Hotinformatiuon, ofta kallad cyberhotinformation eller helt enkelt hotinfo, är resultatet av dataanalys med målet att tillhandahålla användbar information för att öka förståelsen för säkerhetsrisker.
Datapunkter som samlats in från flera källor är organiserade för att hjälpa säkerhetspersonal. Hotinformation hjälper team att bygga upp en proaktiv inställning till cyberhot genom att ta hänsyn till angriparnas möjliga motiv och kapacitet och ge en bild av riskerna som är bredare än vad en enskild organisation kan skörda.
Informationsflödet anpassas ofta för att fokusera på den aktuella organisationens unika sårbarheter och tillgångar, och erbjuder därmed en skräddarsydd försvarsstrategi.
Hotinformation är kunskap som bygger på bevis som ger sammanhang, mekanismer, indikatorer, konsekvenser och handlingsbar vägledning för aktuella eller framväxande hot mot en organisations tillgångar. Den kan vägleda beslutsfattandet när det gäller att bemöta hot, så att säkerhetsteamen kan prioritera sårbarheter, utvärdera cybersäkerhetsverktyg och genomföra avhjälpande åtgärder.
I huvudsak identifierar hotinformation indikatorer på kompromisser (IoC), taktik, teknik och procedurer (TTP) som används av brottsliga aktörer. Dessa signaler hjälper organisationer att upptäcka och avvärja cyberattacker så snart som möjligt. Detta minskar tiden till upptäckt och minimerar den potentiella effekten av ett intrång.
Rätt implementerad ger hotinformation organisationerna de verktyg som behövs för att avvärja framtida attacker genom att förstärka säkerhetsåtgärderna med hjälp av säkerhetsverktyg för nätverk och moln.
Kärnan i hotinformation bygger på att förstå cybersäkerhetslandskapet och hålla ett öga på nya former av skadlig kod, nolldagsexploateringar, nätfiskeattacker och andra cybersäkerhetsproblem.
Inom cybersäkerhet påminner dynamiken mellan angripare och försvarare mycket om ett schackspel: båda parter lägger ständigt upp strategier för att överlista varandra. Hotaktörerna söker efter nya vägar för angrepp, försvararna gör sitt bästa för att blockera angreppen och båda sidor upprepar och anpassar sin taktik för varje omgång. Att identifiera ett sätt att ta sig ur denna ständiga kamp är den bästa anledningen för en organisation att investera i avancerad cyberhotinformation.
Grundförsvarsmekanismer som brandväggar och IPS-system (Intrusion Prevention System) är viktiga, men i grunden är de passiva till sin natur. Som en del av ett aktivt säkerhetssystem är hotinformation inriktad på att avvärja attacker, vilket inkluderar avancerade ihållande hot (APT).
APT:er utförs av sofistikerade aktörer som vill göra intrång i system för att stjäla data, bedriva spionage och till och med störa eller förstöra systemet under en längre period, vilket kan leda till ransomware efter att användbara data har utfiltrerats. En djupgående förståelse av APT-strategier ger fördelar vid utformningen av ett effektivt försvar.
En mer aktiv strategi för cybersäkerhet är att använda hotinformation så att säkerhetsteamen inte arbetar i mörker. Hotinformation avslöjar inte bara motiven utan även de taktiker, tekniker och förfaranden (TTP) som motståndarna bakom APT kan använda.
Slutligen kan IT-avdelningar använda hotinformation som ett verktyg för att utöka samtalen om risker med intressenter som styrelser och CTO:er. De kan rustas för att ta till sig insikter om hot och använda dem för strategiska beslut som är bäst anpassade till företagets risktolerans.
Hotinformation är en iterativ process som består av ungefär sex huvudfaser. Under dessa faser tar cybersäkerhetsexperter rådata och sätter dem i ett sammanhang, omvandlar data till insikter och råd.
Termen "livscykel", som är hämtad från biologin, används eftersom stegen är pågående och återkopplar till sig själva.
1. Planering
Detta grundläggande steg innebär att definiera informationskraven. Ofta är de formulerade som frågor för att förstå de specifika hot som är relevanta för organisationen. Säkerhetsanalytiker samarbetar med intressenter, t.ex. chefer och avdelningschefer, för att definiera dessa krav. Det är också då som prioritering av underrättelsemål sker, baserat på olika faktorer - påverkan, tidskänslighet, anpassning till organisatoriska värderingar, med mera.
2. Insamling av hotdata
Rådata är avgörande för en korrekt process för hotinformation och de kan komma från olika kanaler. De flöden som används för datainsamling är både open source och kommersiella och erbjuder allt från realtidsuppdateringar om IoC:er till djupgående analyser av verkliga attacker. Andra källor för datainsamling är interna loggar, t.ex. SIEM-system (Security Information and Event Management) eller specialiserade insikter från branschspecifika ISAC-center (Information Sharing and Analysis Centers).
3. Bearbetning
Huvudsyftet med denna fas är att sammanställa och standardisera insamlade rådata så att de blir mer lättanvända. Säkerhetsanalytiker använder specialiserade verktyg för hotinformation, varav många är utrustade med artificiell intelligens och machine learning för att identifiera mönster i data. Metadata läggs till, vilket underlättar framtida analyser och spårning. I detta skede tar cybersäkerhetsteamen bort identifierade falska positiva resultat för att förbättra datauppsättningens noggrannhet.
4. Analys
Den här fasen är den viktigaste för att ge insikter med primärt fokus på att omvandla bearbetade data till användbar hotinformation. Säkerhetsanalytiker arbetar med etablerade ramverk som MITRE ATT&CK och en bred uppsättning kunskapsbaser som bygger på verkliga observationer av taktik och teknik som används av angripare.
Genom testning, verifiering och tolkning av datamönster upptäcker analytikerna potentiella sårbarheter och taktiker som används av specifika cyberkriminella grupper. Analysresultaten skräddarsys efter målgruppen och levereras i format som sträcker sig från kortfattade hotlistor till detaljerade, expertgranskade rapporter.
5. Spridning
Resultaten från den föregående fasen delas med relevanta intressenter, däribland organisationens säkerhetsteam och högsta ledning. Åtgärder som följer av detta steg kan omfatta uppdateringar av SIEM:s detekteringsregler eller blockering av misstänkta IP-adresser. För effektivitetens skull levereras information via specialiserad programvara som integreras med säkerhetsinformationssystem som SOAR (Security Orchestration, Automation, and Response) och XDR (Extended Detection and Response).
6. Återkoppling
Livscykeln avslutas med en utvärdering av eller reflektion över de tidigare stegen i syfte att väcka nya frågor eller avslöja oupptäckta luckor. Slutsatserna från återkopplingen införlivas i nästa cykel, vilket gör att hela processen förbättras på lång sikt.
Information om cyberhot (CTI ) erbjuder ett brett spektrum av möjligheter, från taktiska och operativa till mer strategiska användningsområden.
Taktisk hotinformation
Taktisk hotinformation är inriktad på en mer teknisk publik - från personal vid SOC (Security Operations Center) och incidenthanterare till säkerhetsexperter. Taktisk hotinformation är vanligtvis tillgänglig i ett maskinläsbart format. Den är enkel att integrera i olika verktyg och plattformar för hotinformation via API:er och programmatiska hotinformationsflöden.
De datapunkter som används för att upptäcka skadliga aktiviteter kallas IOC (Indicators of Compromise) och är viktiga element i denna typ av leverans av hotinformation. IOC:er omfattar IP-adresser som är kopplade till kända hot, skadliga domännamn och filhashar som identifierats som skadliga.
Dessa indikatorer utvecklas mycket snabbt, så det är viktigt att ha en källa som ständigt uppdateras.
Eftersom den ger omedelbar, handlingsbar information utan långsiktig analys eller breda insikter, kompletterar taktisk hotinformation operativ och strategisk information. När en organisation endast förlitar sig på taktisk hotinformation ökar risken för falska positiva signaler - dvs. fall där godartade aktiviteter felaktigt flaggas som skadliga.
Användningsområden och exempel på taktisk information om cyberhot (CTI)
· Hotflöden: Kontinuerliga dataströmmar som ger information om potentiella hot.
· Varningar i realtid: Omedelbara meddelanden som informerar organisationer om aktiva hot i deras miljö.
· Automatiserad analys av skadlig programvara: Automatiserade processer som undersöker skadlig programvara för att förstå dess funktion och hotnivå.
Operativ hotinformation
Operativ hotinformation handlar om sammanhanget. Den samlar insikter om cyberattacker för att identifiera viktiga frågor om angripares kampanjer och operationer. Fokus ligger på taktik, teknik och förfaranden (TTP), samt avsikten med och tidpunkten för attacker.
Det är inte helt enkelt att få fram information, eftersom olika källor används - från chattrum, sociala medier och antivirusloggar till uppgifter från tidigare attacker. Utmaningarna med detta tillvägagångssätt beror på att skadliga aktörer ofta använder kryptering, tvetydigt eller kodat språk och privata chattrum. Data mining och machine learning används ofta för att bearbeta stora datamängder, men för att få fram en slutgiltig analys måste informationen sättas in i sitt sammanhang av experter.
Operativ hotinformation, som används i Security Operations Centers (SOC), berikar cybersäkerhetsmetoder som sårbarhetshantering, hotövervakning, incidenthantering och så vidare, med operativ hotinformation.
Användningsområden och exempel på operativ cyberhotinformation (CTI)
· Profilering av aktörer: Förståelse och kategorisering av cyberangripare baserat på deras taktik, teknik och förfaranden.
· Prioritering av uppdateringar: Fastställande av vilka programvarusårbarheter som ska åtgärdas först baserat på hotinformation.
· Incidentrespons: Åtgärder som vidtas för att hantera och mildra hot när de har upptäckts.
Strategisk hotinformation
Strategisk hotinformation översätter komplex och detaljerad information till ett språk som intressenter, däribland styrelseledamöter, chefer och högre beslutsfattare, kan agera utifrån. Resultatet av strategisk hotinformation kan omfatta presentationer, organisationsövergripande riskrapporter och jämförelser av tidigare, nuvarande och framtida risker inom en organisation och jämfört med branschstandarder och bästa praxis. Att identifiera brister i efterlevnaden är en grundläggande drivkraft för strategisk hotinformation.
Även om denna typ av hotinformation sammanfattas i rapporter måste den också omfatta omfattande analyser av lokala och globala trender, nya cyberrisker och till och med geopolitiska faktorer. Strategisk hotinformation är en viktig del av långsiktig planering, riskhantering och övergripande politiska beslut. Strategisk hotinformation är en integrerad del av den långsiktiga strategiska planeringen för att hjälpa organisationer att anpassa cybersäkerhetsstrategier till verksamhetsmålen.
Användningsområden och exempel på strategisk cyberhotinformation (CTI)
· Insiderhot: Utveckla omfattande strategier för att identifiera och hantera hot som kommer inifrån organisationen med hjälp av metoder som analys av beteendemönster och åtkomstloggar.
· Bedrägerioperationer: Utforma och genomföra bedrägeristrategier för att vilseleda och spåra potentiella angripare, avslöja deras tekniker och avsikter utan att äventyra verkliga tillgångar.
· Resursallokering: Fastställa hur man bäst fördelar resurser för cybersäkerhet baserat på hotbilden, investera i ny säkerhetsteknik, anställa specialiserad personal eller fördela medel till utbildningsprogram för anställda.
Genom att införliva hotinformation i organisationens övergripande cybersäkerhetsstrategi kan försvaret bli mer proaktivt och ni kan ligga steget före eventuella intrång. Anpassningsprocessen är mer strategisk än att bara välja verktyg och kräver att de interna teamen samarbetar för en effektiv implementering av hotinformation.
· Hur kan CTI (Cyber Threat Intelligence) integreras med mitt företags intäktsmål?
Rätt CTI-metod skyddar direkt era intäktskällor och processer genom att hålla kritiska system säkra, upprätthålla kundernas förtroende och se till att verksamheten fungerar smidigt utan avbrott. Säkerställ rätt balans mellan din CTI-investering och den skyddsnivå som behövs.
· Vad är en åtgärdsbar insikt?
En åtgärdsbar insikt från CTI ger tydliga, omedelbara steg som ett säkerhets- eller driftsteam kan ta för att förbättra företagets försvar. Det är viktigt att tydligt definiera och arbeta så mycket som möjligt med denna typ av insikter eftersom de leder till starkare säkerhet och minskade kostnader för potentiella intrång.
· Hur kan jag på bästa sätt integrera hotinformation med mina befintliga system ?
Genom att integrera CTI med era befintliga system kan ni dra nytta av styrkan i er nuvarande säkerhetsinfrastruktur och förbättra kapaciteten med minimala tilläggsinvesteringar. Genom att t.ex. automatisera manuella processer frigörs teamet från rutinuppgifter och kan reagera snabbare på hot. Integration av hotinformation ska hjälpa ert befintliga team att göra mer, snabbare och mer exakt, och därmed öka avkastningen på investeringar.
· Hur kan jag förbättra min hotbildsinformation på lång sikt?
För att förbättra din hotinformation över tid bör du välja en CTI-lösning som passar dina unika behov. Leta efter system som erbjuder anpassningsbara feedbackmekanismer som möjliggör kontinuerlig förfining och utveckling. Hitta partners inom cybersäkerhet som hjälper er att implementera ett CTI-system som inte bara passar in i er nuvarande verksamhet utan också utvecklas med den, vilket ger långsiktiga förbättringar och värde.
Förutom de tre huvudkategorierna för cyberhotinformation som beskrivs ovan - taktisk, operativ och strategisk - är det värt att nämna andra verktyg och tekniker som används för hotinformation och som du bör vara medveten om under implementeringsprocessen:
- Plattformar för hotinformation (TIP): Centrala hubbar som TIP är avgörande för att konsolidera, berika och analysera hotdata från flera källor i realtid. För praktiska tillämpningar bör ni överväga plattformar som erbjuder testperioder eller demos, så att teamet kan bedöma om de är kompatibla med era befintliga system. En plattform som Bitdefenders Advanced Threat Intelligence (ATI) ger en inblick i detta med IntelliZone, som tillhandahåller data från ett stort nätverk av sensorer och ett ekosystem för tekniklicensiering.
· Säkerhetsinformation: Denna bredare strategi integrerar externa och interna data för att skapa en heltäckande bild av hotbilden. Börja med att genomföra interna revisioner för att identifiera datakällor som kan berika er säkerhetsinformation och integrera dem med externa hotdata.
Alla dessa verktyg och tekniker kräver noggrant övervägande och ett strategiskt tillvägagångssätt för integration. Anpassa dem efter era specifika säkerhetsbehov och mål, och tveka inte att rådfråga experter för att maximera effektiviteten.
Att implementera en lösning för hotinformation i organisationens säkerhetsinfrastruktur är ett viktigt strategiskt steg som kräver noggrann planering och övervägande.
Välj en professionell lösning för hotinformation om cybersäkerhet som bäst passar era behov och preferenser. Det är starkt rekommenderat att involvera organisationens IT-team och experter på cybersäkerhet i processen.
Nej, det finns inga medföljande risker, men det finns potentiella problem som du måste vara medveten om. Dessa kan uppstå till följd av dålig planering eller felallokering av resurser.
Organisationer måste förstå risken för informationsöverflöd.
Utan lämpliga filtrerings- och analysmekanismer kan förekomsten av falska positiva och negativa resultat leda till att värdefulla resurser slösas bort. Att investera i högkvalitativ cyberhotinformation med hjälp av en skiktad och automatiserad metod som blandar högkvalitativa externa lösningar och strategiska interna resurser - däribland kontinuerlig teamaktivering - är avgörande för att nå framgång.
Teknisk cyberhotinformation fokuserar på konkreta bevis på cyberhot. Den betraktas ofta som en undergrupp av operativ hotinformation men har en tonvikt på direkta bevis på hot.
Detta innebär att den också kan spela en roll i både taktisk och operativ hotinformation. Teknisk cyberhotinformation ger specifik information om pågående och potentiella attacker genom att identifiera indikatorer på kompromisser (IOC), däribland IP-adresser som förknippas med skadlig verksamhet, innehåll i nätfiskemejl, kända exempel på skadlig kod och vilseledande webbadresser.