Cyberzagrożenia nieustannie się rozwijają, a eksperci ds. bezpieczeństwa coraz częściej stają przed nowymi wyzwaniami wymagającymi zastosowania odpowiedniej strategii. Aby ich praca mogła być łatwiejsza, powstały usługi CTI (Cyber Threat Intelligence – ekspercka wiersza o cyberzagrożeniach), które odgrywają coraz większą rolę w firmach, a ich celem jest gromadzenie i organizowanie informacji związanych z zagrożeniami w cyberprzestrzeni. Niestety dla niektórych firm wizja tych usług ciągle nie jest jasna, dlatego dzisiaj omówimy, co to jest CTI i przedstawimy cztery wyzwania cyberbezpieczeństwa związane z tymi usługami.
CTI jako zasób
W badaniu przeprowadzonym przez organizację Forrester[1] wspominano o „istotnej różnicy między tempem, w jakim firmy wykrywają ransomware, a prędkością działania atakujących”. Wpływ takich działań cyberprzestępczych na firmy (utrata przychodów oraz danych, zniszczenie reputacji itd.) został dobrze udokumentowany w internecie, a wspomniane badanie jasno pokazuje wagę korzystania z eksperckiej wiedzy przez zespoły ds. cyberbezpieczeństwa.
Zespoły świadczące usługi CTI dostarczają firmom ostrzeżenia, które pomagają chronić zasoby IT. Na przykład, rozwiązanie TEHTRIS CYBERIA monitoruje i identyfikuje zarówno zagrożenia jak i cyberprzestępców, pozwalając specjalistom szybko identyfikować ataki na ich firmy.
TEHTRIS CYBERIA to globalna i kolektywna sztuczna inteligencja. Stanowi wynik połączenia przełomowych technologii w dziedzinie różnych mechanizmów uczenia: maszynowego, głębokiego, aktywnego oraz wspomaganego. Wraz z rozszerzonymi możliwościami monitorowania – oferowanymi przez moduły rozwiązania TEHTRIS XDR Platform – CYBERIA w pełni integruje się z usługą TEHTRIS Cyber Threat Intelligence i pozwala na nieustanny monitoring Twoich wszystkich systemów.
CTI jest zatem narzędziem ułatwiającym podejmowanie strategicznych decyzji związanych z cyberbezpieczeństwem, dając jednocześnie następujące korzyści:
- oszczędność czasu (optymalizacja oraz nadawanie kontekstu informacjom przekazywanym analitykom),
- szybsze i bardziej świadome podejmowanie decyzji w przypadku incydentów,
- pomoc w komunikacji z klientami,
- wsparcie w ocenie ryzyka,
- dane przydatne w zarządzaniu kryzysowym,
- pomoc w zmniejszeniu kosztów naruszenia.
Bardzo ważnym wyróżnikiem eksperckiej wiedzy o cyberzagrożeniach jest kontekstualizacja danych. Bez kontekstu informacje są znacznie mniej użyteczne i obciążają analityków, którzy muszą przekopywać się przez duże ilości danych. Dzięki zastosowaniu sztucznej inteligencji zespoły CTI mogą agregować różne dane i nadawać im znaczenie. Technologie zastosowane w rozwiązaniu firmy TEHTRIS pozwalają automatyzować zarówno gromadzenie jak i przetwarzanie informacji.
W ten sposób zespoły SOC mogą łatwiej zrozumieć, z czym i z kim walczą: co motywuje cyberprzestępców i jakich technik ataków używają. Integracja proaktywnej wiedzy o cyberzagrożeniach pozwala także znacznie poprawić czas reakcji na incydenty. Dzięki odpowiednio przekazanym i przygotowanym informacjom specjaliści mogą się skupić na najistotniejszych symptomach ataku, nie tracąc czasu na analizowanie wszystkich sygnałów.
Dostarczana wiedza musi być zatem dostosowywana do określonego środowiska (i dynamicznie reagować na zmiany w nim), a także pozwalać na wykonywanie zasadnych działań. Z tego powodu usługa CTI powinna być zintegrowana z technologią SIEM.
Dzięki takiemu połączeniu zespoły SOC mogą otrzymywać informacje o:
- phishingowych adresach URL,
- scenariuszach ataków, które pozwalają na korygowanie podatności w systemach,
- reputacji domen i adresów IP,
- złośliwym oprogramowaniu,
- serwerach wykorzystywanych przez cyberprzestępców do koordynowania ataków (C&C).
Ekspercka wiedza o cyberzagrożeniach daje także możliwość:
- opracowywania nowych reguł wykrywania i korelowania ich ze sobą,
- wykrywania wycieków danych.
CTI jako wysiłek zbiorowy
Wstępna wizja usług CTI zakładała, że będą one wykorzystywane tylko przez zespoły SOC, wspomagając je w wykrywaniu i reagowaniu na incydenty. Jednak obecnie dobre usługi tego typu muszą współgrać z całym firmowym ekosystemem – od specjalistów ds. cyberbezpieczeństwa po kadrę kierowniczą. Wiedza o zagrożeniach musi spinać ze sobą całą firmę. Współpraca między różnymi zespołami pozwala zapewnić zunifikowane podejście do reagowania na incydenty.
Z usług CTI powinny zatem korzystać następujące strony:
- Specjaliści ds. cyberbezpieczeństwa – CTI pozwala monitorować, kwalifikować i priorytetyzować luki w zabezpieczeniach, a także przedstawiać wszystkie informacje z uwzględnieniem kontekstu. Bez oceny ryzyka trudno podejmować odpowiednie decyzje.
- Zespoły techniczne – od architektów po menedżerów odpowiedzialnych za reagowanie na incydenty. CTI daje im możliwość skuteczniejszego neutralizowania ataków. Kontekstualizacja danych pozwala na dogłębniejszą analizę i antycypowanie zagrożeń w oparciu o sektor działalności, bieżące wydarzenia, nowe technologie itd. Zastosowanie eksperckiej wiedzy zwiększa także efektywność takich mechanizmów jak ochrona przed spamem i złośliwym oprogramowaniem, EDR czy EPP.
- Kadra zarządzająca – informacje o cyberzagrożeniach mogą pomóc w uzyskaniu odpowiedzi na strategiczne i operacyjne kwestie. CTI pozwala modelować zagrożenia wycelowane w daną firmę – organizacja będzie w stanie identyfikować i oceniać trendy poprzez analizę kampanii cyberprzestępczych, grupy celów oraz wykorzystywane podatności. Wyniki takiej analizy dają firmie możliwość zaprojektowania solidnego planu ochrony i przygotowania się na najgorsze.
CTI jako suma wielu czynników
Jednym z najpoważniejszych wyzwań usług CTI jest działanie na zasadach „społeczności”: dzielenie się wiedzą pozwala wszystkim uczyć się na zbadanych atakach i przygotowywać lepsze plany ochrony.
Takie społeczności już istnieją – przykładami mogą być Cyber Threat Alliance (CTA), do której należy TEHTRIS, czy INTERCERT.
Celem społeczności Cyber Threat Alliance jest oferowanie każdemu członkowi dostępu do najwyższej jakości informacji o cyberzagrożeniach, co znacznie zwiększa skuteczność walki z cyberprzestępczością.
Dostęp do takich informacji nie powinien ograniczać się do konkretnych firm – powinny one być współdzielone (oczywiście z zachowaniem prywatności i interesów klientów) z całą społecznością zaangażowaną w cyberbezpieczeństwo.
Współdzielenie informacji sprawia, że cały ekosystem bezpieczeństwa (rządy, administracja oraz sektor prywatny) dysponuje odpowiednią wiedzą. Dzięki temu firmy mają świadomość nadchodzących zagrożeń i mogą się na nie odpowiednio przygotować.
CTI jako usługa wymagająca zdywersyfikowanego zespołu
Aby móc się skutecznie chronić przed atakami komputerowymi, należy posiadać wiedzę o technikach i metodach wykorzystywanych przez cyberprzestępców. Oczywiście do przeprowadzania takich analiz niezbędne są zespoły techniczne, jednak mogą się one okazać niewystarczające.
Kontekst polityczny, ekonomiczny i kulturowy może wymagać szerokiego wachlarza specjalistów, o których nikt wcześniej nie myślał w odniesieniu do cyberbezpieczeństwa. Swoje miejsce w procesie mają zatem lingwiści, ekonomiści, specjaliści ds. nauk politycznych, psychologowie itd.
Szersza perspektywa może się okazać niezbędna do zrozumienia celów i działań określonych cyberprzestępców.
Zestaw narzędzi wchodzących w skład rozwiązania TEHTRIS XDR Platform, w tym EDR, SIEM, NTD oraz SOAR, jest natywnie wyposażony w zintegrowaną wiedzę o cyberzagrożeniach. Takie połączenie daje możliwość znacznego wzmocnienia cyberbezpieczeństwa Twojej firmy.
Źródło: tehtris.com/en/blog/cti-the-4-challenges-of-security
[1] Forrester. Automation and Unification Enable a Cohesive Attack Surface Defense, 2022