Die Arbeit führt mich oft zu Gesprächen mit Kunden über Cyber, ihre Programme, ihr Verständnis davon, was Sicherheit bedeutet und wie sie in ihren Organisationen implementiert werden können.
Unter den verschiedenen Themen ist ein besonders wiederkehrendes Thema die Cyber Threat Intelligence.
Sie sind seit sieben bis acht Jahren auf dem Markt und gelten oft als Heiliger Gral, um einen interessierten Angreifer zu identifizieren, bevor er angreift oder schlimmstenfalls, sobald sich Kompromisse zeigen. Endpunkt oder Netzwerke.
Beginnen wir mit einer einfachen Definition von Geheimdienst – Ausarbeitung von Vorhersageinformationen basierend auf bestimmten Beweisen – um von der Militärwelt zu lernen, wie man verhindern kann, dass Investitionen in wichtige KTIs eine Null-Rendite haben.
Im militärischen Umfeld geht der Phase der Informationsbeschaffung eine weitere Phase von entscheidender Bedeutung voraus und wird viel zu oft unterschätzt: Planung und Leitung, in der die Führungsorgane die für ihre eigenen Entscheidungen als notwendig erachteten Informationsziele festlegen.
Damit ist die Sammlung kein Selbstzweck oder ein breites Spektrum, sondern äußerst zielgerichtet und fokussiert; Schon vor 2500 Jahren empfahl ein berühmter chinesischer Militärstratege - Sun Tzu -, Ihren Feind und sich selbst in dieser Reihenfolge zu kennen!
Kenn dich selbst es bedeutet, einen genauen und vollständigen Überblick darüber zu haben, wie sich die digitale Biodiversität zusammensetzt: wo sich die Ressourcen befinden, welcher Art sie sind (mobile Elemente, Server, Cloud-Ressourcen, Anwendungscontainer, Webanwendungen…).
Definieren Sie dann ihre Beobachtbarkeit: Ist es möglich, zugängliche Informationen aus den Metadaten der digitalen Umgebung basierend auf den eigenen Anwendungsfällen zu fragmentieren und neu zusammenzusetzen, zu aggregieren und zu detaillieren, abzufragen und zu abstrahieren?
Und wenn Sie Ihren IT-Horizont einmal inventarisiert haben, wie einfach ist es, Ressourcen eine Kritikalitätsstufe zuzuordnen?
Das bedeutet, sich selbst zu kennen, und das ist es conditio sine qua non um mit dem Wissen über Ihren Feind fortzufahren, der den Weg zum Konsum von CTI definiert.
Was im militärischen Bereich in drei Phasen unterteilt ist: Verarbeitung, Produktion von Informationen, Verbreitung. Drei Phasen, die wenig oder nichts mit dem KTI-Lieferanten zu tun haben, in denen aber häufig vielversprechende Projekte sowohl im Budget als auch in der Qualität der Feeds scheitern.
L 'Verarbeitung es geht um die Fähigkeit, Feed-Informationen zu kategorisieren, miteinander und mit Informationen Dritter zu korrelieren, um ihre Bedeutung zu bewerten. Diese Fähigkeit muss vorhanden sein und ggf. mit eigenen Mitteln ausgeübt werden, da Schnelligkeit, Agilität und Dynamik wichtige Eigenschaften zur Wertschöpfung sind.
La Informationsproduktion baut das in der vorherigen Phase Qualifizierte weiter aus und verwandelt inhomogene Daten dank der Analyse normalisierter Metadaten in verwertbare Informationen.
Vervollständigen Sie den Verbrauchszyklus von Cyber-Bedrohung Intelligenz die Bühne von Offenlegung, die in der Verteilung der neu erarbeiteten Informationen besteht, um eine möglichst große Anzahl von Prozessen zu unterstützen.
Diese letzten beiden Phasen erfordern ein fundiertes Wissen über die potenziellen Nutzer der Informationen sowie eine technologische Plattform, die die Transformation unterstützt.
Schließlich hilft es, die drei möglichen Arten von zu verstehen Cyber-Bedrohungsinformationen die den Erfassungsvorgang charakterisieren, um Kategorisierungs- und Verbrauchsmodelle in den unten genannten Prozessen vorwegzunehmen - sowie den Obsoleszenzgrad der Informationen zu bestimmen.
Der erste Typ ist der Strategische KTI: besteht aus Analysen und Informationen, die typischerweise eine mehrjährige Dauer haben, und konzentriert sich auf das Wer und das Warum in Bezug auf bestimmte Angreifer.
In der Regel für ein nicht-technisches Publikum entwickelt, basiert es auf der Analyse viktimologischer Demografie, auf makroskopischen Angriffskampagnen und zielt auf die Klassifizierung von Angriffsgruppen und -motiven (Hacktivismus, Finanzen, Politik, staatlich gefördert…). Es gibt verschiedene Kategorisierungen, zum Beispiel die von Mandiant (Teil der FireEye-Gruppe) basierend auf Akronymen, die die Motivation und eine fortlaufende Zahl enthalten: APT für Advanced Persistent Threat, FIN für Financial usw.
Der zweite Typ ist der Operative KTI, konzentrierte sich auf das Wie und Wo. Es wurde sowohl für technische als auch für nicht-technische Benutzer entwickelt und beschreibt Elemente wie Werkzeuge, Techniken und Verfahren - oder TTPs -, die zur Durchführung eines Angriffs verwendet werden.
Es weist charakteristische Merkmale wie Beharrlichkeit, verwendete Kommunikationstechniken, Beschreibung von Methoden und Regeln auf.
Es veranschaulicht beispielsweise Social-Engineering-Techniken oder den Modus Operandi von Malware-Familien.
Der dritte Typ ist der CTI-Taktik, die sowohl die am besten verdauliche Form als auch diejenige darstellt, deren Verzehr weniger Reife erfordert. Es richtet sich an ein technisches Publikum und beschreibt Sicherheitsereignisse, Beispiele für Malware oder Phishing-E-Mails.
Enthält Signaturen zur Erkennung von Malware und Indikatoren für Angriffe oder Kompromittierung (IoA, IoC) wie IPs, Domänen, Datei-Hashes, die einfach implementiert werden können, um den Perimeter-, Überwachungs- und Reaktionsschutz zu erhöhen, um Versuche zu blockieren oder Gefährdungssituationen abzuschwächen.
Wenn es wahr ist, dass die vollständige Verwendung der drei Formen oft eher ein Problem der Notwendigkeit als des Budgets ist, wird die Frage selbst dann, wenn diese beiden Bedingungen erfüllt sind, zu einer anderen.
Ein tugendhafter Prozess muss zu einer gegenseitigen Abstimmung zwischen den Ergebnissen der drei verschiedenen Futtermittelebenen führen, die nicht als "Silos" funktionieren dürfen: Die Futtermittel der strategischen Ebene können verwendet werden, um die Informationssuche auf operativer und taktischer Ebene zu leiten und zu verfeinern; Ebenso können spezifische Erkenntnisse auf taktischer Ebene dazu beitragen, die Informationsziele der Forschung auf strategischer Ebene neu zu definieren.
Diese Situation wird manchmal durch den Mangel an Kommunikationsfähigkeiten zwischen der technischen Managementebene und der strategischen Ebene verschärft, was sich direkt auf die Planungs- und Managementphase auswirkt, die sich auf die Definition klarer und gemeinsamer Ziele auswirkt; damit den gesamten Wert verschmutzen, zu Gunsten des Aufwands für redundante Systeme oder Technologien oder nur zur Lösung eines konkreten Problems sinnvoll.
Ich schließe diese kurze Analyse mit drei Fragen ab, um zu verstehen, welcher Typ, welches Futtermittel oder welcher Lieferant von KTI für Sie der richtige ist.
Sind die Ziele, die die KTI-Sammlung unterstützt, klar, inhaltlich und inhaltlich klar definiert?
Was ist die Fähigkeit, die drei Arten von CTI zu konsumieren? Auch im Laufe der Zeit kann sich diese Reaktion weiterentwickeln und ausweiten
Sind die Ressourcen und der Spezialisierungsgrad ausreichend vorhanden, um KTI greifbar und wertschöpfend zu konsumieren?
Wie beim Militär, so im Cyber Die ehrliche Antwort auf diese drei Fragen wird die Notwendigkeit und das Wesen von CTI qualifizieren, so dass - um Sun Tzu zu paraphrasieren - dich selbst als Feind zu kennen, selbst inmitten von hundert Schlachten bist du nie in Gefahr.
