Аналитика киберугроз - Cyber threat intelligence

Аналитика киберугроз - это информация об угрозах и их субъектах, которая помогает смягчить вредоносные события в киберпространстве.[1] Источники разведки киберугроз включают разведка с открытым исходным кодом, аналитика социальных сетей, человеческий интеллект, технический интеллект или разведывательные данные глубокий и тьма Интернет.

Типы

Существует три основных типа аналитики угроз:[1]

  • Тактический: технический интеллект (в том числе Индикаторы компрометации таких как IP-адреса, имена файлов или хэши), которые могут использоваться для помощи в идентификации злоумышленников.
  • Оперативные: подробные сведения о мотивации или возможностях субъектов угрозы, включая их инструменты, методы и процедуры.
  • Стратегический: сведения об общих рисках, связанных с киберугрозами, которые могут использоваться для управления стратегией организации высокого уровня.

Преимущества анализа киберугроз

Аналитика киберугроз дает ряд преимуществ, в том числе:

  • Позволяет организациям разработать проактивную политику кибербезопасности и укрепить общие политики управления рисками
  • Дает импульс к позиции кибербезопасности, которая является прогнозной, а не просто реактивной.
  • Обеспечивает улучшенное обнаружение угроз
  • Информирует о принятии лучших решений во время и после обнаружения кибер-вторжения

Ключевые элементы

Данные или информация о киберугрозах со следующими ключевыми элементами считаются аналитикой киберугроз:[2]

  • Доказательная база: доказательства киберугроз можно получить от анализ вредоносных программ чтобы убедиться, что угроза действительна
  • Полезность: должна быть какая-то полезность, чтобы оказать положительное влияние на результат или организацию инцидента безопасности.
  • Практичность: полученные данные о киберугрозах должны стимулировать действия по контролю безопасности, а не только данные или информацию.

Атрибуция

Киберугрозы связаны с использованием компьютеров, программного обеспечения и сетей. Во время или после кибератаки может быть собрана техническая информация о сети и компьютерах между злоумышленником и жертвой. Однако определить лиц, стоящих за атакой, их мотивы или конечного спонсора атаки, сложно. Недавние усилия в области разведки угроз подчеркивают понимание противника ТТП.[3]

Ряд отчетов был выпущен организациями государственного и частного секторов, которые приписывают кибератаки. Это включает в себя Mandiant APT1 и APT28 отчеты, US CERT Отчет APT29, и Symantec Стрекоза, Группа Waterbug и Seedworm отчеты.

Смотрите также

Рекомендации

  1. ^ а б «Понимание операций по анализу киберугроз» (PDF). Банк Англии. 2016.
  2. ^ Джерард Джохансен (24 июля 2017). Цифровая криминалистика и реагирование на инциденты. Packt Publishing Ltd, 2017. стр. 269. ISBN  9781787285392.
  3. ^ Леви Гундерт, Как определить ТТП действующих лиц

дальнейшее чтение