Tekniska ämnen

Vad är Threat Intelligence ?

Illustration av IT-artiklar med fokus på en bärbar dator

Översikt

Vad är underrättelser om cyberhot? Hotunderrättelser, även kallade cybersäkerhetsunderrättelser, är evidensbaserad information om kriminell aktivitet som riktar sig mot en organisations nätverk, enheter, applikationer och data. Det ger företag en bättre förståelse för tidigare, nuvarande och framtida cyberfaror. Det inkluderar mekanismer, sammanhang, konsekvenser, indikatorer och handlingsinriktade råd om nya eller befintliga faror för informationstillgångar.

Threat underrättelseinformation kan hjälpa företag att avgöra vilka av deras cybertillgångar som löper störst risk att utsättas för angrepp och var angreppen skulle få störst effekt. Det ger företag den kunskap de behöver för att veta vilka informationstillgångar som ska skyddas, de bästa sätten att skydda dem och de lämpligaste begränsningsverktygen. Threat underrättelser ger det sammanhang som behövs för korrekt, relevant, handlingsbar, snabb och informerad beslutsfattande.

Som begrepp är threat intelligence lätt att förstå. Det är dock betydligt mer utmanande att samla in den information som behövs och analysera den. Det stora antalet hot som potentiellt skulle kunna äventyra eller lamslå företagets informationsteknik kan kännas överväldigande.

Några av de sammanhang som threat intelligence samlar in är vilka dina sårbarheter är, vem som attackerar dig, vad är deras motivation, vad är deras kapacitet, vilken skada de kan orsaka på dina informationstillgångar och vilka indikatorer på kompromettering du bör se upp för.

OpenText™ ArcSight™ Intelligence ger dig information om de största hoten mot din infrastruktur, din ekonomi och ditt rykte. Med hjälp av detta kan du bygga upp försvarsmekanismer och sätta upp riskreducerande åtgärder som fungerar.

Threat Intelligence

Varför hotbildsinformation är viktig

Threat underrättelseverktyg läser rådata om befintliga och nya hot och hotaktörer från flera olika källor. Uppgifterna analyseras och filtreras för att ta fram underrättelseflöden och rapporter som kan användas av automatiserade säkerhetslösningar. Varför är det här viktigt?

  • Skaffa information som behövs för att organisationen ska kunna skydda sig mot hot och attacker.
  • Hålla sig uppdaterad om de risker som dåliga aktörer, olika sårbarheter, attackmetoder, nolldagarsutnyttjande och avancerade ihållande hot utgör.
  • Upprätthålla ett strukturerat sätt att hantera den stora mängden interna och externa hotdata som spänner över många aktörer och system som inte är sammankopplade.
  • Undvik falsklarm.
  • Minimering av dataintrång och de kostnader för ekonomi, anseende och efterlevnad som detta medför.
  • Förvärva den kunskap som krävs för att identifiera de säkerhetsverktyg som har störst sannolikhet att fungera.
  • Cybersäkerhetsteam och analysavdelningar kan arbeta proaktivt med framtida hot samtidigt som de slipper hantera enorma mängder obearbetad och oprioriterad rådata.
  • Håll ledare, användare och intressenter informerade om de senaste hoten och vilka konsekvenser de kan få för organisationen.
  • Ge beslutsfattarna ett sammanhang i rätt tid som de kan förstå.

Threat intelligens är avgörande för alla vars nätverk är anslutet till den globala webben, vilket är praktiskt taget alla organisationer idag. Brandväggar och andra säkerhetssystem är viktiga, men de ersätter inte företagets behov av att hålla sig uppdaterat om hoten mot dess informationssystem. Cyberattackernas varierande, komplexa och skalbara karaktär gör att hotinformation är avgörande.


Livscykeln för underrättelser om hot

Threat intelligens är inte en process som går från början till slut och som styrs av en checklista. Den är kontinuerlig, cyklisk och iterativ. Det kommer aldrig att finnas någon tidpunkt då en organisation har identifierat och neutraliserat alla potentiella hot.

Livscykeln för hotinformation är ett erkännande av hotmiljöns föränderliga natur. Att avvärja en attack eller kris betyder inte att jobbet är gjort. Du måste omedelbart tänka på, förutse och förbereda dig för nästa. Nya luckor och frågor kommer att fortsätta att dyka upp som kräver nya underrättelsekrav.

Livscykeln för hotinformation består av följande steg.

  • Planering - Definiera kraven för datainsamlingen. Ställ specifika frågor som leder dig i rätt riktning och som syftar till att generera handlingsbar information. Bestäm vem som kommer att vara slutkonsument av hotinformationen.
  • Insamling - Samla in råa hotdata från trovärdiga källor. Trovärdiga källor kan vara systemgranskningsspår, tidigare incidenter, interna riskrapporter, tekniska externa källor och Internet i stort.
  • Bearbetning - Organisera rådata så att de är redo för analys. Placera metadatataggar som gör det lättare att eliminera överflödig information, falska negativa och falska positiva resultat. En SIEM kan underlätta denna organisation. De använder korrelationsregler för att strukturera data för olika användningsfall.
  • Analys - Analysfasen är det som skiljer hotunderrättelser från grundläggande informationsinsamling och spridning, eftersom det är här du gör mening med uppgifterna. Tillämpa strukturerade analytiska tekniker på den bearbetade informationen och kvantifiera hotet. Detta ger hotunderrättelseflöden som verktyg och analytiker skannar för att fastställa indikatorer på kompromisser. Indikatorer på kompromettering inkluderar misstänkta IP-adresser, webbadresser, e-postmeddelanden, e-postbilagor, registernycklar och hashar.
  • Spridning - Threat intelligens fungerar när den vidarebefordras till rätt personer vid rätt tidpunkt. Dela analysen med relevanta intressenter med hjälp av fördefinierade interna och externa kommunikationskanaler. Sprid informationen i ett format som målgruppen lättare kan förstå. Det kan röra sig om allt från hotlistor till peer-reviewed rapporter. I stora organisationer är upptäckt och begränsning av hot kollektiva insatser som involverar flera team. Håll alla uppdaterade för att få fram nya insikter, lösningar och möjligheter.
  • Integration - Integrera användbar hotinformation i arbetsflöden, incidenthanteringsprogram och ärendehanteringssystem.
  • Lärdomar - Analysera underrättelserna för långsiktiga lärdomar och bredare konsekvenser. Gör lämpliga ändringar i policyer, rutiner, processer, infrastruktur och konfigurationer.
  • Feedback - Granska åtgärderna och bekräfta om hotet har blockerats eller avvärjts.

Olika typer av hot mot cybersäkerheten och hotinformation

Hot mot och underrättelser om cybersäkerhet kan kategoriseras utifrån verksamhetskrav, underrättelsekällor och målgrupp. I detta avseende finns det tre typer av hot och underrättelser om hot mot cybersäkerheten.

Strategisk hotbildsunderrättelse

Dessa är breda eller långsiktiga trender eller frågor. Granskning av strategiska hot är ofta förbehållet icke-tekniska målgrupper på hög nivå, t.ex. chefer på högsta ledningsnivå. Underrättelser om strategiska hot ger en överblick över hotens kapacitet och avsikter, vilket möjliggör välgrundat beslutsfattande och snabba varningar.

Källor till underrättelser om strategiska hot är bland annat nyhetsmedier, ämnesexperter, policydokument från icke-statliga organisationer, vitböcker om säkerhet och forskningsrapporter.

Taktisk hotbildsunderrättelse

Taktisk hotinformation ger struktur till hotaktörernas procedurer, tekniker och taktik genom att ta itu med indikatorerna på kompromisser genom dagliga underrättelsehändelser och operationer. Det är underrättelser som är avsedda för en mer teknisk publik, till exempel säkerhetspersonal, systemarkitekter och nätverksadministratörer.

Taktisk hotinformation ger organisationer en djupare förståelse för hur de kan attackeras och hur de bäst kan försvara sig mot dessa attacker. Rapporter från säkerhetsleverantörer och konsulter inom cybersäkerhet för företag är ofta den viktigaste källan till taktisk hotinformation.

Operativ hotbildsunderrättelse

Operativ hotbildsunderrättelse kallas också teknisk hotbildsunderrättelse. Den är mycket specialiserad och mycket teknisk. Den handlar om specifika attacker, skadlig kod, verktyg eller kampanjer.

Operativ hotunderrättelse kan vara i form av kriminaltekniska hotunderrättelserapporter, hotdataflöden eller avlyssnad kommunikation från hotgrupper. Det ger incidenthanteringsgrupperna insikter om tidpunkten för, arten av och avsikten med specifika attacker.


Vad är hotdetektering?

Threat detection är en term som ibland används synonymt med threat intelligence, men de två betyder inte samma sak. Threat detection är passiv övervakning av data för att upptäcka potentiella säkerhetsproblem.

Den är inriktad på att upptäcka och identifiera hot före, under eller efter ett säkerhetsbrott. Hotet kan vara en sträng i ett prov på skadlig kod, nätverksanslutningar över ovanliga delar, en oväntad ökning eller minskning av nätverkstrafiken eller en körbar fil som sparats i en tillfällig katalog.

Verktyg för att upptäcka dataintrång analyserar användar-, data-, applikations- och nätverksbeteende för att upptäcka avvikande aktivitet. Ett intrångsdetekteringssystem är ett exempel på ett verktyg för att upptäcka hot.


Hur hotinformation och hotdetektering fungerar tillsammans

Threat Detekteringssystem inspekterar ofta nätverkstrafiken med hjälp av hotinformation från en rad olika grupper, t.ex. H-ISAC. De använder anpassade varnings- och händelsemeddelanden. Threat Detekteringsverktyg gör det möjligt att övervaka loggar från olika källor och skräddarsy dem för olika miljöer.

Så när ett hot upptäcks skickas en varning ut. Vanligtvis ingriper en människa, granskar hotet, avgör vad som händer och vidtar lämpliga åtgärder.


Rätt verktyg för rätt hotbildsinformation

Dagens organisationer är utsatta för angripare som potentiellt har miljontals sätt att få obehörig åtkomst och skapa förödelse. Dessutom växer hoten ständigt i skala, komplexitet och sofistikering. Det innebär att det är bäst att anta att en angripare kommer att bryta sig igenom, trots dina och din organisations bästa ansträngningar. Genom att upprätta lämpliga fysiska och logiska kontroller kan man i hög grad minska risken för en framgångsrik attack.

Threat underrättelser är oumbärliga för att snabbt och effektivt kunna upptäcka och hantera hot, och är en nödvändig del för att förstå och skydda sig mot potentiella cybersäkerhetshot. Ju bättre ditt team och din organisation förstår potentiella hot, desto bättre rustad är du för att utveckla och prioritera funktionella åtgärder och upptäcka hot snabbt.

Threat är en mödosam och tidskrävande uppgift även för små företag. Lyckligtvis finns det många hotunderrättelseverktyg tillgängliga på marknaden som kan hjälpa till. Alla är dock inte skapade lika. OpenText är erkänt som en global ledare inom cybersäkerhetsområdet och tillhandahåller de rätta verktygen som din organisation behöver för att snabbt generera meningsfull, handlingsbar och dynamisk hotinformation.

Relaterade produkter

OpenText™ ArcSight™ Intelligence

Proaktivt upptäcka insiderrisker, nya attacker och avancerade ihållande hot

OpenText™ ArcSight™ Enterprise Security Manager (ESM)

Snabbare upptäckt av hot och snabbare svar med realtidsdetektering och inbyggd SOAR

OpenText™ Cybersecurity Cloud

Smartare, enklare skydd

ArcSight Recon av OpenText™

Förenkla logghantering och efterlevnad samtidigt som du påskyndar kriminaltekniska undersökningar. Jaga och besegra hot med sökning, visualisering och rapportering i stora datamängder

Hur kan vi hjälpa till?

Fotnoter