Pri predchádzaní kybernetickým útokom sú pre každú organizáciu kľúčové vedomosti a odborné znalosti. Už len preto by sa informácie o hrozbách (Threat Intelligence – TI) mali stať hlavnou prioritou každej firmy. Žiaľ, často to tak nie je. V rámci rôznych ochranných opatrení, ktoré musia IT pracovníci zvažovať, sa informácie o hrozbách bežne prehliadajú.
Zhromažďovaním, analyzovaním a kontextualizáciou údajov o možných kybernetických útokoch vrátane tých najpokročilejších predstavujú informácie o hrozbách kľúčovú metódu na identifikáciu, hodnotenie a zmierňovanie kybernetických rizík. Ich správne uchopenie môže tiež organizácii napomôcť určiť priority, na ktoré má sústrediť svoje obmedzené zdroje so zámerom zmaximalizovať výsledný efekt a znížiť tak vystavenie sa hrozbám, minimalizovať škody spôsobené potenciálnymi útokmi a vybudovať odolnosť voči budúcim hrozbám.
Aké sú najdôležitejšie informácie o hrozbách?
Výzvou pre vašu spoločnosť je vybrať si na preplnenom trhu dodávateľov údajov o hrozbách tú správnu ponuku. Predpokladá sa, že tento trh bude mať do roku 2033 hodnotu viac ako 44 miliárd USD. V zásade existujú štyri typy informácií o hrozbách:
- Strategické: vo forme informačných dokumentov a reportov sú dodávané vyššiemu vedeniu a ponúkajú kontextuálnu analýzu všeobecných trendov s cieľom informovať čitateľa.
- Taktické: v súlade s praktickejšími potrebami členov tímu bezpečnostných operácií (SecOps) opisujú taktiky, techniky a postupy (TTP) útočníkov za účelom poskytovať prehľad o miestach útokov a o spôsoboch narušenia prostredia.
- Technické: Pomáhajú analytikom bezpečnostných operácií monitorovať nové a skúmať existujúce hrozby prostredníctvom indikátorov narušenia bezpečnosti (IoC).
- Operatívne: Takisto využívajú IoC, ale na sledovanie pohybu útočníka a pochopenie techník používaných počas útoku.
Zatiaľ čo strategické a taktické TI sa zameriavajú na dlhodobejšie ciele, zvyšné dve kategórie sa zaoberajú odhaľovaním špecifík toho, čo sa v súvislosti s útokmi deje v krátkodobom horizonte.
Na čo sa sústrediť pri výbere riešenia na analýzu hrozieb
Organizácie môžu prijímať informácie o hrozbách rôznymi spôsobmi, napríklad cez informačné kanály určené pre dané odvetvie, cez otvorené zdroje (OSINT), na základe vzájomného zdieľania medzi partnermi v rámci rovnakých sektorov či priamo od dodávateľov bezpečnostných riešení. Je samozrejmé, že v poslednej oblasti ponúka svoje odborné znalosti viacero z nich. Spoločnosť Forrester zaznamenala 49 % nárast platených komerčných informačných kanálov o hrozbách v rokoch 2021 až 2022.
Pri posudzovaní vhodnosti dodávateľa pre svoju firmu sa však najlepšie zamerajte na nasledujúce body:
- Kompletnosť: Dodávateľ by mal ponúkať komplexný prehľad informácií o hrozbách pokrývajúci širokú škálu protivníkov, vektorov hrozieb a zdrojov údajov – vrátane internej telemetrie, OSINT a externých kanálov. Na indikátory IoC by sa malo pozerať skôr ako na súčasť komplexnej služby TI než ako na samostatnú službu.
- Presnosť: Chybné informácie môžu analytikov zahltiť šumom. Dodávatelia musia cieliť na presnosť.
- Relevantnosť: Kanály by mali byť prispôsobené vášmu špecifickému prostrediu, odvetviu a veľkosti spoločnosti, ako aj tomu, čo je pre vašu organizáciu z krátkodobého a dlhodobého hľadiska takticky/strategicky najdôležitejšie. Zvážte tiež, kto bude službu využívať. Oblasť TI sa neustále rozširuje o nové osoby, dokonca aj o marketingové a právne tímy či tímy zamerané na dodržiavanie súladu s predpismi.
- Včasnosť: Hrozby sa menia rýchlo, takže ak má byť akýkoľvek zdroj informácií užitočný, musí byť aktualizovaný v reálnom čase.
- Škálovateľnosť: Každý dodávateľ by mal byť schopný splniť potreby TI vašej organizácie, keď sa rozrastá.
- Reputácia: Vždy sa oplatí obrátiť sa na dodávateľa, ktorý sa môže pochváliť úspešnou históriou z oblasti TI. Čoraz častejšie môže ísť o dodávateľa, ktorý nie je tradične spájaný s informáciami o hrozbách, ale skôr s platformami SOAR, XDR alebo podobnými pridruženými oblasťami.
- Integrácia: Zvážte riešenia, ktoré sa hodia do vašej existujúcej bezpečnostnej infraštruktúry, vrátane platforiem SIEM a SOAR.
Orientácia na trhu s informáciami o hrozbách
Trh s TI sa neustále vyvíja a vznikajú nové kategórie zamerané na vyhodnocovanie doposiaľ neznámych hrozieb. Výber toho správneho riešenia tak môže byť náročnejší. O svojich nárokoch sa oplatí premýšľať v dlhodobejšom horizonte, aby ste sa vyhli neustálemu prehodnocovaniu vybranej stratégie, hoci tá musí byť vyvážená potrebou relevantnosti a agility.
Je tiež dôležité mať na pamäti, že vyspelosť vašej organizácie bude zohrávať veľkú úlohu pri určovaní počtu a typu služieb TI. Spoločnosti so špecializovanými tímami a prostriedkami môžu využívať až 15 zdrojov informácií o hrozbách od komerčných cez bezplatné až po OSINT ponuky.
Dnešní útočníci majú dostatok zdrojov, sú dynamickí, odhodlaní a dokážu využiť moment prekvapenia. Informácie o hrozbách sú jedným z najlepších spôsobov, ako môžu organizácie vyrovnať podmienky a získať prevahu, a to aj tým, že pochopia svojho protivníka, vyhodnotia prostredie hrozieb a budú prijímať lepšie a informovanejšie rozhodnutia. Takýmto spôsobom možno nielen zastaviť útoky ešte pred dopadom ich vplyvu na danú organizáciu, ale aj vybudovať odolnosť pred hrozbami do budúcnosti.
Každá organizácia si musí vybrať dodávateľa TI, ktorý jej najviac sedí. Pri jeho hľadaní sa však presvedčte, že ponúkané údaje sú prinajmenšom úplné, presné, relevantné a včasné. Dôkladne spracované informačné kanály výrazne šetria čas a zdroje vášho tímu. Podstatné je nájsť dodávateľa, ktorého dátam dôverujete. Podľa IDC 80 % z 2000 najlepších spoločností na svete zvýši do roku 2024 investície do informácií o hrozbách. Uistite sa, že vďaka svojmu výberu máte našliapnuté na úspech.