Samo poleganie na podstawowych mechanizmach bezpieczeństwa i monitorowanie dzienników zdarzeń nie jest już rozwiązaniem wystarczającym, aby mówić że mamy wdrożoną skuteczną strategię cyberbezpieczeństwa. Zewnętrzne dane dotyczące zagrożeń cybernetycznych powinny stanowić podstawowy element obrony każdej organizacji. Zadaniem procesu Threat Intelligence jest usprawnianie klasyfikacji zdarzeń, reagowanie na zdarzenia cybernetyczne oraz wyszukiwanie zagrożeń i zarządzanie lukami w zabezpieczeniach. Rozwój technologii cyfrowych spowodował, że bardziej niż kiedykolwiek wcześniej funkcjonowanie organizacji uzależnione jest od korzystania z usług dostarczanych z wykorzystaniem internetu. Rosnące wykorzystanie internetu wiąże się z kolei ze zwiększonym ryzykiem cyberataków, takich jak naruszenia bezpieczeństwa, kradzież danych czy infekcja złośliwym oprogramowaniem. Jednym elementów podnoszenia poziomu bezpieczeństwa w organizacjach może być prowadzenie analizy zagrożeń analiza zagrożeń (Threat Intelligence).
Proces ten powinien obejmować w szczególności identyfikowanie, zbieranie, przetwarzania i analizę informacji o zagrożeniach które niesie za sobą korzystanie sieci internet. Analiza zagrożeń (TI) ma w szczególności na celu zrozumienia zachowań atakujących ich motywów oraz możliwych celów ataków. Korzyści jakie daje TI to przede wszystkim szybsze i bardziej świadome podejmowanie decyzji dotyczących bezpieczeństwa. Decyzji, które będą poparte wiedzą na temat istniejących lub pojawiających się zagrożeń dla aktywów organizacji. Wdrożenie i skuteczne wykorzystanie Threat Intelligence wymaga wiele wysiłku i zaangażowania struktur informatycznych. Bardzo trudne lub wręcz niemożliwe jest budowanie skutecznej strategii bezpieczeństwa nie analizując zagrożeń, gdyż w praktyce niemożliwe jest zarządzanie tym czego nie wiemy. Dla budowy skutecznego systemu ochrony przed cyberzagrożeniami analiza zagrożeń powinna stanowić źródło informacji o tym w jaki sposób organizacja może być atakowana. Ustrukturyzowane podejście do zarządzania zagrożeniami jest niezbędne do podejmowania skutecznych działań zapewniających że organizacja odpowiednio chroni swoje zasoby.
Analiza zagrożeń powinna identyfikować i jak najlepiej wykorzystywać wszystkie możliwe zasoby informacji o zagrożeniach. Problem może stanowić bardzo wiele źródeł informacji, które obejmują szeroki zakres systemów i technologii. Wiele źródeł informacji może również zgłaszać te same zagrożenia, zagrożenia które w praktyce nie dotyczą naszej organizacji lub będą kompletnie nie istotne. Proces IT powinien wprowadzić porządek potrzebny do ustalenia priorytetów i podejmowania właściwych decyzji i działań.
Obecnie rynek zapewnia możliwość skorzystania z zewnętrznych dostawców usługi Threat Intelligence między innym takich jak:
Microsoft – Microsoft Defender Threat Intelligence ma najbardziej ekspansywne źródła danych telemetrycznych dotyczących zagrożeń biorąc pod uwagę zasięg chmury komercyjnej i korporacyjnej.
Google – Google Threat Intelligence po wykupieniu w 2022 r Mandiant Threat Intelligence wraz z VirusTotal zapewnia kompleksowy pakiet usług i rozwiązań.
Fortinet – FortiGuard Threat Intelligence oferuje więcej obszarów ukierunkowanych na analizę zagrożeń specyficznych branżach ukierunkowując się na obszar OT.
IBM – X-Force Threat Intelligence jedną z zalet jest partnerstwo z z ponad 40 różnymi krajami oraz kilkunastoma CERT-ami.
CrowdStrike – Falcon Intelligence śledzi działania ponad 200 organizacji hakerskich w różnych krajach
Flashpoin – Flashpoint Ignite specjalizuje się w zbieraniu informacji z „dard web”.
Co jednak w przypadku gdy budżet nie pozwala na wykupienie usługi TI? Jednym z rozwiązań jest określenie źródeł informacji o zagrożeniach. Dostępnych jest wiele serwisów które systematycznie publikują informacje o zagrożeniach. Skorzystać możemy z między innymi z:
Cybersecurity Alerts & Advisories | CISA
Threat intelligence resources – Red Canary
Dark Reading | Security | Protect The Business
SANS.edu Internet Storm Center – SANS Internet Storm Center
Threat intelligence | Microsoft Security Blog
Krebs on Security – In-depth security news and investigation
Threat Intelligence – Pulsedive
PhishTank | Join the fight against phishing
TorBot: Open Source Intelligence Tool for Dark Web | SpringerLink
OWASP TorBot | OWASP Foundation
Tools – Intelligence X (intelx.io)
Sekurak – piszemy o bezpieczeństwie
Warto zadbać o to, aby źródła które zdecydujemy się śledzić publikowały informacje które mogą być istotne ze względu na specyfikę działalności, wdrożoną technologię czy chociażby kompetencje którymi dysponujemy. Przykładowo nie będą nas interesowały zagrożenia dotyczące systemów Linuksowych czy środowisk programistycznych jeżeli wykorzystujemy tylko Windowsy i nie tworzymy aplikacji.
Autor: Piotr Maziakowski