiile să stabilească prioritățile de investiții. Dar multe modele de risc suferă din cauza unor rezultate vagi, necuantificate, care sunt compilate în grabă, se bazează pe informații parțiale, se bazează pe ipoteze nefondate sau sunt dificil de luat măsuri.
Threat intelligence oferă un context care ajută modelele de risc să facă măsurători de risc definite și să fie mai transparente cu privire la ipotezele, variabilele și rezultatele lor. Acestea pot ajuta să răspundă la întrebări precum:
- Ce actori de amenințare folosesc acest atac și vizează industria noastră?
- Cât de des a fost observat recent acest atac specific de către întreprinderi ca a noastră?
- Tendința este în creștere sau în scădere?
- Ce vulnerabilități exploatează acest atac și sunt aceste vulnerabilități prezente în întreprinderea noastră?
- Ce fel de daune, tehnice și financiare, a provocat acest atac în întreprinderi ca a noastră?
Punând întrebările corecte cu ajutorul informațiilor despre amenințări de la Recorded Future este una dintre modalitățile prin care utilizatorii observă o reducere de 86% a timpilor de nefuncționare neplanificați – o diferență uriașă în condițiile în care chiar și un minut de nefuncționare poate costa unele organizații până la 9.000 de dolari în pierderi de productivitate și alte daune.
Prevenirea fraudei
Pentru a vă menține organizația în siguranță, nu este suficient să detectați și să răspundeți doar la amenințările care vă exploatează deja sistemele. Trebuie, de asemenea, să preveniți utilizările frauduloase ale datelor sau ale mărcii dumneavoastră.
Spionajul privind amenințările colectat de la comunitățile criminale subterane oferă o fereastră către motivațiile, metodele și tacticile actorilor de amenințări, în special atunci când acest tip de informații este corelat cu informații de la suprafața web, inclusiv fluxuri și indicatori tehnici.
Utilizați informațiile despre amenințări pentru a preveni:
- Frauda în domeniul plăților – Monitorizarea surselor, cum ar fi comunitățile criminale, site-urile de pastă și alte forumuri, pentru numere relevante de carduri de plată, numere de identificare bancară sau referințe specifice la instituții financiare poate oferi o avertizare timpurie cu privire la viitoarele atacuri care ar putea afecta organizația dumneavoastră.
- Date compromise – Infractorii cibernetici încarcă în mod regulat cache-uri masive de nume de utilizator și parole pe site-urile de pastă și pe dark web, sau le pun la dispoziție pentru vânzare pe piețele subterane. Monitorizați aceste surse cu ajutorul informațiilor despre amenințări pentru a fi atenți la scurgeri de credențiale, date corporative sau coduri de proprietate.
- Typosquatting – Primiți alerte în timp real cu privire la domeniile de phishing și typosquatting nou înregistrate pentru a împiedica infractorii cibernetici să se dea drept marca dvs. și să fraudeze utilizatorii neștiutori.
Prin evitarea mai multor încălcări cu ajutorul informațiilor despre amenințări, utilizatorii Recorded Future sunt capabili să economisească peste 1 milion de dolari pentru fiecare încălcare potențială prin amenzi dăunătoare, penalități și pierderea încrederii consumatorilor.
Security Leadership
CISO și alți lideri de securitate trebuie să gestioneze riscul prin echilibrarea resurselor limitate disponibile cu nevoia de a-și proteja organizațiile de amenințări în continuă evoluție. Informațiile privind amenințările pot ajuta la cartografierea peisajului amenințărilor, la calcularea riscurilor și la oferirea personalului de securitate a informațiilor și contextului pentru a lua decizii mai bune și mai rapide.
Astăzi, liderii de securitate trebuie:
- Evalua riscurile de afaceri și tehnice, inclusiv amenințările emergente și „necunoscutele cunoscute” care ar putea avea un impact asupra afacerii
- Identifica strategiile și tehnologiile potrivite pentru a atenua riscurile
- Comunicarea naturii riscurilor către managementul de vârf și justificarea investițiilor în măsuri defensive
Threat intelligence poate fi o resursă critică pentru toate aceste activități, oferind informații despre tendințele generale, cum ar fi:
- Ce tipuri de atacuri devin mai frecvente (sau mai puțin frecvente)
- Ce tipuri de atacuri sunt cele mai costisitoare pentru victime
- Ce noi tipuri de actori de amenințări apar, și bunurile și întreprinderile pe care aceștia le vizează
- Practicile și tehnologiile de securitate care s-au dovedit a avea cel mai mare (sau cel mai mic) succes în stoparea sau atenuarea acestor atacuri
De asemenea, poate permite grupurilor de securitate să evalueze dacă o amenințare emergentă este susceptibilă să afecteze întreprinderea lor specifică pe baza unor factori precum:
- Industrie – Este amenințarea care afectează alte întreprinderi din verticala noastră?
- Tehnologie – Amenințarea implică compromiterea software-ului, hardware-ului sau a altor tehnologii utilizate în întreprinderea noastră?
- Geografie – Amenințarea vizează instalații din regiunile în care avem operațiuni?
- Metoda de atac – Metodele utilizate în atac, inclusiv ingineria socială și metodele tehnice, au fost folosite cu succes împotriva întreprinderii noastre sau a altora similare?
Cu aceste tipuri de informații, colectate dintr-un set larg de surse de date externe, factorii de decizie în materie de securitate obțin o imagine holistică a peisajului riscurilor cibernetice și a celor mai mari riscuri pentru întreprinderea lor.
Iată patru domenii-cheie în care informațiile privind amenințările îi ajută pe liderii de securitate să ia decizii:
- Atenuare – Informațiile privind amenințările îi ajută pe liderii de securitate să prioritizeze vulnerabilitățile și punctele slabe pe care este cel mai probabil ca actorii de amenințare să le vizeze, oferind context cu privire la TTP-urile pe care le folosesc acești actori de amenințare și, prin urmare, la punctele slabe pe care aceștia tind să le exploateze.
- Comunicare – Responsabilii CISO sunt adesea provocați de necesitatea de a descrie amenințările și de a justifica contramăsurile în termeni care să motiveze liderii de afaceri non-tehnici, cum ar fi costul, impactul asupra clienților, noile tehnologii. Informațiile privind amenințările oferă o muniție puternică pentru aceste discuții, cum ar fi impactul unor atacuri similare asupra companiilor de aceeași mărime din alte industrii sau tendințele și informațiile de pe dark web care indică faptul că este probabil ca întreprinderea să fie vizată.
- Sprijinirea liderilor – Informațiile privind amenințările pot oferi liderilor de securitate o imagine în timp real a celor mai recente amenințări, tendințe și evenimente, ajutându-i pe liderii de securitate să răspundă la o amenințare sau să comunice impactul potențial al unui nou tip de amenințare liderilor de afaceri și membrilor consiliului de administrație în timp util și în mod eficient.
- Deficitul de competențe în domeniul securității – CISO trebuie să se asigure că organizația IT are resursele umane necesare pentru a-și îndeplini misiunea. Dar deficitul de competențe în domeniul securității cibernetice înseamnă că personalul de securitate existent se confruntă frecvent cu sarcini de lucru imposibil de gestionat. Informațiile privind amenințările automatizează unele dintre cele mai laborioase sarcini, colectând rapid date și corelând contextul din mai multe surse de informații, prioritizând riscurile și reducând alertele inutile. Informațiile puternice privind amenințările ajută, de asemenea, personalul începător să se „perfecționeze” rapid și să performeze peste nivelul lor de experiență.
Reducerea riscurilor terților
Numeroase organizații transformă modul în care își desfășoară activitatea prin procese digitale. Acestea mută datele din rețelele interne în cloud și adună mai multe informații ca niciodată.
Facerea datelor mai ușor de colectat, stocat și analizat schimbă cu siguranță multe industrii în bine, dar acest flux liber de informații are un preț. Înseamnă că, pentru a evalua riscul propriei noastre organizații, trebuie să luăm în considerare și securitatea partenerilor noștri, a furnizorilor și a altor părți terțe.
Din păcate, multe dintre cele mai comune practici de gestionare a riscurilor terților utilizate în prezent sunt în urma cerințelor de securitate. Evaluările statice ale riscului, cum ar fi auditurile financiare și verificările certificatelor de securitate, sunt încă importante, dar adesea le lipsește contextul și nu sunt întotdeauna oportune. Este nevoie de o soluție care să ofere un context în timp real cu privire la peisajul real al amenințărilor.
Threat intelligence este o modalitate de a face acest lucru. Poate oferi transparență în mediile de amenințare ale terților cu care lucrați, furnizând alerte în timp real cu privire la amenințări și modificări ale riscurilor acestora și oferindu-vă contextul de care aveți nevoie pentru a vă evalua relațiile.