Digital teknik ligger till grund för nästan alla branscher idag. Automatiseringen och den ökade uppkopplingen har revolutionerat världens ekonomiska och kulturella institutioner – men de har också medfört risker i form av cyberattacker. Hotinformation är kunskap som gör att du kan förhindra eller mildra dessa attacker. Med sina rötter i data ger hotinformationen ett sammanhang – t.ex. vem som attackerar dig, vad deras motivation och kapacitet är och vilka indikatorer på kompromiss i dina system du ska leta efter – som hjälper dig att fatta välgrundade beslut om din säkerhet.
”Hotinformation är evidensbaserad kunskap, inklusive sammanhang, mekanismer, indikatorer, implikationer och handlingsinriktade råd om ett befintligt eller framväxande hot eller en fara för tillgångar. Dessa underrättelser kan användas som underlag för beslut om ämnets reaktion på hotet eller faran.” – Gartner
För mer detaljerad information kan du läsa avsnitten i denna översikt med titlarna ”The Threat Intelligence Lifecycle” (livscykeln för hotinformation) och ”The Types of Threat Intelligence” (typerna av hotinformation).”
- Varför är hotinformation viktigt?
- Vem kan dra nytta av Threat Intelligence?
- Livscykeln för hotinformation
- Planering och inriktning
- Insamling
- Bearbetning
- Analys
- Spridning
- Feedback
- Typerna av hotunderrättelser
- Strategisk hotinformation
- Taktisk hotinformation
- Operational Threat Intelligence
- Maskininlärning för bättre hotunderrättelseinformation
- För att strukturera data i entiteter och händelser
- För att strukturera text på flera språk genom behandling av naturligt språk
- För att klassificera händelser och enheter, vilket hjälper mänskliga analytiker att prioritera varningar
- För att förutsäga händelser och enhetsegenskaper genom prediktiva modeller
- Användningsområden för hotinformation
- Incident Response
- Säkerhetsoperationer
- Sårbarhetshantering
- Riskanalys
- Bedrägeriförebyggande
- Säkerhetsledarskap
- Reducering av tredjepartsrisker
Varför är hotinformation viktigt?
I dag står cybersäkerhetsbranschen inför ett flertal utmaningar – allt mer ihärdiga och luriga hotaktörer, en daglig dataflod full av ovidkommande information och falsklarm i flera olika, osammanhängande säkerhetssystem, och en allvarlig brist på kvalificerad personal.
En del organisationer försöker införliva hotdataflöden i sitt nätverk, men vet inte vad de ska göra med alla dessa extra data, vilket ökar bördan för analytiker som kanske inte har verktygen för att avgöra vad som ska prioriteras och vad som ska ignoreras.
En lösning för underrättelse om cyberhot kan ta itu med var och en av dessa problem. De bästa lösningarna använder maskininlärning för att automatisera datainsamling och bearbetning, integreras med dina befintliga lösningar, tar in ostrukturerade data från olika källor och kopplar sedan ihop punkterna genom att tillhandahålla kontext om indikatorer för kompromiss (IoC) och taktik, tekniker och procedurer (TTP) för hotaktörer.
Threat Intelligence är användbar – den är aktuell, ger sammanhang och kan förstås av de personer som ska fatta beslut.
Vem kan dra nytta av Threat Intelligence?
Alla! Information om cyberhot föreställer man sig allmänt att den är en domän för elitanalytiker. I verkligheten ger den mervärde i alla säkerhetsfunktioner för organisationer av alla storlekar.
När hotinformation behandlas som en separat funktion inom ett bredare säkerhetsparadigm snarare än som en viktig komponent som förstärker alla andra funktioner, blir resultatet att många av de personer som skulle ha störst nytta av hotinformation inte har tillgång till den när de behöver den.
Säkerhetsoperationsgrupper kan rutinmässigt inte bearbeta de varningar de får – hotinformation integreras med de säkerhetslösningar ni redan använder och hjälper till att automatiskt prioritera och filtrera varningar och andra hot. Sårbarhetshanteringsteam kan mer exakt prioritera de viktigaste sårbarheterna med tillgång till de externa insikter och det sammanhang som hotinformation ger. Och bedrägeribekämpning, riskanalys och andra säkerhetsprocesser på hög nivå berikas av den förståelse för det aktuella hotlandskapet som hotinformation ger, inklusive viktiga insikter om hotaktörer, deras taktik, tekniker och förfaranden med mera från datakällor över hela webben.
Se vårt avsnitt om användningsområden nedan för en djupare titt på hur varje säkerhetsroll kan dra nytta av hotinformation.
Livscykeln för hotinformation
Hur tas information om cyberhot fram? Rå data är inte samma sak som intelligens – information om cyberhot är den färdiga produkten som kommer från en sexdelad cykel av datainsamling, bearbetning och analys. Denna process är en cykel eftersom nya frågor och kunskapsluckor identifieras under utvecklingen av underrättelser, vilket leder till att nya insamlingskrav fastställs. Ett effektivt underrättelseprogram är iterativt och blir mer förfinat med tiden.
För att maximera värdet av den hotunderrättelseinformation du producerar är det viktigt att du identifierar dina användningsområden och definierar dina mål innan du gör något annat.
Planering och inriktning
Det första steget för att producera användbar hotinformation är att ställa rätt fråga.
De frågor som bäst driver skapandet av användbar hotinformation fokuserar på ett enskilt faktum, en enskild händelse eller en enskild aktivitet – breda, öppna frågor bör vanligtvis undvikas.
Prioritera dina underrättelsemål utifrån faktorer som hur nära de överensstämmer med organisationens kärnvärden, hur stor inverkan det resulterande beslutet kommer att ha och hur tidskänsligt beslutet är.
En viktig vägledande faktor i detta skede är att förstå vem som kommer att konsumera och dra nytta av den färdiga produkten – kommer underrättelsen att gå till ett team av analytiker med teknisk expertis som behöver en snabb rapport om en ny exploatering, eller till en chef som letar efter en bred översikt över trender för att informera sina beslut om säkerhetsinvesteringar för nästa kvartal?
Insamling
Nästa steg är att samla in rådata som uppfyller de krav som ställdes upp i det första steget. Det är bäst att samla in data från många olika källor – interna som nätverkshändelseloggar och register över tidigare incidentreaktioner, och externa från den öppna webben, dark webben och tekniska källor.
Trodddata betraktas vanligen som listor över IoC:s, t.ex. skadliga IP-adresser, domäner och filhashar, men det kan också inkludera information om sårbarheter, t.ex. kundernas personuppgifter, råkod från pastasajter och text från nyhetskällor eller sociala medier.
Bearbetning
När alla rådata har samlats in måste man sortera dem, organisera dem med metadatataggar och filtrera bort överflödig information eller falska positiva och negativa uppgifter.
I dag samlar till och med små organisationer in data i storleksordningen miljoner logghändelser och hundratusentals indikatorer varje dag. Det är för mycket för att mänskliga analytiker ska kunna bearbeta det på ett effektivt sätt – datainsamling och bearbetning måste automatiseras för att man ska kunna börja göra något vettigt av det.
Lösningar som SIEM är ett bra ställe att börja på eftersom de gör det relativt enkelt att strukturera data med korrelationsregler som kan ställas in för ett fåtal olika användningsfall, men de kan bara ta emot ett begränsat antal datatyper.
Om du samlar in ostrukturerade data från många olika interna och externa källor behöver du en mer robust lösning. Recorded Future använder maskininlärning och behandling av naturligt språk för att analysera text från miljontals ostrukturerade dokument på sju olika språk och klassificera dem med hjälp av språkoberoende ontologier och händelser, vilket gör det möjligt för analytiker att utföra kraftfulla och intuitiva sökningar som går bortom nakna nyckelord och enkla korrelationsregler.
Analys
Nästa steg är att göra de bearbetade uppgifterna begripliga. Målet med analysen är att söka efter potentiella säkerhetsproblem och meddela de berörda grupperna i ett format som uppfyller de underrättelsekrav som skisserades i planerings- och inriktningsfasen.
Threat Intelligence kan ta många former beroende på de ursprungliga målen och den avsedda målgruppen, men idén är att få data i ett format som målgruppen kommer att förstå. Detta kan vara allt från enkla hotlistor till granskade rapporter.
Spridning
Den färdiga produkten distribueras sedan till de avsedda konsumenterna. För att hotinformation ska vara användbar måste den nå rätt personer vid rätt tidpunkt.
Den måste också spåras så att det finns en kontinuitet mellan en underrättelsecykel och nästa och lärandet inte går förlorat. Använd biljettsystem som integreras med dina andra säkerhetssystem för att spåra varje steg i underrättelsecykeln – varje gång en ny underrättelseförfrågan dyker upp kan biljetter skickas in, skrivas, granskas och uppfyllas av flera personer i olika team, allt på ett och samma ställe.
Feedback
Det sista steget är när underrättelsecykeln sluts, vilket gör att det är nära besläktat med den inledande planerings- och inriktningsfasen. Efter att ha mottagit den färdiga underrättelseprodukten granskar den som gjorde den ursprungliga begäran den och fastställer om deras frågor har besvarats. Detta styr målen och förfarandena för nästa underrättelsecykel, vilket återigen gör att dokumentation och kontinuitet är viktigt.
Typerna av hotunderrättelser
Som framgår av livscykeln för hotunderrättelser kommer slutprodukten att se olika ut beroende på de ursprungliga underrättelsekraven, informationskällorna och den avsedda målgruppen. Det kan vara till hjälp att dela in hotinformation i några kategorier utifrån dessa kriterier.
Threat Intelligence delas ofta in i tre underkategorier:
- Strategisk – Bredare trender som vanligtvis är avsedda för en icke-teknisk publik
- Taktisk – Översiktliga beskrivningar av taktik, tekniker och förfaranden hos hotbildsaktörer för en mer teknisk publik
- Operativ – Tekniska detaljer om specifika attacker och kampanjer
Strategisk hotinformation
Strategisk hotinformation ger en bred överblick över en organisations hotbild. Den är avsedd att informera beslut på hög nivå som fattas av chefer och andra beslutsfattare i en organisation – som sådan är innehållet i allmänhet mindre tekniskt och presenteras i form av rapporter eller genomgångar. Goda strategiska underrättelser bör ge insikt i områden som de risker som är förknippade med vissa handlingslinjer, breda mönster i taktik och mål för hotaktörer samt geopolitiska händelser och trender.
Gemensamma informationskällor för strategisk underrättelseverksamhet om hot är bland annat:
- Politiska dokument från nationalstater eller icke-statliga organisationer
- Nyheter från lokala och nationella medier, bransch- och ämnesspecifika publikationer eller andra ämnesexperter
- Vita skrifter, forskningsrapporter och annat innehåll som produceras av säkerhetsorganisationer
För att producera stark strategisk underrättelseinformation om hot börjar man med att ställa fokuserade, specifika frågor för att fastställa underrättelsekraven. Det krävs också analytiker med expertis utanför de typiska cybersäkerhetskunskaperna – i synnerhet en stark förståelse för sociopolitiska och affärsmässiga begrepp.
Även om slutprodukten är icke-teknisk krävs det djupgående forskning genom enorma datamängder, ofta på flera språk, för att producera effektiva strategiska underrättelser. Detta kan göra den inledande insamlingen och bearbetningen av data alltför svår att utföra manuellt, även för de sällsynta analytiker som har rätt språkkunskaper, teknisk bakgrund och hantverksskicklighet. En lösning för hotinformation som automatiserar insamling och bearbetning av data bidrar till att minska denna börda och gör det möjligt för analytiker som inte har så mycket expertis att arbeta mer effektivt.
Taktisk hotinformation
Taktisk hotinformation beskriver hotaktörernas taktik, tekniker och förfaranden (TTPs). Den ska hjälpa försvarare att i specifika termer förstå hur deras organisation kan bli attackerad och de bästa sätten att försvara sig mot eller mildra dessa attacker. Den innehåller vanligtvis ett tekniskt sammanhang och används av personal som är direkt involverad i försvaret av en organisation, t.ex. systemarkitekter, administratörer och säkerhetspersonal.
Rapporter som produceras av säkerhetsleverantörer är ofta det enklaste sättet att få taktisk hotinformation. Leta efter information i rapporterna om de angreppsvektorer, verktyg och infrastruktur som angriparna använder, inklusive detaljer om vilka sårbarheter som angriparna riktar in sig på och vilka utnyttjanden som angriparna utnyttjar, samt vilka strategier och verktyg som de kan använda för att undvika eller fördröja upptäckt.
Taktiska underrättelser om hot bör användas för att informera om förbättringar av befintliga säkerhetskontroller och -processer och för att påskynda svar på incidenter. Eftersom många av de frågor som besvaras av taktisk underrättelseinformation är unika för din organisation och måste besvaras inom en kort tidsfrist – till exempel: ”Finns den här kritiska sårbarheten som utnyttjas av hotaktörer som är inriktade på min bransch i mina system?”. – är det avgörande att ha en lösning för hotinformation som integrerar data från ditt eget nätverk.
Operational Threat Intelligence
Operational intelligence är kunskap om cyberattacker, händelser eller kampanjer. Den ger specialiserade insikter som hjälper incidentberedskapsteam att förstå arten, avsikten och tidpunkten för specifika attacker.
Då detta vanligtvis omfattar teknisk information – information som vilken angreppsvektor som används, vilka sårbarheter som utnyttjas eller vilka kommando- och kontrolldomäner som används – kallas den här typen av underrättelser också för teknisk hotinformation. En vanlig källa till teknisk information är hotdataflöden, som vanligtvis fokuserar på en enda typ av indikator, t.ex. hashes av skadlig kod eller misstänkta domäner.
Men om teknisk hotinformation strikt betraktas som härrörande från teknisk information som hotdataflöden är teknisk och operativ hotinformation inte helt synonyma – det är snarare ett Venn-diagram med stora överlappningar. Andra informationskällor om specifika attacker kan komma från slutna källor som avlyssning av hotgruppers kommunikation, antingen genom infiltration eller genom att bryta sig in i dessa kommunikationskanaler.
Följaktligen finns det några hinder för att samla in den här typen av underrättelser:
- Tillträde – Hotgrupper kan kommunicera via privata och krypterade kanaler, eller kräva något bevis på identifiering. Det finns också språkbarriärer med hotgrupper som befinner sig i främmande länder.
- Buller – Det kan vara svårt eller omöjligt att manuellt samla in bra underrättelser från källor med hög volym som chattrum och sociala medier.
- Förtrollning – För att undvika att bli upptäckta kan hotgrupper använda sig av förtrollningstaktik, som att använda kodnamn.
Threat intelligence-lösningar som förlitar sig på processer för maskininlärning för automatiserad datainsamling i stor skala kan övervinna många av dessa problem när man försöker utveckla effektiv operativ hotinformation. En lösning som använder behandling av naturligt språk kommer till exempel att kunna samla in information från källor på främmande språk utan att behöva mänsklig expertis för att dechiffrera den.
Maskininlärning för bättre hotunderrättelseinformation
Databehandling sker i dag i en omfattning som kräver automatisering för att vara heltäckande. Kombinera datapunkter från många olika typer av källor – inklusive öppna, mörka webben och tekniska källor – för att skapa en så robust bild som möjligt.
Recorded Future använder tekniker för maskininlärning på fyra sätt för att förbättra datainsamling och aggregering – för att strukturera data i kategorier, för att analysera text på flera språk, för att ge riskpoäng och för att generera prediktiva modeller.
För att strukturera data i entiteter och händelser
Ontologi har att göra med hur vi delar upp begrepp och hur vi grupperar dem tillsammans. Inom datavetenskap representerar ontologier kategorier av enheter baserat på deras namn, egenskaper och relationer till varandra, vilket gör det lättare att sortera dem i hierarkier av uppsättningar. Till exempel är Boston, London och Göteborg alla olika enheter som också faller under den bredare enheten ”stad”.
Om enheter representerar ett sätt att sortera fysiskt skilda begrepp, så sorterar händelser begrepp över tiden. Registrerade framtida händelser är språkoberoende – något som ”John besökte Paris”, ”John reste till Paris”, ”Джон прилетел в Париж” och ”John a visité Paris” känns alla igen som samma händelse.
Ontologier och händelser möjliggör kraftfulla sökningar över kategorier, vilket gör det möjligt för analytiker att fokusera på helheten i stället för att behöva sortera data manuellt själva.
För att strukturera text på flera språk genom behandling av naturligt språk
Med behandling av naturligt språk kan entiteter och händelser gå längre än bara nyckelord och omvandla ostrukturerad text från källor på olika språk till en strukturerad databas.
Den maskininlärning som driver denna process kan separera reklam från primärt innehåll, klassificera text i kategorier som prosa, dataloggar eller kod och skilja mellan enheter med samma namn (som ”Apple” företaget och ”äpple” frukten) med hjälp av kontextuella ledtrådar i den omgivande texten.
På så sätt kan systemet analysera text från miljontals dokument dagligen på sju olika språk – en uppgift som skulle kräva ett opraktiskt stort och kvalificerat team av mänskliga analytiker för att utföra. Genom att spara tid på detta sätt kan IT-säkerhetsteam arbeta 32 procent effektivare med Recorded Future.
För att klassificera händelser och enheter, vilket hjälper mänskliga analytiker att prioritera varningar
Maskinininlärning och statistisk metodik används för att ytterligare sortera enheter och händelser efter betydelse – till exempel genom att tilldela riskpoäng till skadegörande enheter.
Riskpoäng beräknas med hjälp av två system: ett som drivs av regler baserade på mänsklig intuition och erfarenhet och ett som drivs av maskininlärning som tränats på en redan granskad datamängd.
Klassificatorer som riskpoäng ger både ett omdöme (”den här händelsen är kritisk”) och ett sammanhang som förklarar poängen (”eftersom flera källor bekräftar att den här IP-adressen är skadlig”).
Automatisering av hur risker klassificeras sparar analytiker tid på att sortera bland falska positiva och bestämma vad som ska prioriteras, vilket hjälper IT-säkerhetspersonal som använder Recorded Future att spendera 34 procent mindre tid på att sammanställa rapporter.
För att förutsäga händelser och enhetsegenskaper genom prediktiva modeller
Maskinininlärning kan också generera modeller som förutspår framtiden, ofta mycket noggrannare än någon mänsklig analytiker, genom att dra nytta av djupa datapooler som tidigare utvunnits och kategoriserats.
Detta är en särskilt stark tillämpning av maskininlärning enligt ”lagen om stora tal” – i takt med att vi fortsätter att dra nytta av fler datakällor kommer dessa förutsägelsemodeller att bli mer och mer exakta.
Användningsområden för hotinformation
De olika användningsområdena för hotinformation gör den till en viktig resurs för tvärfunktionella team i alla organisationer. Även om den kanske är mest omedelbart värdefull när den hjälper dig att förhindra en attack, är hotinformation också en användbar del av triage, riskanalys, sårbarhetshantering och omfattande beslutsfattande.
Incident Response
Säkerhetsanalytiker med ansvar för incidentrespons rapporterar om några av de högsta stressnivåerna i branschen, och det är inte konstigt att det är så – antalet cyberincidenter har stadigt ökat under de senaste två decennierna, och en stor andel av de dagliga varningarna visar sig vara falska positiva. När det gäller verkliga incidenter måste analytiker ofta ägna tid åt att mödosamt sortera data manuellt för att bedöma problemet.
Threat Intelligence minskar trycket på flera sätt:
- Automatisk identifiering och avfärdande av falska positiva
- Anrikning av varningar med kontext i realtid, som anpassade riskpoäng
- Varning av information från interna och externa källor
Användare avRecorded Future identifierar risker 10 gånger snabbare än vad de gjorde innan de integrerade threat intelligence i sina säkerhetslösningar, vilket ger dem i genomsnitt flera dagar mer tid för att reagera på hot i en bransch där till och med sekunder kan räknas.
Säkerhetsoperationer
De flesta team i Security Operations Center (SOC) måste hantera enorma volymer av varningar som genereras av de nätverk de övervakar. Det tar för lång tid att sortera dessa varningar, och många av dem undersöks aldrig alls. ”Alert fatigue” leder till att analytiker tar varningar mindre seriöst än de borde. Threat Intelligence löser många av dessa problem och hjälper till att samla in information om hot snabbare och mer exakt, filtrera bort falska larm, påskynda sorteringen och förenkla analysen av incidenter. Med den kan analytiker sluta slösa tid på att följa upp varningar baserade på:
- Aktioner som med större sannolikhet är oskyldiga snarare än skadliga
- Angrepp som inte är relevanta för det företaget
- Angrepp för vilka försvar och kontroller redan finns på plats
Som att påskynda sorteringen kan hotinformation hjälpa SOC-teamen att förenkla analysen och begränsningen av incidenter. Användare av Recorded Future löser hot 63 procent snabbare, vilket minskar de kritiska timmar som de lägger på sanering med mer än hälften.
Sårbarhetshantering
Effektiv sårbarhetshantering innebär att man byter från att ta till sig en strategi som går ut på att ”lappa allting hela tiden” – en strategi som ingen realistiskt sett kan uppnå – till att prioritera sårbarheter baserat på den faktiska risken.
Och även om antalet sårbarheter och hot har ökat varje år, visar forskningen att de flesta hoten är inriktade på samma, lilla andel av sårbarheterna. Hotaktörer är också snabbare – det tar nu i genomsnitt bara femton dagar från det att en ny sårbarhet offentliggörs till dess att en exploatering som riktar sig mot den dyker upp.
Detta har två konsekvenser:
- Du har två veckor på dig att lappa eller åtgärda dina system mot en ny exploatering. Om du inte kan lappa inom den tidsramen ska du ha en plan för att minska skadan.
- Om en ny sårbarhet inte utnyttjas inom två veckor till tre månader är det osannolikt att den någonsin kommer att utnyttjas – att lappa den kan få lägre prioritet.
Threat Intelligence hjälper dig att identifiera de sårbarheter som utgör en faktisk risk för din organisation, och går längre än CVE-poängningen genom att kombinera interna data från sårbarhetsavläsningar, externa data och ytterligare kontext om hotbildsaktörers TTP:er. Med Recorded Future identifierar användarna 22 procent fler verkliga hot innan de får en allvarlig inverkan.
Riskanalys
Riskmodellering kan vara ett användbart sätt för organisationer att fastställa investeringsprioriteringar. Men många riskmodeller lider av vaga, icke kvantifierade resultat som är hastigt sammanställda, baserade på partiell information, baserade på ogrundade antaganden eller är svåra att vidta åtgärder på.
Threat Intelligence ger ett sammanhang som hjälper riskmodeller att göra definierade riskmätningar och vara mer transparenta om sina antaganden, variabler och resultat. Det kan hjälpa till att besvara frågor som:
- Vilka hotaktörer använder den här attacken och är de inriktade på vår bransch?
- Hur ofta har den här specifika attacken observerats nyligen av företag som vårt?
- Är trenden uppåtgående eller nedåtgående?
- Vilka sårbarheter utnyttjar denna attack, och finns dessa sårbarheter i vårt företag?
- Vilken typ av skada, teknisk och ekonomisk, har denna attack orsakat i företag som vårt?
Att ställa rätt frågor med hjälp av Recorded Futures hotinformation är ett av sätten för användarna att se en 86-procentig minskning av oplanerad stilleståndstid – en enorm skillnad när även en minuts stilleståndstid kan kosta vissa organisationer upp till 9 000 dollar i förlorad produktivitet och andra skador.
Bedrägeriförebyggande
För att hålla din organisation säker räcker det inte med att bara upptäcka och reagera på de hot som redan utnyttjar dina system. Du måste också förhindra bedräglig användning av dina data eller ditt varumärke.
Hotinformation som samlats in från underjordiska kriminella samhällen ger en inblick i hotbildsaktörernas motiv, metoder och taktik, särskilt när denna information korreleras med information från den ytliga webben, inklusive tekniska flöden och indikatorer.
Använd hotinformation för att förhindra:
- Betalningsbedrägerier – Övervakning av källor som kriminella samhällen, pastasajter och andra forum för relevanta betalkortsnummer, bankidentifieringsnummer eller specifika referenser till finansinstitut kan ge tidig varning om kommande attacker som kan påverka din organisation.
- Komprometterade data – Cyberkriminella laddar regelbundet upp massiva cacher av användarnamn och lösenord till pastasajter och den mörka webben eller gör dem tillgängliga för försäljning på underjordiska marknadsplatser. Övervaka dessa källor med hotinformation för att hålla utkik efter läckta inloggningsuppgifter, företagsdata eller proprietär kod.
- Typosquatting – Få realtidsvarningar om nyregistrerade phishing- och typosquatting-domäner för att förhindra att cyberkriminella utger sig för att vara ditt varumärke och lurar intet ont anande användare.
Genom att undvika fler intrång med hjälp av hotinformation kan Recorded Future-användare spara över en miljon dollar per potentiellt intrång genom skadliga böter, straffavgifter och förlorat konsumentförtroende.
Säkerhetsledarskap
CISO:s och andra säkerhetsledare måste hantera risker genom att balansera begränsade tillgängliga resurser mot behovet av att säkra sina organisationer mot ständigt föränderliga hot. Threat Intelligence kan hjälpa till att kartlägga hotlandskapet, beräkna risker och ge säkerhetspersonal den information och det sammanhang som krävs för att fatta bättre och snabbare beslut.
I dag måste säkerhetscheferna:
- Bedöm affärsmässiga och tekniska risker, inklusive nya hot och ”kända okända” som kan påverka verksamheten
- Identifiera de rätta strategierna och teknikerna för att minska riskerna
- Kommunicera riskernas karaktär till högsta ledningen och motivera investeringar i försvarsåtgärder
Threat Intelligence kan vara en kritisk resurs för alla dessa aktiviteter, genom att tillhandahålla information om generella trender, som t.ex:
- Vilka typer av attacker som blir mer (eller mindre) frekventa
- Vilka typer av attacker som är mest kostsamma för offren
- Vilka nya typer av hotaktörer som dyker upp, och vilka tillgångar och företag de riktar in sig på
- De säkerhetsmetoder och tekniker som har visat sig vara mest (eller minst) framgångsrika när det gäller att stoppa eller mildra dessa attacker
Det kan också göra det möjligt för säkerhetsgrupper att bedöma om ett framväxande hot sannolikt kommer att påverka deras specifika företag baserat på faktorer som t.ex:
- Bransch – påverkar hotet andra företag i vår bransch?
- Teknik – Innebär hotet att programvara, hårdvara eller annan teknik som används i vårt företag äventyras?
- Geografi – Är hotet riktat mot anläggningar i regioner där vi har verksamhet?
- Attackmetod – Har metoder som används i attacken, inklusive social ingenjörskonst och tekniska metoder, använts framgångsrikt mot vårt företag eller liknande företag?
Med dessa typer av underrättelser, som samlas in från en bred uppsättning externa datakällor, får beslutsfattare på säkerhetsområdet en helhetsbild av cyberrisklandskapet och de största riskerna för deras företag.
Här är fyra nyckelområden där hotinformation hjälper säkerhetsledare att fatta beslut:
- Mitigering – Hotinformation hjälper säkerhetsledare att prioritera de sårbarheter och svagheter som hotaktörer sannolikt kommer att rikta in sig på, vilket ger en kontext om de TTP:er som dessa hotaktörer använder, och därmed de svagheter som de tenderar att utnyttja.
- Kommunikation – CISOs utmanas ofta av behovet av att beskriva hot och motivera motåtgärder i termer som motiverar icke-tekniska företagsledare, t.ex. kostnader, påverkan på kunder, ny teknik. Hotinformation ger kraftfull ammunition för dessa diskussioner, t.ex. effekten av liknande attacker mot företag av samma storlek i andra branscher eller trender och information från den mörka webben som visar att företaget sannolikt kommer att bli måltavla.
- Stöd till ledare – Hotinformation kan ge säkerhetsledare en realtidsbild av de senaste hoten, trenderna och händelserna, vilket hjälper säkerhetsledare att reagera på ett hot eller kommunicera den potentiella effekten av en ny hottyp till företagsledare och styrelsemedlemmar i tid och på ett effektivt sätt.
- Kompetensbristen på säkerhetsområdet – CISO:s måste se till att IT-organisationen har de mänskliga resurserna för att utföra sitt uppdrag. Men cybersäkerhetens kompetensbrist innebär att befintlig säkerhetspersonal ofta klarar av ohanterliga arbetsbelastningar. Threat Intelligence automatiserar några av de mest arbetsintensiva uppgifterna, genom att snabbt samla in data och korrelera sammanhang från flera underrättelsekällor, prioritera risker och minska onödiga varningar. Kraftfull hotinformation hjälper också juniorpersonal att snabbt ”uppgradera sin kompetens” och prestera över sin erfarenhetsnivå.
Reducering av tredjepartsrisker
Omfattande organisationer omvandlar sitt sätt att göra affärer med hjälp av digitala processer. De flyttar data från interna nätverk till molnet och samlar in mer information än någonsin tidigare.
Att göra det lättare att samla in, lagra och analysera data förändrar säkert många branscher till det bättre, men det fria flödet av information har ett pris. Det innebär att vi för att bedöma risken i vår egen organisation också måste ta hänsyn till säkerheten hos våra partner, leverantörer och andra tredje parter.
Tyvärr släpar många av de vanligaste riskhanteringsmetoderna för tredje parter som används idag efter i förhållande till säkerhetskraven. Statiska riskbedömningar, som finansiella revisioner och verifieringar av säkerhetscertifikat, är fortfarande viktiga, men de saknar ofta sammanhang och kommer inte alltid i rätt tid. Det finns ett behov av en lösning som erbjuder sammanhang i realtid om det faktiska hotlandskapet.
Threat Intelligence är ett sätt att göra just det. Det kan ge insyn i hotmiljöerna hos de tredje parter du arbetar med, ge realtidsvarningar om hot och förändringar i deras risker och ge dig det sammanhang du behöver för att utvärdera dina relationer.