Underrättelser om cyberhot

Cyberhotsintelligence (CTI) är kunskaps-, kompetens- och erfarenhetsbaserad information om förekomst och bedömning av både cyberhot och fysiska hot och hotaktörer som är avsedd att bidra till att mildra potentiella attacker och skadliga händelser som inträffar i cyberrymden. Underrättelsekällor för cyberhot inkluderar intelligens med öppen källkod , intelligens från sociala medier , mänsklig intelligens , teknisk intelligens, enhetsloggfiler, kriminaltekniskt förvärvad data eller intelligens från internettrafik och data som härrör från den djupa och mörka webben.

Under de senaste åren har hotintelligens blivit en avgörande del av företags cybersäkerhetsstrategi eftersom den tillåter företag att vara mer proaktiva i sitt förhållningssätt och avgöra vilka hot som utgör de största riskerna för ett företag. Detta sätter företag på en mer proaktiv front - aktivt försöker hitta sina sårbarheter och förhindrar hackningar innan de inträffar. Denna metod har blivit allt viktigare de senaste åren eftersom, som IBM uppskattar, den vanligaste metoden som företag hackar är via hotexploatering (47 % av alla attacker)

Hotsårbarheter har ökat de senaste åren också på grund av covid-19-pandemin och fler människor som arbetar hemifrån – vilket gör företags data mer sårbara. På grund av de växande hoten å ena sidan och den växande sofistikeringen som krävs för hotintelligens har många företag under de senaste åren valt att lägga ut sina hotintelligensaktiviteter på en managed security provider (MSSP) .

Typer

Det finns tre övergripande, men inte kategoriska - klasser av cyberhotsintelligens:

  • Taktisk: teknisk intelligens (inklusive kompromissindikatorer som IP-adresser, filnamn eller hash) som kan användas för att hjälpa till att identifiera hotaktörer
  • Operativt: detaljer om motivation eller förmåga hos hotaktörer, inklusive deras verktyg, tekniker och procedurer
  • Strategisk: intelligens om de övergripande riskerna förknippade med cyberhot som kan användas för att driva en organisationsstrategi på hög nivå

Fördelar med cyberhotsintelligens

Cyberhotsintelligens ger ett antal fördelar, som inkluderar:

  • Ger människor, organisationer och byråer möjlighet att utveckla en proaktiv och robust ställning för cybersäkerhet och att stärka övergripande riskhantering och cybersäkerhetspolicyer och -åtgärder.
  • Driver fart mot en proaktiv cybersäkerhetsställning som är förutsägande, inte bara reaktiv efter en cyberattack
  • Möjliggör förbättrad upptäckt av både risker och hot
  • Informerar bättre beslutsfattande före, under och efter upptäckten av ett cyberintrång eller avsedd störning av IT/OT-tjänster.
  • Möjliggör delning av kunskap, färdigheter och erfarenheter mellan cybersäkerhetsgemenskapen av praxis och systemintressenter.
  • Kommunicerar hotytor, attackvektorer och skadliga aktiviteter riktade till både informationsteknologi och operativa teknikplattformar.
  • Fungera som faktabaserat arkiv för bevis på både framgångsrika och misslyckade cyberattacker.
  • Tillhandahålla indikatorer för räddningsteam för datorer och räddningsgrupper för incidenter.

Nyckelelement

Data eller information om cyberhot med följande nyckelelement betraktas som underrättelser om cyberhot:

  • Evidensbaserad: bevis för cyberhot kan erhållas från skadlig programvara för att vara säker på att hotet är giltigt
  • Verktyg: det måste finnas något verktyg för att ha en positiv inverkan på en säkerhetsincidents resultat eller organisation
  • Handlingsbar: den erhållna cyberhotsintelligensen bör driva säkerhetskontrollåtgärder, inte bara data eller information

Tillskrivning

Cyberhot involverar användning av datorer, lagringsenheter, mjukvarunätverk och molnbaserade arkiv. Före, under eller efter en cyberattack kan teknisk information om informationen och operationstekniken, enheter, nätverk och datorer mellan angriparen/erna och offret/offret samlas in, lagras och analyseras. Men det är ibland svårt att identifiera personen/personerna bakom en attack, deras motiv eller den ultimata sponsorn till attacken, så kallad attribution. Senaste [ när? ] ansträngningar inom hotintelligens betonar förståelse för motståndares TTP: er .

Ett antal senaste [ när? ] analytiska rapporter om cyberhotsunderrättelser har släppts av organisationer inom den offentliga och privata sektorn som tillskriver cyberattacker. Detta inkluderar Mandiants APT1- och APT28-rapporter, US CERT:s APT29-rapport och Symantecs rapporter om Dragonfly, Waterbug Group och Seedworm.

CTI-delning

Under 2015 uppmuntrade amerikansk regeringslagstiftning i form av "Cybersecurity Information Sharing Act" att dela CTI-indikatorer mellan statliga och privata organisationer. Denna lag krävde att den amerikanska federala regeringen skulle underlätta och främja fyra CTI-mål:

  1. Delning av "klassificerade och avsekretessbelagda cyberhotsindikatorer som innehas av den federala regeringen med privata enheter, icke-federala myndigheter eller statliga, stam- eller lokala myndigheter";
  2. Dela med allmänheten av "oklassificerade indikatorer";
  3. Dela "information med enheter under cybersäkerhetshot för att förhindra eller mildra negativa effekter";
  4. Dela med sig av "bästa praxis för cybersäkerhet med hänsyn till de utmaningar som små företag står inför.

Under 2016 gav den amerikanska statliga myndigheten National Institute of Standards and Technology (NIST) ut en publikation (NIST SP 800-150) som ytterligare beskrev nödvändigheten av Cyber ​​Threat Information Sharing samt ett ramverk för implementering.

Se även

Vidare läsning

Hämtad från " https://en.wikipedia.org/w/index.php?title=Cyber_threat_intelligence&oldid=1138642782 "