Information om cyberhot (CTI ) erbjuder ett brett spektrum av möjligheter, från taktiska och operativa till mer strategiska användningsområden.
Taktisk hotinformation
Taktisk hotinformation är inriktad på en mer teknisk publik - från personal vid SOC (Security Operations Center) och incidenthanterare till säkerhetsexperter. Taktisk hotinformation är vanligtvis tillgänglig i ett maskinläsbart format. Den är enkel att integrera i olika verktyg och plattformar för hotinformation via API:er och programmatiska hotinformationsflöden.
De datapunkter som används för att upptäcka skadliga aktiviteter kallas IOC (Indicators of Compromise) och är viktiga element i denna typ av leverans av hotinformation. IOC:er omfattar IP-adresser som är kopplade till kända hot, skadliga domännamn och filhashar som identifierats som skadliga.
Dessa indikatorer utvecklas mycket snabbt, så det är viktigt att ha en källa som ständigt uppdateras.
Eftersom den ger omedelbar, handlingsbar information utan långsiktig analys eller breda insikter, kompletterar taktisk hotinformation operativ och strategisk information. När en organisation endast förlitar sig på taktisk hotinformation ökar risken för falska positiva signaler - dvs. fall där godartade aktiviteter felaktigt flaggas som skadliga.
Användningsområden och exempel på taktisk information om cyberhot (CTI)
· Hotflöden: Kontinuerliga dataströmmar som ger information om potentiella hot.
· Varningar i realtid: Omedelbara meddelanden som informerar organisationer om aktiva hot i deras miljö.
· Automatiserad analys av skadlig programvara: Automatiserade processer som undersöker skadlig programvara för att förstå dess funktion och hotnivå.
Operativ hotinformation
Operativ hotinformation handlar om sammanhanget. Den samlar insikter om cyberattacker för att identifiera viktiga frågor om angripares kampanjer och operationer. Fokus ligger på taktik, teknik och förfaranden (TTP), samt avsikten med och tidpunkten för attacker.
Det är inte helt enkelt att få fram information, eftersom olika källor används - från chattrum, sociala medier och antivirusloggar till uppgifter från tidigare attacker. Utmaningarna med detta tillvägagångssätt beror på att skadliga aktörer ofta använder kryptering, tvetydigt eller kodat språk och privata chattrum. Data mining och machine learning används ofta för att bearbeta stora datamängder, men för att få fram en slutgiltig analys måste informationen sättas in i sitt sammanhang av experter.
Operativ hotinformation, som används i Security Operations Centers (SOC), berikar cybersäkerhetsmetoder som sårbarhetshantering, hotövervakning, incidenthantering och så vidare, med operativ hotinformation.
Användningsområden och exempel på operativ cyberhotinformation (CTI)
· Profilering av aktörer: Förståelse och kategorisering av cyberangripare baserat på deras taktik, teknik och förfaranden.
· Prioritering av uppdateringar: Fastställande av vilka programvarusårbarheter som ska åtgärdas först baserat på hotinformation.
· Incidentrespons: Åtgärder som vidtas för att hantera och mildra hot när de har upptäckts.
Strategisk hotinformation
Strategisk hotinformation översätter komplex och detaljerad information till ett språk som intressenter, däribland styrelseledamöter, chefer och högre beslutsfattare, kan agera utifrån. Resultatet av strategisk hotinformation kan omfatta presentationer, organisationsövergripande riskrapporter och jämförelser av tidigare, nuvarande och framtida risker inom en organisation och jämfört med branschstandarder och bästa praxis. Att identifiera brister i efterlevnaden är en grundläggande drivkraft för strategisk hotinformation.
Även om denna typ av hotinformation sammanfattas i rapporter måste den också omfatta omfattande analyser av lokala och globala trender, nya cyberrisker och till och med geopolitiska faktorer. Strategisk hotinformation är en viktig del av långsiktig planering, riskhantering och övergripande politiska beslut. Strategisk hotinformation är en integrerad del av den långsiktiga strategiska planeringen för att hjälpa organisationer att anpassa cybersäkerhetsstrategier till verksamhetsmålen.
Användningsområden och exempel på strategisk cyberhotinformation (CTI)
· Insiderhot: Utveckla omfattande strategier för att identifiera och hantera hot som kommer inifrån organisationen med hjälp av metoder som analys av beteendemönster och åtkomstloggar.
· Bedrägerioperationer: Utforma och genomföra bedrägeristrategier för att vilseleda och spåra potentiella angripare, avslöja deras tekniker och avsikter utan att äventyra verkliga tillgångar.
· Resursallokering: Fastställa hur man bäst fördelar resurser för cybersäkerhet baserat på hotbilden, investera i ny säkerhetsteknik, anställa specialiserad personal eller fördela medel till utbildningsprogram för anställda.