En stor selger punkt for trussel intelligens er potensialet for en bedrift å bruke informasjonen til å forsvare seg mot angrep før de noen gang lansert.
For enterprise sikkerhetsteam prøver å proaktivt implementere og administrere sikkerhetskontroller for å hindre avanserte angrep, kan trusselen intelligens gjør hele forskjellen. Legge trussel intelligens til et etablert informasjonssikkerhet program kan utfylle en trusselvurdering og gi mer kritiske data om hvilke sikkerhetskontroller kan være i stand til å stoppe de nyeste angrepene i et bedriftsmiljø.
I dette tipset, vi vil definere trussel intelligens og diskutere hvordan trusselen etterretnings feeds kan integreres i et foretak informasjonssikkerhet program.
Threat intelligens, fortid og nåtid
Definisjonen av trusselen intelligens har en tendens til å variere avhengig av virksomheten eller tjenesten leverandør spurt. Noen definerer trussel intelligens som å være klar over angrepene som de skjer, mens andre definerer det som de teknikkene trussel aktører bruker i angrepene de undersøke. Generelt sett, skjønt, og i forbindelse med denne artikkelen, refererer trussel intelligens til evnen til bedrifter for å samle inn og analysere informasjon fra en rekke kilder på den siste trusselen vektorer, og deretter ansette denne informasjonen til å hjelpe avverge angrep.
Mange fagfolk i informasjonssikkerhet samfunnet kutte sine tenner i løpet av de dagene av gamle skolen hacking, når e-postlister som Bugtraq, ble e-zines som Phrack og Internett generelt økende popularitet raskt. Slike relativt enkle kilder ble brukt til trussel etterretnings feeds på den tiden, men tilbake da, var det fortsatt mulig å være rimelig kunnskap om og klar over den nåværende tilstanden i mange forskjellige områder av angrep og forskning. I motsetning til i dag er det umulig for selv de mest dedikerte sikkerhets argumenter for å være kunnskapsrik i så mange områder som i dag, og for å holde tritt med de mange nye trusler stadig blir oppdaget.
Nylig, bedrifter har forsøkt å bruke IT-sikkerhet risikostyring teknikker i et forsøk på å bedre prioritere sikkerhetskontroller og justere informasjonssikkerhet programmer, men disse metodene har ikke utviklet seg nok til å effektivt håndtere risiko. Innlemme nye metoder som trussel intelligens til å hjelpe prioritere sikkerhetskontroller hjelpe en bedrift tilpasse seg raskere til de nyeste angrepene, særlig ved å identifisere dem raskere og øke hastigheten på hendelsen respons
Så hvor kommer dette ". Intelligens " komme fra? Et foretak kan skape en trussel intelligens program fra bunnen av ved å investere betydelige ressurser for å skape sitt eget team av forskere og analytikere, men de fleste organisasjoner ikke har tilstrekkelige midler til å ta dette kurset. Et annet alternativ er å abonnere på trusseletterretningstjenestene som tilbys av en rekke sikkerhetsleverandørene. Hver leverandør har sine egne spesialiteter, og mange har en tendens til å vektlegge trussel intelligens som fremhever sine produktporteføljer, så noen miksing og matching av tjenester er en gitt. En tredje og stadig mer populært alternativ er å delta i et informasjonsdeling og midt analyse (ISAC), hvor bransjespesifikk trussel data er delt og deretter innlemmet i lokale analyser og verktøy.
Integrering trussel intelligens
Fra redaktørene: Mer om ISACs
Informasjonsdeling og analyse sentre kommer i en rekke varianter (og pris), så hvordan kan en bedrift å avgjøre hvilke, om noen, har ISAC flest fordeler for det? Sikkerhetsadministrasjon ekspert Joseph Granneman gir sitt råd om hvordan å bli involvert med en ISAC, hva slags informasjon må deles og mer.
Etter å ha valgt sine informasjonskilder, bedrifter må takle trusselen intelligens integrasjonsprosessen. Trussel intelligens feeds, informasjonsstrømmer er gitt i en standardisert måte (typisk XML), kan integreres i en rekke sikkerhets apparater. For eksempel kan kjente skadelige IPer inngås brannmurer og blokkert, kan kjente skadelige domener bli blackholed av DNS-servere og ondsinnede nedlastede filer kan identifiseres ved nettverksovervåkningsverktøy, eller som inngår i system management verktøy for å identifisere spesifikke filer eller verktøy. Du kan konfigurere Siem systemer for å akseptere feeds for å identifisere kompromitterte verter. Den ekstra trussel data fra eventuelle senere undersøkelser kan brukes til å ytterligere analysere ulike systemer og de deles med andre organisasjoner slik at informasjonen kan bli tatt i bruk.
er en stor selger punkt for trussel intelligens potensialet for en bedrift å bruke informasjonen til å forsvare seg mot angrep før de noen gang lansert. Ved å overvåke trussel intelligens feeds for angrep mot spesifikk programvare, systemer eller bransjer, kan en bedrift finne ut om det er ved hjelp sårbar programvare eller systemer, og deretter distribuere begrensninger før et angrep finner sted. For eksempel vil hvis en angriper er rettet mot webservere med en sårbar versjon av WordPress bruke som et dreiepunkt for å angripe interne nettverk, identifisere sårbare WordPress installerer og bruke begrensninger, eller til å oppdatere til den nyeste versjonen, kan forhindre et slikt angrep. I store bedrifter, kan et angrep mot et område av bedriftsnettverket også brukes til å identifisere trusselen data som kan deretter brukes til å undersøke den totale nettverket.
Gathering og administrerende intern trussel intelligens virker fornuftig, men å effektivt bruke data fra mange andre bedrifter til å utføre slike aktiviteter, kan det være lurt å slå til en tredjeparts tjenesteleverandør. En tjenesteyter kan utføre validering og data rensing på innkommende etterretningsinformasjon, slik at bedrifter kan bare importere data til interne verktøy og fokus på å forebygge eller avdekke planen.
Konklusjon
For å forsvare seg mot strømmen , sofistikerte angripere, bedriftsinformasjon sikkerhetsprogrammer må være tilpasningsdyktig nok til å inkludere nye metoder som gir bedre beslutningsprosesser. Legge trussel intelligens til en INFOSEC program, enten gjennom en intern kapasitet eller fra en tjenesteleverandør, hjelper bedrifter prioritere vakttjenester og fokusere på de områdene som er mest sannsynlig å stoppe angripere. Som trusler vokser stadig mer komplisert og målrettet, bør organisasjonene ta alle tilgjengelige muligheter for å lære mer om teknikker blir brukt mot dem, med håp om at slik kunnskap vil føre til en mer effektiv sikkerhet program.
Om forfatteren:
Nick Lewis, CISSP, er informasjonen i sikkerhetsansvarlig ved Saint Louis University. Nick fikk sin Master of Science i informasjonsteknologi forsikring fra Norwich University i 2005, og i telekommunikasjon fra Michigan State University i 2002. Før han kom til Saint Louis University i 2011, Nick jobbet ved University of Michigan og ved Boston Children Hospital, primær pediatrisk undervisning sykehus fra Harvard Medical School, samt for Internet2 og Michigan State University.