Hur man förvandlar information om cyberhot till handlingsbar cyberhotsinformation (CTI)

En snabb titt på nyheterna avslöjar ett enormt behov av informationssäkerhet. Du har förmodligen sett mer än några få historier om hacking av val, spionage, utländsk underrättelsetjänst, avlyssningar och övervakning.

Om ditt jobb involverar operationalisering av informationssäkerhet inom en betydande eller snabbt växande organisation kommer du troligen att hantera ” hotintelligens” eller förkortat ”CTI”. CTI inkluderar en uppsättning underförstådda industrilösningar och tjänster som hotdataflöden, hotvarningar och rapporter, hotrådgivningstjänster och hotforskningstjänster.

Även med allt det hårda arbete som går åt till informationssäkerhet, kan värdet du får från offentliga nyheter vara den mest handlingskraftiga intelligensen som sprids till ditt team idag. Varför är detta så vanligt? Media är inte utbildade i infosec, de är verkligen inte medlemmar av underrättelsetjänsten.

Kort svar: Majoriteten av hotets ”underrättelser” som du tar emot och försöker operationalisera framgångsrikt är för närvarande inte alls underrättelser; det är bara information.

Vad gör intelligens?

Det verkliga syftet med intelligens är att göra det möjligt för din organisation att fatta ett beslut operativt, strategiskt och/eller taktiskt. Media lyckas i detta avseende eftersom de tar informationen som ges till dem och omvandlar den till en berättelse, vilket skapar (i vissa fall) handlingsbar intelligens.

I huvudsak förvandlar intelligens ”vad” och ”hur” från informationen till ”varför” och ”när” i beslutsprocessen. Det som gör informationen färdig intelligens är analysen av information. Låt oss utforska skillnaderna mellan information, data och intelligens.

Information

I det här fallet är ”information” i huvudsak delar av data eller fakta som har samlats in.

Data

”Data” är helt enkelt fakta redo för bearbetning eller analys. För denna artikels skull är data ”individuella insamlade element som när de sätts ihop och bearbetas skapar kontextuell information.”

Intelligens

För våra syften kan ”intelligens” inte definieras som ett ord. Det är en disciplinerad process med flera delar. Det händer att information är en komponent i denna process och data en annan. Här är definitionen enligt United States Department of Defense Online Dictionary.:

  1. Produkten som härrör från insamling, bearbetning, integration, utvärdering, analys och tolkning av tillgänglig information om främmande nationer, fientliga eller potentiellt fientliga styrkor eller element, eller områden med faktiska eller potentiella operationer.

  2. De aktiviteter som resulterar i produkten.

De organisationer som är engagerade i sådan verksamhet.

Intelligens är en påtaglig och bevisbar produkt. Intelligensproduktion är en rigoröst disciplinerad och iterativ process. Genom att samla in, bearbeta, analysera och sprida information via denna disciplin kan beslutsfattare snabbt bedöma om underrättelseprodukten visar sig vara intelligens. Därför kan vi bara betrakta produkten som ”intelligens” om den ger en relevant och handlingsbar bedömning av sannolikheter. De tre komponenterna måste tillsammans vara sanna för att avgöra att information nu betraktas som intelligens.

Strävan efter snabba svar från intelligens verktyg och leverantörer späder på förståelsen för vad verklig intelligens är. Just nu får de flesta organisationer bara information eftersom sann intelligens kräver analys och produktion. Om vi ​​inte kan fatta ett entydigt beslut med den omedelbara informationen vi får, måste vi återanvända underrättelseprocessen tills vi kommer fram till en sann underrättelseprodukt.

Låt oss dock vara tydliga, många säkerhetsunderrättelseverktyg gör ett utmärkt jobb med att underlätta framgångsrik och skalbar operationell analys av loggade händelsedata, vilket kan hjälpa till med snabba operationella svar och åtgärdande när hot observeras och indikatorer identifieras. Detta beror på att kraven (planering och riktning) som ställs på automatiserade säkerhetsanordningar och verktyg är utformade för att begränsa deras förmåga för att lösa en viss uppsättning problem. Allt annat förkastas, med vetskapen om att ett mänskligt element krävs för att producera verklig intelligens.

Verktyg och tekniska lösningar förbättras men deras effektivitet som helhetslösning är begränsad.

Hur man skapar intelligenscykeln

Planering och riktning:

Beslutsfattare bestämmer underrättelsekrav baserat på mål, sannolikt i form av en prioriterad underrättelseförfrågan (PIR).

Intelligenskraven är att betrakta som dynamiska. Att skicka bra PIR:er är viktigt för att skala underrättelseprocessen. De:

    • Ställ bara en fråga;

    • Fokusera på ett specifikt faktum, händelse eller aktivitet;

    • Tillhandahålla underrättelser som krävs för att stödja ett enda beslut;

    • Är knutna till viktiga beslut som måste fattas; och

    • Ange den senaste tiden informationen är av värde (LTIOV).

Samlingar:

Organisationer bör upprätta en Intelligence Collections Plan (ICP) som gör det möjligt för dem att kartlägga hur företaget kommer att hantera insamlingen av livskraftig information från flera källor med olika format av information.

Exempel på insamlingar av cyberintelligens inkluderar honeypots som samlar in IP-adresser och lagrar data, och human intelligence (HUMINT) online-engagemang med hotaktörer i onlineforum och chattsidor.

Bearbetning:

När rådata eller information har har samlats in, kan de behandlas. Bearbetad information är övervägande vad du ser i ett hotflöde. Beroende på vilken information som samlats in och hur den samlades in, kan denna process vara manuell, automatiserad eller en kombination av båda.

Analys:

I detta skede börjar informationen att bli intelligens. Analyser samlar all bearbetad information och rå intelligens och börjar korrelera, analysera, undersöka och lägga pusslet. Detta skede försöker utveckla ny kunskap så att beslutsfattare kan fatta bra beslut om nästa steg.

Spridning:

Team måste noga överväga att vem uppgifterna kommer att spridas, varför, när och i vilken ordning (prioritering). Slumpmässig eller obegränsad spridning av information kan orsaka onödigt kaos eller förvirring och utgöra hinder för åtgärder när (eller om) ett överhängande hot uppstår.

Färdig intelligens kan komma i många former, såsom rapporter, sammanställda datamängder via API eller till och med ett telefonsamtal. Ingen ”perfekt” metod existerar; intelligens bör cirkuleras på det sätt som fungerar bäst för din miljö och de inblandade spelarna.

Feedback:

Sök feedback från beslutsfattare efter varje fas och gör revideringar. Hotunderrättelseteam måste förstå vilken typ av information som är användbar för beslutsfattare, hur beslutsfattare använder den information som tillhandahålls (och även om de är det), och vad mer som kan tillhandahållas för att förbättra framtida resultat. Om den aktuella produkten inte hjälper chefer att fatta de bästa besluten för organisationen, ta en diskussion om hur man kan förbättra den.

Slutsats

Att komma fram till ett beslut om nya hot mot en organisation kräver mer än att skicka bearbetad data till apparater och logga händelsekorrelatorer och sedan övervaka utgångarna. Intelligens kräver samordning av många processer uppifrån och ner så att organisationen kan dra nytta av intelligens utanför den operativa miljön. Ur ett konsumentperspektiv är det viktigt att klargöra vad du förväntar dig av färdig intelligens. Kommunicera vad verksamheten behöver så att underrättelseteam kan anpassa sig därefter.

Det viktigaste är att hotintelligens är en iterativ och pågående process. Det du har idag kommer inte nödvändigtvis att passa imorgon. Området CTI utvecklas ständigt – både på verktygssidan och den mänskliga sidan – så det är nödvändigt att utveckla en process som tar intelligensinsamling från ”överväldigande” till ”hanterbar.” Du kanske fortfarande upptäcker att en brytande mediarubrik är användbar intelligens, men det finns ingen anledning att varning ska vara din enda form av handlingsbar intelligens.

Lämna ett svar

Relaterade inlägg