Definiție

 

Threat intelligence-ul (informații despre amenințări), cunoscut și ca cyber threat intelligence sau, mai simplu, threat intel, este rezultatul analizării datelor cu scopul de a furniza informații pentru a îmbunătăți modul în care înțelegem riscurile la adresa securității.

 

Punctele de date colectate din mai multe surse sunt organizate pentru a susține profesioniștii în securitate în activitatea lor.Threat intelligence-ul ajută echipele să adopte o abordare proactivă în ceea ce privește amenințările cibernetice, luând în considerare posibilele motivații și competențe ale atacatorilor și creând o imagine a riscurilor implicate, care este mai amplă decât cea pe care o poate crea o organizație care operează individual.

 

Fluxul de informații este adesea adaptat pentru a viza vulnerabilitățile unice specifice organizației în cauză și activele acesteia, oferind, astfel, o strategie de apărare personalizată.

Cum funcționează?

Cum funcționează tehnologia Threat Intelligence

Threat intelligence-ul reprezintă cunoștințe bazate pe probe, care oferă informații despre context, mecanisme, indicatori și implicațiile amenințărilor actuale sau emergente ce vizează activele unei organizații, precum și sfaturi practice. Aceste instrumente pot susține procesul de luare a deciziilor privind răspunsul la amenințări, permițându-le echipelor de securitate să stabilească ordinea vulnerabilităților, să evalueze instrumentele de securitate cibernetică și să implementeze măsuri de remediere.

În esență, prin procesul de threat intelligence-ului pot fi identificați indicatorii de compromitere (IoC), tacticile, tehnicile și procedurile (TTP) utilizate de hackeri. Cu aceste semnale, organizațiile pot detecta și combate atacurile cibernetice cât mai repede posibil. Iar acest lucru duce, la rândul său, la reducerea timpului până la detecție și a impactului potențial al unei breșe de securitate.

Află mai multe

 

Atunci când procesul de threat intelligence este implementat corect, organizațiile beneficiază de instrumentele de care au nevoie pentru a combate atacuri viitoare, prin consolidarea măsurilor de securitate cu ajutorul unor instrumente de securitate la nivel de rețea și cloud.

 

La baza conceptului de threat intelligence se află înțelegerea peisajului securității cibernetice și monitorizarea formelor emergente de malware, exploituri zero-day, atacuri de phishing și a altor aspecte de securitate cibernetică.

De ce sunt atât de importante instrumentele de cyber threat intelligence?

 

 

Când vine vorba de securitatea cibernetică, dinamica dintre cei care atacă și cei care apără se aseamănă foarte mult cu un joc de șah; ambele părți își adaptează constant strategiile pentru a fi mai bun decât celălalt. Atacatorii caută mereu noi căi de atac; cei care asigură apărarea fac tot posibilul pentru a le bloca atacurile, iar ambele părți își adaptează tacticile la fiecare rundă. Organizațiile trebuie să găsească o cale prin care să depășească această luptă continuă, investind în soluții avansate de cyber threat intelligence.

 

Deși importante, mecanismele de apărare de bază, cum ar fi firewall-urile și sistemele de prevenire a accesului neautorizat (IPS) sunt, prin natura lor, pasive. Pentru că face parte dintr-un regim de securitate activ, threat intelligence-ul se axează pe combaterea atacurilor, inclusiv a amenințărilor persistente avansate (Advenced Persistent Threats - APT ). 

 

APT-urile sunt lansate de atacatori periculoși și sofisticați care doresc să pătrundă în sistem pentru a fura date, a face spionaj și chiar pentru a perturba sau distruge sistemul pe o perioadă lungă de timp, care poate culmina cu un atac ransomware după ce datele care erau vizat au fost exfiltrate. Este important să înțelegem în detaliu strategiile din spatele APT atunci când creăm o structură de apărare eficientă.

 

O abordare mai activă a securității cibernetice constă în utilizarea threat intelligence-ului, astfel încât să sprijinim echipele de securitate cu informații. Procesul de threat intelligence scoate la iveală nu numai motivele, ci și tacticile, tehnicile și procedurile (TTP) pe care cei care lansează APT-uri le-ar putea folosi.

 

Nu în ultimul rând, departamentele IT pot folosi threat intelligence ca instrument pentru a extinde sfera conversației despre riscuri cu părțile interesate, cum ar fi consiliile de administrație și directorii de tehnologie. Aceștia pot beneficia de informații despre amenințări pe care să le folosească pentru a lua decizii strategice care să corespundă cel mai bine toleranței la risc a companiei.

Ciclul de viață al informațiilor despre amenințări

 

 

Threat intelligence-ul este un proces iterativ compus din aproximativ șase etape principale. În cadrul acestor etape, experții în securitate cibernetică preiau datele brute și le pun în context, transformând datele în informații și recomandări.

 

Termenul „ciclu de viață”, împrumutat din biologie, este folosit pentru a descrie faptul că etapele se desfășoară într-o buclă continuă.

 

1. Planificare

Această etapă fundamentală presupune definirea cerințelor în materie de informații. Adesea, acestea sunt formulate sub forma unor întrebări pentru a facilita înțelegerea amenințărilor specifice relevante pentru organizație. Pentru a defini cerințele, analiștii de securitate colaborează cu părțile interesate, cum ar fi directorii executivi și șefii de departamente. Tot acum se stabilește și ierarhia obiectivelor de informații, în funcție de diferiți factori - impact, caracterul urgent, alinierea la valorile organizaționale etc.

 

2. Colectarea datelor privind amenințările

Pentru a avea un proces de threat intelligence cât mai precis, trebuie utilizate date brute care pot proveni din diferite canale. Sursele utilizate pentru colectarea datelor sunt atât open-source, cât și comerciale, și includ orice informații, de la actualizări în timp real privind IoC până la analize aprofundate privind atacurile din lumea reală. Alte surse utilizate pentru colectarea datelor sunt jurnalele interne, de exemplu, cele din sistemele Security Information and Event Management (SIEM) sau informațiile de specialitate furnizate de centrele de analiză și schimb de informații (ISAC) specifice industriei.

 

3. Prelucrare

Obiectivul principal al acestei etape este de a centraliza și standardiza datele brute colectate, pentru a putea fi utilizate mai ușor. Analiștii de securitate se folosesc de instrumente specializate de threat intel, multe dintre acestea bazându-se pe tehnologii de inteligență artificială și machine learning pentru a identifica tiparele de la nivelul datelor. Apoi sunt adăugate metadate, care contribuie la activitățile ulterioare de analiză și monitorizare. În această etapă, echipele de securitate cibernetică elimină rezultatele fals pozitive recunoscute pentru a asigura o precizie mai mare a setului de date.

 

4. Analiză

Această etapă este cea mai importantă pentru furnizarea de informații, concentrându-se în principal, pe convertirea datelor prelucrate în threat intelligence care poate fi transformat în acțiuni. Analiștii de securitate lucrează cu cadre consacrate, precum MITRE ATT&CK și cu un set vast de baze de date care au la bază observații din lumea reală privind tacticile și tehnicile utilizate de atacatori.

 

Analiștii testează, verifică și interpretează tiparele de date pentru a identifica vulnerabilitățile potențiale și tacticile utilizate de anumite grupuri de infractori cibernetici. Rezultatele acestui proces de analiză sunt adaptate la publicul țintă și furnizate în formate care variază de la liste concise de amenințări sau rapoarte detaliate evaluate de experți în domeniu.

 

5. Diseminare

Aspectele constatate în etapa anterioară sunt prezentate părților relevante, inclusiv echipelor de securitate și conducerii superioare a unei organizații. Acțiunile care rezultă în această etapă pot include actualizarea regulilor de detecție SIEM sau blocarea adreselor IP suspecte. Pentru a îmbunătăți eficiența, informațiile sunt furnizate prin intermediul unor programe software speciale care se integrează cu sisteme de security intelligence precum SOAR (Security Orchestration, Automation and Response) și XDR (Extended Detection and Response).

 

6. Feedback

Ciclul se încheie cu evaluarea etapelor anterioare sau cu o reflecție asupra acestora, pentru a determina dacă apar întrebări noi sau pentru a expune lacunele nerecunoscute. Concluziile etapei de feedback sunt integrate în ciclul următor, încheind bucla pentru a asigura îmbunătățirea continuă a întregului proces pe termen lung.

 

Tipuri de threat intelligence

 

 

Cyber threat intelligence (CTI) oferă o varietate de oportunități, de la cazuri de utilizare tactice și operaționale la unele mai strategice.

 

Threat intelligence tactic

Threat intelligence-ul tactic este orientat spre un public mai tehnic, precum personalul centrelor de operațiuni de securitate (SOC) și specialiștii care asigură răspunsul la incidente, dar și experții în securitate. Threat intelligence-ul tactic este, de obicei, disponibil într-un format prelucrabil electronic. Acesta se integrează cu ușurință în diferite instrumente și platforme de threat intelligence, cu ajutorul API și fluxurilor programatice de informații despre amenințări.

 

Punctele de date utilizate pentru a detecta activitățile periculoase se numesc Indicatori de compromitere (IOC) și reprezintă elemente cheie în această modalitate de furnizare a threat intelligence-ului. IOC includ adrese IP asociate unor amenințări cunoscute, denumiri de domenii periculoase și coduri hash ale fișierelor identificate drept periculoase.

 

Acești indicatori au evoluat într-un ritm extrem de rapid, de aceea, este important să avem o sursă care se actualizează constant.

 

Pentru că oferă date imediate, care pot fi transformate în acțiuni fără a fi nevoie de o analiză pe termen lung sau de perspective extinse, threat intelligence-ul tactic vine în completarea informațiilor de importanță operațională sau strategică. În momentul în care o organizație se bazează numai pe threat intelligence tactic, există un risc sporit de rezultate fals pozitive, adică situații în care activități inofensive sunt marcate incorect ca fiind periculoase.

 

Utilizări și exemple de cyber threat intelligence (CTI) tactic

· Fluxuri de informații: fluxuri continue de date care oferă informații despre amenințările potențiale.

· Alerte în timp real: notificări imediate care informează organizațiile cu privire la amenințările active din mediul lor.

· Analiza automată a malware-ului: procese automatizate care analizează programele software periculoase pentru a înțelege rolul lor și cât de amenințătoare sunt acestea.

 

Threat intelligence operațional

Threat intelligence-ul operațional se referă la context. Acesta centralizează informații despre atacurile cibernetice pentru a identifica întrebări esențiale despre campaniile și operațiunile atacatorilor. Accentul este pus pe tactici, tehnici și proceduri (TTP), precum și pe intenția atacurilor și momentul în care s-au produs.

 

Obținerea de informații nu este un proces simplu, având în vedere că sunt folosite diverse surse - de la platforme de chat, rețele de socializare și jurnale ale programelor antivirus, până la informații înregistrate în atacurile anterioare. Provocările în ceea ce privește această abordare apar din faptul că atacatorii folosesc adesea criptarea, limbajul ambiguu sau codificat și platformele de chat private. Pentru a prelucra volume mari de date sunt folosite adesea tehnici precum minarea de date și machine learning-ul, însă, pentru a putea produce o analiză finală, informațiile trebuie să fie contextualizate de către experți.

 

Când este valorificat în cadrul centrelor de operațiuni de securitate (SOC), threat intelligence-ul operațional optimizează metodologiile de securitate cibernetică, precum managementul vulnerabilităților, monitorizarea amenințărilor, răspunsul la incidente și multe altele, cu informații cu caracter operațional despre amenințări.

 

Utilizări și exemple de cyber threat intelligence (CTI) operațional

· Crearea de profiluri ale atacatorilor: înțelegerea și clasificarea atacatorilor cibernetici pe baza tacticilor, tehnicilor și procedurilor utilizate de aceștia.

· Stabilirea priorităților în ceea ce privește patch-urile: identificarea vulnerabilităților software care trebuie abordate mai întâi pe baza threat intelligence-ului.

· Răspunsul la incidente: acțiuni întreprinse pentru a gestiona și a diminua efectele amenințărilor odată ce acestea sunt detectate. 

 

Threat intelligence strategic

Threat intelligence-ul strategic traduce informații complexe și detaliate într-un limbaj care poate fi folosit de părțile interesate, precum membrii consiliului de administrație, directorii și factorii de decizie de rang înalt. Rezultatele procesului de threat intelligence strategic pot include prezentări, rapoarte privind riscurile la nivelul întregii organizații și comparații între riscurile anterioare, prezente și viitoare din cadrul unei organizații și în comparație cu standardele și bunele practici din industrie. Un factor important în procesul de threat intelligence strategic este identificarea lacunelor în materie de conformitate.

 

Deși sunt cuprinse în rapoarte, metoda de furnizare a acestui tip de informații despre amenințări trebuie să cuprindă și o analiză extinsă a tendințelor locale și globale, a riscurilor cibernetice emergente și chiar a factorilor geopolitici. Threat intelligence-ul strategic reprezintă o parte esențială a planificării pe termen lung, a managementului riscurilor și a deciziilor politice generale. De asemenea, threat intelligence-ul strategic este o componentă integrală a planificării strategice pe termen lung, ajutând organizațiile să își alinieze strategiile în materie de securitate cibernetică la obiectivele de business.

 

Utilizări și exemple de cyber threat intelligence (CTI) strategic

· Amenințare din interior: elaborarea unor strategii cuprinzătoare pentru a identifica și aborda amenințările care provin din interiorul organizației prin metode precum analiza modelelor comportamentale și a jurnalelor de acces.

· Operațiuni de înșelăciune: proiectarea și implementarea strategiilor de înșelăciune pentru a induce în eroare și a monitoriza atacatori potențiali, prin dezvăluirea tehnicilor și intențiilor acestora fără compromiterea activelor reale.

· Alocarea resurselor: identificarea celei mai bune modalități de alocare a resurselor în domeniul securității cibernetice în funcție de peisajul amenințărilor, investiții în noi tehnologii de securitate, angajarea de personal specializat sau alocarea de fonduri pentru programe de formare a angajaților.

 

Cele mai bune practici pentru implementarea CTI: întrebări de adresat

 

 

Integrarea procesului de threat intel în strategia globală de securitate cibernetică a organizației dvs. va orienta apărarea spre o abordare mai proactivă, care vă va permite să fiți cu un pas înaintea breșelor de securitate posibile. Procesul de adoptare este mai strategic decât simpla selecție a instrumentelor, presupunând cooperarea la nivelul echipelor interne pentru a asigura o implementare eficientă a instrumentelor de threat intelligence.

 

·       Cum se integrează CTI (Cyber Threat Intelligence) cu obiectivele companiei mele în ceea ce privește veniturile? 

Adoptarea unei abordări potrivite în materie de CTI vă protejează direct sursele de venit și procesele, prin faptul că sistemele critice sunt în siguranță, încrederea clienților este menținută și afacerea dvs. funcționează fără probleme și fără întreruperi. Astfel, se creează un echilibru corect între investiția în CTI și nivelul de protecție necesar.

 

·       Ce sunt informațiile care pot fi transformat în acțiuni? 

Informațiile furnizate din procesul CTI care pot fi transformate în acțiuni oferă măsuri clare și imediate pe care o echipă de securitate sau de operațiuni le poate lua pentru a îmbunătăți apărarea companiei. Este important ca acest tip de informații să fie clar definite și valorificate cât mai mult posibil, deoarece pot asigura o securitate mai puternică și pot duce la reducerea costurilor generate de eventualele breșe de securitate.

 

·       Cum pot integra cel mai bine threat intelligence-ul cu sistemele mele existente ?

Integrarea CTI cu sistemele dvs. existente vă ajută să valorificați puterea infrastructurii dvs. de securitate actuale, îmbunătățind capacitățile acesteia cu investiții suplimentare minime. De exemplu, prin automatizarea proceselor manuale, echipa dvs. nu va mai fi nevoită să se ocupe de sarcini de rutină și va putea răspunde mai rapid la amenințări. Integrarea instrumentelor de threat intelligence ar trebui să ajute echipa dvs. existentă să îndeplinească mai multe sarcini, să lucreze mai repede și cu mai multă precizie, ceea ce crește randamentul investiției. 

 

·       Cum pot îmbunătăți procesul de threat intelligence pe termen lung? 

Pentru a vă asigura că procesul de threat intelligence se îmbunătățește în timp, selectați o soluție CTI care se aliniază la nevoile dvs. unice. Optați pentru sisteme care oferă mecanisme de feedback adaptabile, care permit perfecționarea și progresul continuu. Găsiți parteneri în domeniul securității cibernetice care să vă ajute să implementați un sistem CTI care nu numai că se potrivește cu operațiunile dvs. curente, ci și evoluează odată cu acestea, aducând îmbunătățiri și un plus de valoare pe termen lung.

Ce alte instrumente și tehnici de threat intelligence eficiente mai există?

 

 

 

Exceptând cele trei categorii principale de informații despre amenințările cibernetice descrise mai sus - tactice, operaționale și strategice - merită menționate și alte instrumente și tehnici utilizate pentru informații despre amenințări, pe care ar trebui să le cunoașteți în timpul procesului de implementare:

 

  • ·         Platformele de threat intelligence (TIP):  platformele centrale, cum ar fi TIP-urile, sunt esențiale pentru consolidarea, dezvoltarea și analizarea în timp real a datelor privind amenințările din mai multe surse. Pentru aplicații practice, optați pentru platforme care oferă perioade de evaluare sau versiuni demonstrative, care să permită echipei dvs. să evalueze compatibilitatea acestora cu sistemele existente. O platformă precum Advanced Threat Intelligence (ATI) de la Bitdefender oferă astfel de informații prin IntelliZone, furnizând date de la o rețea vastă de senzori și un ecosistem care asigură licențierea tehnologiei.

 

  • · Informații privind securitatea: această abordare mai amplă integrează date atât din surse externe, cât și din surse interne pentru a crea o imagine completă a contextului în care vă regăsiți din perspectiva amenințărilor. Începeți prin a efectua audituri interne pentru a identifica sursele de date care vă pot îmbogăți informațiile privind securitatea pe care să le integrați apoi cu date privind amenințările din surse externe.

 

  • · Threat intelligence open-source: valorificarea datelor din surse publice poate contribui la identificarea unor tendințe și tipare, cu costuri reduse sau chiar fără niciun cost pentru organizații. Plecați de la forumurile și bazele de date de încredere, cum ar fi cele furnizate de diviziile CERT sau informațiile împărtășite de organizațiile de securitate cibernetică de încredere. Dacă vă aflați la început, căutați un ghid de inițiere sau urmați un curs online bine cotat în domeniul threat intelligence open-source, care să vă îndrume în procesul de colectare și analiză a datelor publice. Verificați fiecare informație corelând-o cu alte surse credibile, pentru a asigura integritatea datelor.

 

Fiecare dintre aceste instrumente și tehnici necesită o atenție deosebită și o abordare strategică în ceea ce privește integrarea lor. Acestea pot fi adaptate în funcție de nevoile și obiectivele de securitate specifice organizației dvs. Nu ezitați să consultați specialiștii în domeniu pentru a maximiza eficiența acestora.

Cum pot începe să implementez un proces de cyber threat intelligence în organizația mea?

Implementarea unei soluții de threat intelligence în infrastructura de securitate a organizației dvs. este un pas strategic important, care necesită o planificare atentă și o analiză minuțioasă.

Alegeți o soluție profesională de threat intelligence, care se potrivește cel mai bine nevoilor și preferințelor dvs. Se recomandă implicarea în acest proces a echipelor IT și a profesioniștilor în securitate cibernetică din cadrul organizației.

Există riscuri asociate cu informațiile privind amenințările cibernetice?

Nu, nu există riscuri inerente, dar există probleme potențiale de care trebuie să fiți conștient. Acestea pot apărea ca urmare a unei planificări deficitare sau a unei alocări greșite a resurselor.

Organizațiile trebuie să înțeleagă riscul de supraîncărcare cu informații.

În lipsa unor mecanisme adecvate de filtrare și analiză, apariția unor rezultate fals pozitive sau negative ar putea determina irosirea unor resurse valoroase. Pentru o securitate de succes, este esențial să investiți în mecanisme performante de threat intelligence, folosind o abordare stratificată și automatizată, care combină soluții externe de înaltă calitate și resurse interne strategice, inclusiv abilitarea continuă a echipei.

Ce înseamnă threat intelligence-ul tehnic?

Threat intelligence-ul tehnic se axează pe dovezi concrete ale existenței unor amenințări cibernetice. Deseori, este considerată o subcategorie de threat intelligence operațional, dar se axează pe dovezi directe ale prezenței unor amenințări.

Aceasta înseamnă că poate juca un rol atât în domeniul informațiilor tactice, cât și în cel al informațiilor operaționale. Threat intelligence-ul tehnic oferă detalii specifice despre atacurile în curs de desfășurare și cele potențiale prin identificarea indicatorilor de compromitere (IOC), inclusiv adresele IP asociate unor activități periculoase, conținutul e-mailurilor de phishing, mostre cunoscute de malware și URL-uri înșelătoare.