צרכו מודיעין איומי סייבר

(של מרקו רוטיני)
14 / 06 / 21

עבודה מובילה אותי לרוב לעסוק בשיחות עם לקוחות אבטחת סייבר, התוכניות שלהם, ההבנה שלהם מה המשמעות של אבטחה וכיצד ליישם אותה בארגונים שלהם.

בין הנושאים השונים, אחד החוזרים במיוחד מיוצג על ידי מודיעין איומי סייבר.

לאחר שהופיעו בשוק כבר שבע עד שמונה שנים, הם נתפסים לעתים קרובות כגביע הקדוש לזיהוי תוקף מעוניין לפני שהוא תוקף או, במקרה הרע, ברגע שמופיעים סימני פשרה. נקודת סיום או רשתות.

נתחיל מהגדרה פשוטה של ​​מודיעין - עיבוד מידע ניבוי על סמך ראיות מסוימות - כדי ללמוד מהעולם הצבאי כיצד למנוע מההשקעה באנשי CTI חשובים אפילו תשואה אפסית.

בסביבה הצבאית, שלב איסוף המידע מקדים עוד אחד בעל חשיבות מכרעת ולעתים קרובות לזלזל בו: תכנון והכוונה, בו גופי הפיקוד מגדירים את יעדי המידע הנחשבים נחוצים להחלטותיהם.

זאת על מנת שהאוסף אינו מטרה בפני עצמה או ספקטרום רחב, אלא ממוקד וממוקד ביותר; לפני 2500 שנה כבר אסטרטג צבאי סיני מפורסם - סון צו - המליץ ​​להכיר את האויב שלך ואת עצמך, לפי הסדר הזה!

דע את עצמך זה אומר שיש נראות מדויקת ומלאה לאופן שבו המגוון הביולוגי הדיגיטלי של האדם מורכב: היכן נמצאים המשאבים, איזה סוג הם (אלמנטים ניידים, שרתים, משאבי ענן, מכולות יישומים, יישומי אינטרנט ...).

ואז הגדירו את תצפיותו: האם ניתן לפרג ולהרכיב מחדש, לצבור ולפרט, לחקור ולמצוא מידע נגיש מהמטא-נתונים על הסביבה הדיגיטלית, על סמך מקרי השימוש?

וברגע שממצאת את אופק ה- IT שלך, כמה קל להקצות רמת קריטיות למשאבים?

פירוש הדבר להכיר את עצמך, וזהו קונדיטיו סינוס על מנת להמשיך ולהכיר את האויב שלך המגדיר את הדרך לצרוך CTI.

אשר בתחום הצבאי מחולק לשלושה שלבים: עיבוד, הפקת מידע, הפצה. שלושה שלבים שאין להם מעט או שום קשר לספק ה- CTI, אך לעתים קרובות רואים פרויקטים מבטיחים מאוד נכשלים הן מבחינת התקציב והן מבחינת איכות העדכונים.

L 'עיבוד זה נוגע ליכולת לקטלג מידע על עדכונים, לתאם אותם זה עם זה ועם מידע של צד שלישי, כדי להעריך את חשיבותו. יכולת זו חייבת להיות נוכחת ואולי למימוש במשאבים משלה, מכיוון שמהירות, זריזות ודינמיות הם מאפיינים חשובים לייצור ערך.

La הפקת מידע מרחיב עוד יותר את מה שהיה מוסמך בשלב הקודם, והפך נתונים לא הומוגניים למידע שמיש הודות לניתוח מטא-נתונים מנורמל.

השלם את מחזור הצריכה של איום סייבר אינטליגנציה השלב של גילוי, אשר מורכב בהפצת המידע המשוכלל מחדש לתמיכה במספר הגדול ביותר של תהליכים.

בשני השלבים האחרונים הללו נדרש היכרות מעמיקה עם המשתמשים הפוטנציאליים במידע, כמו גם פלטפורמה טכנולוגית התומכת בשינוי.

לבסוף, זה עוזר להבין את שלושת הסוגים האפשריים של מודיעין לאיומי סייבר המאפיינים את פעולת האיסוף, במטרה לתאר מראש מודלים של סיווג וצריכה בתהליכים המוזכרים להלן - כמו גם קביעת מידת ההתיישנות של המידע.

הסוג הראשון הוא ה- CTI אסטרטגי: מורכב מניתוח ומידע שמשך בדרך כלל רב שנתי, הוא מתמקד במי ולמה ביחס לתוקפים מסוימים.

בדרך כלל פותח עבור קהל לא טכני, והוא מבוסס על ניתוח דמוגרפיה קורבנית, על מסעות התקפה מקרוסקופיים ומטרתו סיווג קבוצות התקפה ומניעים (האקטיביזם, פיננסים, פוליטיקה, בחסות מדינות ...). ישנם קטגוריות שונות, למשל זו המסופקת על ידי מנדיאנט (חלק מקבוצת FireEye) המבוססת על ראשי תיבות המכילים את המוטיבציה ומספר פרוגרסיבי: APT לאיום מתמשך מתקדם, FIN למימון וכו '.

הסוג השני הוא CTI תפעולי, התמקד בחשיפת האיך והיכן. הוא פותח עבור משתמשים טכניים ולא טכניים, ומתאר אלמנטים כגון כלים, טכניקות ונהלים - או TTP - המשמשים לביצוע התקפה.

הוא מציג תכונות מאפיינות כמו התמדה, טכניקות תקשורת בשימוש, תיאור מתודולוגיות וכללים.

לדוגמה, זה ממחיש טכניקות הנדסיות חברתיות או דרכי פעולה של משפחות תוכנות זדוניות.

הסוג השלישי הוא טקטיקות CTI, המייצג הן את הצורה העיכול ביותר והן את זו שצריכתה דורשת פחות בגרות. מכוון לקהל טכני, הוא מתאר אירועי אבטחה, דוגמאות לתוכנות זדוניות או דוא"ל פישינג.

כולל חתימות לזיהוי תוכנות זדוניות ואינדיקטורים של התקפה או פשרה (IoA, IoC) כגון כתובות IP, דומיינים, חשיפות קבצים, שניתן ליישם בקלות כדי להעלות את ההגנה ההיקפית, ניטור ותגובה כדי לחסום ניסיונות או למתן מצבים של פשרה.

אם זה נכון שהשימוש המלא בשלושת הצורות הוא לרוב בעיה יותר מצורך מאשר מהתקציב, גם כששני התנאים הללו מתקיימים, השאלה הופכת להיות אחרת.
תהליך מוסרי חייב להוביל לתאום הדדי בין התוצאות של שלוש רמות ההזנה השונות, אשר אינן יכולות לעבוד כ"ממגורות ": ניתן להשתמש בעדכונים של הרמה האסטרטגית כדי להנחות ולחדד את חיפוש המידע ברמה המבצעית והטקטית; באופן דומה, ממצאי מודיעין ספציפיים ברמה הטקטית יכולים לסייע בהגדרה מחדש של יעדי המידע של מחקר ברמה אסטרטגית.

לעיתים מצב זה מחמיר בגלל היעדר כישורי תקשורת בין רמת הניהול הטכני לרמה האסטרטגית, עם השפעה ישירה על שלב התכנון והניהול המשפיע על הגדרת יעדים ברורים ומשותפים; ובכך מזהם את כל הערך, לטובת הוצאות עבור מערכות או טכנולוגיות מיותרות או שימושי רק לפיתרון של בעיה ספציפית.

אני מסכם את הניתוח הקצר הזה עם שלוש שאלות, כדי לעזור להבין איזה סוג, הזנה או ספק CTI מתאים לך.

האם היעדים שתומך אוסף ה- CTI ברורים ומוגדרים היטב בחומר ובהיקף?

מהי היכולת לצרוך את שלושת סוגי ה- CTI? גם לאורך זמן תגובה זו יכולה להתפתח ולהתרחב

האם המשאבים ורמת ההתמחות לצרוך CTI באופן מוחשי ומייצר ערך קיימים במידה מספקת?

כמו בצבא, כך גם ב אבטחת סייבר התשובה הכנה לשלוש השאלות הללו תכשיר את הצורך והאופי של CTI, כך - לנסח מחדש את Sun Tzu - לדעת את עצמך כאויב, אפילו בעיצומם של מאה קרבות אתה אף פעם לא בסכנה.

הגנת rheinmetal