Создание успешных процессов работы с киберразведкой
Киберугрозы постоянно эволюционируют и становятся более изощренными. Чтобы оставаться на шаг впереди, нужна продвинутая автоматизация и процессы работы с киберразведкой, которые обеспечат компании стратегическое преимущество. Есть три основных аспекта, на которые нужно направить усилия, чтобы достигнуть более высокого уровня зрелости при использовании киберразведки: люди, процессы и технологии.
Люди: важно выявить ответственных сотрудников, которые будут получать результаты работы с TI и давать обратную связь о том, что работает, а что нет в процессе киберразведки.
Процессы: необходимо разработать и согласовать процессы, которые позволят использовать киберразведку на более стратегическом уровне.
Технологии: используемые технологии должны способствовать реализации процессов киберразведки в соответствии с целями организации.
Как повысить зрелость при работе с киберразведкой
Все организации находятся на разных уровнях зрелости в своих процессах киберразведки, поэтому важно определить свой собственный уровень и понять, что конкретно нужно улучшить.
Сбор данных об угрозах
Первый этап любого процесса по работе с киберразведкой — это сбор сырых данных. Крайне важно иметь актуальные данные, которые поступают как из собственных, так и внешних источников, куда входят бесплатные и коммерческие фиды киберразведки. Внешние данные (например, из центров по обмену данными TI, Dark Web, от вендоров, клиентов и др.) могут включать отчеты об индикаторах компрометации по уязвимостям, актуальным для организации. Внутренние данные необходимы не в меньше степени, ведь они содержат информацию об угрозах для конкретной организации. Даже в начале разработки процессов киберразведки важно получать обратную связь от сотрудников ИБ, у которых произошел инцидент безопасности. Добавление информации о нем в фиды киберразведки обеспечит их соответствие специфике бизнеса.
Обработка данных об угрозах
Следующий этап — обработка или курация данных об угрозах, актуальных для всей среды. Даже если использовать только самые актуальные источники данных, объем информации может быть огромным, поэтому нужна автоматизация. СЗИ могут сэкономить время аналитикам, автоматически выбирая только ту информацию, которую можно как-либо использовать в процессе. Правильно выставленные критерии с учетом угроз, с которыми организация уже сталкивалась, оптимизируют отбор данных, что позволяет автоматически отбросить ненужное и получить полезную аналитику.
Интеграция киберразведки
Киберразведка крайне важна для сотрудников разных бизнес-подразделений, поэтому интеграция систем повысит актуальность отчетов и качество обратной связи и оптимизирует сбор аналитических данных. Для успешной интеграции систем и процессов необходимы актуальная база управления конфигурациями (CMDB) и процесс управления уязвимостями. Формирование команды цифровой форензики, которая будет сверять фиды киберразведки со средой компании, может существенно повысить пользу киберразведки.
После завершения интеграции компания сможет оперировать самыми свежими данными киберразведки, и угрозы можно будет быстро выявлять и блокировать. Наряду с реагированием на случившиеся атаки информация о возможностях злоумышленников поможет предотвращать атаки на более раннем этапе, или даже до проникновения атакующих в сеть.
Другое преимущество комплексной интеграции — в конвергенции физической и логической безопасности. Простой пример: кто-то вошел на объект, а затем установил VPN-подключение извне. Система сообщит, что сотруднику внутри сетевого периметра не нужен доступ к VPN. Подозрительное поведение может означать кражу пропуска или же кибератаку. В любом случае будет сгенерирован алерт.
Оценка эффективности киберразведки
Оценка эффективности — основа зрелых процессов по работе с киберразведкой. Два основных типа метрик — это уровень защищенности и способность ИБ-команды справляться с угрозами. Отслеживание этих двух сфер поможет повысить защиту, улучшить эффективность использования ресурсов, обосновать текущие и будущие бюджеты на киберразведку, а также получить обратную связь для непрерывного развития.
Главная цель измерения эффективности — принести пользу, чтобы организация могла принять необходимые меры, а не просто подсчитать число обнаруженных угроз. Процесс отслеживания также важен, как и объект отслеживания. Необходимо определить базовый уровень метрики для измерения ее улучшений, кроме того, команда ИБ должна иметь прямой контроль над тем, что измеряется. Конкретные измерения могут включать время реагирования на индикаторы компрометации (IoC), количество отслеживаемых вредоносных кампаний, эффективность фидов и др.
Стратегическое использование киберразведки
Финальный тест оценки зрелости киберразведки — проверка, применяются ли процессы стратегически. Для кибербезопасности это означает расширение внимания с вопроса «что» на вопросы «кто и почему» в разрезе злоумышленников, отслеживание тенденций в ландшафте угроз, а также возможность увидеть все «за» и «против» перед принятием решений.
На бизнеса-уровне зрелость киберразведки может проявить себя в совместной работе разных отделов и департаментов, участие всей организации в принятии технологических решений, а также более качественном управлении рисками и стратегическом планировании. Эффективные процессы киберразведки даже могут стать конкурентным преимуществом компании, демонстрируя клиентам, что их данные в безопасности, а компания защищена от серьезных кибератак.
Демо, цены и тестирование решений Anomali
Закажите демонстрацию, расчет цен или тестирование Anomali, заполнив эту форму.