Cyber threat intelligence: cum puteți să fiți cu un pas înaintea adversarilor cibernetici

Phil Muncaster

November 8, 2023

Cybersecurity Securitate digitală

Prin colectarea, analizarea și contextualizarea informațiilor despre posibilele amenințări cibernetice, inclusiv cele mai avansate, threat intelligence oferă o metodă esențială pentru identificarea, evaluarea și reducerea riscurilor cibernetice.

Atunci când vine vorba de reducerea riscului cibernetic în cadrul unei organizații, cunoștințele și expertiza reprezintă puterea. Numai acest lucru ar trebui să facă din threat intelligence (TI) o prioritate cheie pentru orice organizație. Din păcate, de multe ori nu este cazul. Printre diferitele măsuri de protecție pe care liderii IT trebuie să le ia în considerare pentru a-i ajuta să contracareze atacurile din ce în ce mai sofisticate, informațiile de tipul threat intelligence sunt adesea trecute cu vederea. Această omisiune ar putea fi însă o greșeală critică.

Prin colectarea, analizarea și contextualizarea informațiilor despre posibilele amenințări cibernetice, inclusiv cele mai avansate, TI oferă o metodă esențială de identificare, evaluare și atenuare a riscurilor cibernetice. De asemenea, atunci când este corect implementată, aceasta poate ajuta organizația dvs. să stabilească prioritățile în ceea ce privește direcția în care să își concentreze resursele limitate pentru un efect maxim și, astfel, să își reducă expunerea la amenințări, să minimizeze daunele provocate de eventualele atacuri și să își consolideze rezistența la amenințări viitoare.

Care sunt principalele tipuri de TI?

Provocarea pentru organizații este aceea de a găsi oferta potrivită dintr-o piață aglomerată de furnizori de TI. La urma urmei, aceasta este o piață care se preconizează că va atinge o  valoare de peste 44 de miliarde de dolari până în 2033. În general, există patru tipuri de date TI:

  • Strategice: oferite consiliului de administrație și a liderilor de business prin intermediul whitepapers și rapoartelor, acestea oferind o analiză contextuală a tendințelor generale.
  • Tactice: aliniate la nevoile membrilor echipelor de operațiuni de securitate (SecOps); acestea descriu tactici, tehnici și proceduri (TTP) ale actorilor de amenințări pentru a oferi vizibilitate asupra suprafeței de atac cibernetic și a modului în care actorii rău intenționați pot compromite mediul IT vizat.
  • Tehnice: îi ajută pe analiștii SecOps să monitorizeze noile amenințări sau să le investigheze pe cele existente folosind indicatori de compromitere (IOC).
  • Operaționale: utilizează, de asemenea, indicatori de compromitere, dar de data aceasta pentru a urmări mișcările adversarului și a înțelege tehnicile utilizate în timpul unui atac.

În timp ce TI strategice și tactice se concentrează pe obiective pe termen mai lung, ultimele două categorii sunt preocupate de obiective pe termen scurt, precum descoperirea elementelor ce au asigurat succesul atacului cibernetic.

Ce trebuie să căutați la o soluție de threat intelligence

Organizațiile pot găsi informații despre amenințări în diverse moduri, inclusiv prin intermediul surselor din industrie, cu ajutorul tehnologiei Open Source Intelligence (OSINT), al schimbului de informații între colegi din industrie și direct de la furnizorii de soluții de securitate cibernetică. Este de la sine înțeles că există printre aceștia din urmă câțiva care își oferă expertiza în acest domeniu. De fapt, Forrester a înregistrat o creștere de 49% a fluxurilor comerciale plătite pentru TI din 2021 până în 2022.

Cu toate acestea, vă sfătuim să vă concentrați asupra următoarelor aspecte atunci când evaluați dacă un furnizor este potrivit pentru organizația dvs:

  • Gamă completă de servicii: acesta ar trebui să ofere o gamă completă de TI care să acopere o plajă largă de actori de amenințare, vectori de amenințare și surse de date - inclusiv telemetrie internă, OSINT și surse externe. Fluxurile IOC ar trebui să fie considerate ca parte a unui serviciu de TI holistic, mai degrabă decât ca un serviciu de sine stătător.
  • Precizia: informațiile inexacte pot copleși analiștii. Este necesar ca furnizorii să ofere date foarte precise.
  • Relevanță: fluxurile de informații ar trebui să fie adaptate la mediul specific, la industria și la dimensiunea companiei dvs., precum și la ceea ce este cel mai relevant, precum obiective tactice sau strategice, pentru organizația dvs. pe termen scurt și lung. De asemenea, luați în considerare cine va utiliza serviciul. TI se extinde tot timpul către noi persoane, chiar și către echipele de marketing, de conformitate și juridice.
  • Oportunitatea: amenințările se mișcă rapid, astfel încât orice feed trebuie să fie actualizat în timp real pentru a fi util.
  • Scalabilitate: orice furnizor ar trebui să fie capabil să satisfacă nevoile de TI ale organizației dvs. pe măsură ce aceasta se extinde și se dezvoltă.
  • Reputație: întotdeauna merită să alegeți un furnizor care poate dovedi un istoric de succes în domeniul TI. Din ce în ce mai mult, acesta poate fi un furnizor care nu este asociat în mod tradițional cu TI, ci mai degrabă cu SOAR, XDR sau cu domenii adiacente similare.
  • Integrare: luați în considerare soluțiile care se integrează perfect în infrastructura de securitate existentă, inclusiv platformele SIEM și SOAR.

Navigarea pe piața threat intelligence

Piața TI este în continuă evoluție, cu noi categorii care apar pentru a ajuta la evaluarea noilor amenințări. Acest lucru poate face ca alegerea opțiunii potrivite să fie o provocare. Merită să vă gândiți pe termen mai lung la cerințele dvs. pentru a evita reevaluarea constantă a strategiei, deși acest lucru trebuie să fie echilibrat de nevoia de relevanță și agilitate.

De asemenea, merită să țineți cont de faptul că gradul de maturitate al organizației dvs. va juca un rol important în ceea ce privește numărul și tipul de servicii de tip TI care trebuie adoptate. Companiile care dispun de echipe și resurse dedicate pot avea nevoie de până la 15 surse de TI din surse comerciale, OSINT și gratuite.

Actorii amenințărilor de astăzi dispun de o varietate de resurse, sunt dinamici, determinați și se pot folosi de elementul surpriză. TI este una dintre cele mai bune modalități prin care organizațiile pot echilibra terenul de joc și obține avantajul, inclusiv prin înțelegerea adversarului, evaluarea peisajului amenințărilor și luarea unor decizii mai bine informate. Aceasta este modalitatea nu numai de a opri atacurile înainte ca acestea să aibă un impact asupra organizației, ci și de a crea reziliență pentru viitor.

Fiecare organizație va trebui să aleagă combinația de TI potrivită pentru ea. Dar atunci când vă uitați la furnizori, asigurați-vă că datele sunt cel puțin complete, exacte, relevante și oportune. Fluxurile personalizate de informații vor contribui în mare măsură la economisirea de timp și resurse pentru propria echipă. Cheia este să găsiți un furnizor în ale cărui fluxuri să aveți încredere. Potrivit IDC, 80% dintre companiile G2000 vor crește investițiile în informații despre amenințări până în 2024. Asigurați-vă că sunteți pregătiți pentru reușită.

Phil Muncaster November 8, 2023
Articole Similare

Securitatea cibernetică a alegerilor: protejarea urnelor de vot și consolidarea încrederii în integritatea alegerilor

6 instrumente open-source pentru evaluarea și îmbunătățirea apărării cibernetice corporative

Examinarea vulnerabilităților în VPN-urile de afaceri

Tot ce trebuie să știți despre link-urile de tip IP grabber
Discussion

Lasa un comentariu

Protecția datelor