Работа часто побуждает меня разговаривать с клиентами о CyberSecurity, свои программы, их понимание того, что означает безопасность и как ее реализовать в своих организациях.
Среди различных тем одна особенно повторяющаяся представлена Киберугроз разведка.
Находясь на рынке уже семь-восемь лет, они часто рассматриваются как Святой Грааль для выявления заинтересованного злоумышленника до того, как он нападет, или, в худшем случае, как только появятся признаки компрометации. конечная точка или сети.
Давайте начнем с простого определения интеллекта - разработки прогнозной информации на основе определенных свидетельств - чтобы узнать у военного мира, как предотвратить нулевую отдачу от инвестиций даже в важные CTI.
В военной среде этапу сбора информации предшествует другой этап, имеющий решающее значение и слишком часто недооцениваемый: планирование и руководство, в которых органы управления определяют информационные цели, которые считаются необходимыми для их собственных решений.
Это сделано для того, чтобы сборник был не самоцелью или широким спектром, а исключительно целенаправленным и целенаправленным; Уже 2500 лет назад известный китайский военный стратег Сунь Цзы рекомендовал знать своего врага и себя именно в таком порядке!
Знать себя это означает точное и полное представление о том, как состоит цифровое биоразнообразие: где находятся ресурсы, какого они типа (мобильные элементы, серверы, облачные ресурсы, контейнеры приложений, веб-приложения…).
Затем определите его наблюдаемость: можно ли фрагментировать и повторно собирать, агрегировать и детализировать, запрашивать и извлекать доступную информацию из метаданных в цифровой среде на основе конкретных вариантов использования?
И как только вы проанализируете свой ИТ-кругозор, насколько легко назначить уровень критичности для ресурсов?
Это значит познать себя, и это непременное условие для того, чтобы узнать своего врага, который определяет способ использования CTI.
Что в военной области делится на три этапа: обработка, производство информации, распространение. Три этапа, которые мало или совсем не связаны с поставщиком CTI, но часто приводят к провалу очень многообещающих проектов как с точки зрения бюджета, так и с точки зрения качества кормов.
L 'обработка это касается возможности категоризировать информацию в ленте, соотносить их друг с другом и с информацией третьих лиц, оценивать ее важность. Эта способность должна присутствовать и, возможно, реализовываться за счет собственных ресурсов, поскольку скорость, маневренность и динамизм являются важными характеристиками для создания ценности.
La информационное производство дополнительно расширяет то, что было квалифицировано на предыдущем этапе, преобразуя неоднородные данные в полезную информацию благодаря анализу нормализованных метаданных.
Завершите цикл потребления киберугроза интеллект стадии раскрытие, который заключается в распространении переработанной информации для поддержки как можно большего количества процессов.
Эти последние два этапа требуют глубоких знаний о потенциальных пользователях информации, а также технологической платформы, поддерживающей преобразование.
Наконец, это помогает понять три возможных типа разведка киберугроз которые характеризуют операцию сбора, чтобы предварительно сконфигурировать модели категоризации и потребления в процессах, упомянутых ниже, а также определить степень устаревания информации.
Первый тип - это Стратегический CTI: состоит из анализа и информации, обычно рассчитанной на несколько лет, и фокусируется на том, кто и почему в отношении определенных злоумышленников.
Обычно разрабатываемый для нетехнической аудитории, он основан на анализе виктимологической демографии, на кампаниях макроскопических атак и направлен на классификацию групп атак и мотиваций (хактивизм, финансы, политика, спонсируемые государством…). Существуют различные категории, например, предоставленная Mandiant (часть группы FireEye) на основе сокращений, содержащих мотивацию и прогрессивное число: APT для Advanced Persistent Threat, FIN для Financial и т. Д.
Второй тип - это Оперативный CTI, сосредоточился на раскрытии того, как и где. Разработанный как для технических, так и для нетехнических пользователей, он описывает такие элементы, как инструменты, методы и процедуры - или ДТС, - используемые для проведения атаки.
Он демонстрирует такие характерные черты, как настойчивость, используемые методы общения, описание методологий и правил.
Например, он иллюстрирует методы социальной инженерии или методы работы семейств вредоносных программ.
Третий тип - это Тактика CTI, который представляет собой как наиболее усвояемую форму, так и ту, для употребления которой требуется меньшая зрелость. Он предназначен для технической аудитории и описывает события безопасности, примеры вредоносных программ или фишинговых писем.
Включает сигнатуры для распознавания вредоносных программ и индикаторы атаки или компрометации (IoA, IoC), такие как IP-адреса, домены, хэши файлов, которые можно легко реализовать для повышения периметра, мониторинга и защиты ответа для блокировки попыток или смягчения ситуаций компрометации.
Если верно, что полное использование трех форм часто является проблемой больше, связанной с потребностями, чем с бюджетом, даже когда эти два условия удовлетворены, вопрос становится другим.
Эффективный процесс должен вести к взаимной координации результатов трех различных уровней загрузки, которые не должны работать как «разрозненные»: каналы стратегического уровня могут использоваться для направления и уточнения поиска информации на оперативном и тактическом уровнях; Точно так же конкретные результаты разведки на тактическом уровне могут помочь в переопределении информационных целей исследования стратегического уровня.
Эта ситуация иногда усугубляется отсутствием коммуникативных навыков между уровнем технического управления и стратегическим уровнем, что напрямую влияет на этап планирования и управления, что влияет на определение четких и общих целей; таким образом загрязняют всю ценность в пользу затрат на избыточные системы или технологии или полезны только для решения конкретной проблемы.
Я завершаю этот краткий анализ тремя вопросами, чтобы помочь понять, какой тип, корм или поставщик CTI вам подходит.
Являются ли цели, которые поддерживает коллекция CTI, ясны, четко определены по существу и периметру?
Какова способность потреблять три типа CTI? Даже со временем этот ответ может развиваться и расширяться.
Доступны ли в достаточной мере ресурсы и уровень специализации для использования CTI осязаемым и приносящим пользу способом?
Как в армии, так и в CyberSecurity честный ответ на эти три вопроса определит необходимость и природу CTI, так что, перефразируя Сунь Цзы, зная себя как врага, даже среди сотни сражений тебе никогда не грозит опасность.
