Grėsmių žvalgyba: Rizikos vertinimų panaudojimas proaktyviam saugumui

Šiandieniniame dinamiškame grėsmių pasaulyje organizacijos susiduria su vis didėjančiu sudėtingų kibernetinių atakų srautu. Reaktyvių saugumo priemonių nebepakanka. Proaktyvus požiūris, paremtas grėsmių žvalgyba ir rizikos vertinimu, yra būtinas norint sukurti atsparią saugumo būklę. Šiame vadove nagrinėjama, kaip efektyviai integruoti grėsmių žvalgybą į rizikos vertinimo procesą, siekiant identifikuoti, analizuoti ir sumažinti grėsmes, pritaikytas jūsų specifiniams poreikiams.

Grėsmių žvalgybos ir rizikos vertinimo supratimas

Kas yra grėsmių žvalgyba?

Grėsmių žvalgyba – tai informacijos apie esamas ar kylančias grėsmes ir grėsmių veikėjus rinkimo, analizės ir platinimo procesas. Ji suteikia vertingą kontekstą ir įžvalgas apie tai, kas, ką, kur, kada, kodėl ir kaip vykdo kibernetines grėsmes. Ši informacija leidžia organizacijoms priimti pagrįstus sprendimus dėl savo saugumo strategijos ir imtis proaktyvių priemonių apsisaugoti nuo galimų atakų.

Grėsmių žvalgybą galima suskirstyti į šias kategorijas:

• Strateginė grėsmių žvalgyba: Aukšto lygio informacija apie grėsmių aplinką, įskaitant geopolitines tendencijas, konkrečios pramonės šakos grėsmes ir grėsmių veikėjų motyvaciją. Šio tipo žvalgybos duomenys naudojami informuoti strateginius sprendimus vadovų lygmeniu.
• Taktinė grėsmių žvalgyba: Suteikia techninę informaciją apie konkrečius grėsmių veikėjus, jų įrankius, technikas ir procedūras (TTP). Šio tipo žvalgybą naudoja saugumo analitikai ir incidentų respondentai, siekdami aptikti atakas ir į jas reaguoti.
• Techninė grėsmių žvalgyba: Išsami informacija apie konkrečius kompromitavimo indikatorius (IOC), pavyzdžiui, IP adresus, domenų vardus ir failų maišos (hash) kodus. Šio tipo žvalgybą naudoja saugumo įrankiai, tokie kaip įsilaužimų aptikimo sistemos (IDS) ir saugumo informacijos bei įvykių valdymo (SIEM) sistemos, siekdami identifikuoti ir blokuoti kenkėjišką veiklą.
• Operacinė grėsmių žvalgyba: Įžvalgos apie konkrečias grėsmių kampanijas, atakas ir pažeidžiamumus, turinčius įtakos organizacijai. Tai informuoja neatidėliotinas gynybos strategijas ir reagavimo į incidentus protokolus.

Kas yra rizikos vertinimas?

Rizikos vertinimas – tai procesas, kurio metu identifikuojamos, analizuojamos ir vertinamos potencialios rizikos, galinčios paveikti organizacijos turtą, veiklą ar reputaciją. Jis apima rizikos atsiradimo tikimybės ir galimo poveikio nustatymą. Rizikos vertinimai padeda organizacijoms nustatyti saugumo pastangų prioritetus ir efektyviai paskirstyti išteklius.

Įprastas rizikos vertinimo procesas apima šiuos etapus:

1. Turto identifikavimas: Identifikuokite visą kritinį turtą, kurį reikia apsaugoti, įskaitant techninę įrangą, programinę įrangą, duomenis ir personalą.
2. Grėsmių identifikavimas: Identifikuokite potencialias grėsmes, kurios galėtų išnaudoti turto pažeidžiamumus.
3. Pažeidžiamumų vertinimas: Identifikuokite turto pažeidžiamumus, kuriuos galėtų išnaudoti grėsmės.
4. Tikimybės vertinimas: Nustatykite tikimybę, kad kiekviena grėsmė išnaudos kiekvieną pažeidžiamumą.
5. Poveikio vertinimas: Nustatykite galimą kiekvienos grėsmės, išnaudojančios kiekvieną pažeidžiamumą, poveikį.
6. Rizikos apskaičiavimas: Apskaičiuokite bendrą riziką, padaugindami tikimybę iš poveikio.
7. Rizikos mažinimas: Sukurkite ir įgyvendinkite rizikos mažinimo strategijas.
8. Stebėjimas ir peržiūra: Nuolat stebėkite ir peržiūrėkite rizikos vertinimą, kad užtikrintumėte, jog jis išlieka tikslus ir aktualus.

Grėsmių žvalgybos integravimas į rizikos vertinimą

Grėsmių žvalgybos integravimas į rizikos vertinimą suteikia išsamesnį ir labiau pagrįstą grėsmių aplinkos supratimą, leidžiantį organizacijoms priimti efektyvesnius saugumo sprendimus. Štai kaip juos integruoti:

1. Grėsmių identifikavimas

Tradicinis požiūris: Pasikliaujama bendriniais grėsmių sąrašais ir pramonės ataskaitomis. Grėsmių žvalgyba pagrįstas požiūris: Naudojamasi grėsmių žvalgybos kanalais, ataskaitomis ir analize siekiant identifikuoti grėsmes, kurios yra konkrečiai susijusios su jūsų organizacijos pramone, geografija ir technologijų rinkiniu. Tai apima grėsmių veikėjų motyvacijos, TTP ir taikinių supratimą. Pavyzdžiui, jei jūsų įmonė veikia finansų sektoriuje Europoje, grėsmių žvalgyba gali išryškinti konkrečias kenkėjiškų programų kampanijas, nukreiptas prieš Europos bankus.

Pavyzdys: Pasaulinė laivybos įmonė naudoja grėsmių žvalgybą, kad identifikuotų sukčiavimo (phishing) kampanijas, konkrečiai nukreiptas prieš jos darbuotojus su suklastotais siuntimo dokumentais. Tai leidžia jai proaktyviai šviesti darbuotojus ir įdiegti el. pašto filtravimo taisykles, kad blokuotų šias grėsmes.

2. Pažeidžiamumų vertinimas

Tradicinis požiūris: Naudojami automatiniai pažeidžiamumų skeneriai ir pasikliaujama tiekėjų teikiamais saugumo atnaujinimais. Grėsmių žvalgyba pagrįstas požiūris: Pažeidžiamumų šalinimo prioritetų nustatymas remiantis grėsmių žvalgybos duomenimis apie tai, kuriuos pažeidžiamumus aktyviai išnaudoja grėsmių veikėjai. Tai padeda sutelkti išteklius į svarbiausių pažeidžiamumų taisymą. Grėsmių žvalgyba taip pat gali atskleisti nulinės dienos (zero-day) pažeidžiamumus prieš juos viešai paskelbiant.

Pavyzdys: Programinės įrangos kūrimo įmonė naudoja grėsmių žvalgybą, kad atrastų, jog konkretų pažeidžiamumą plačiai naudojamoje atvirojo kodo bibliotekoje aktyviai išnaudoja išpirkos reikalaujančių programų (ransomware) grupės. Ji nedelsdama teikia pirmenybę šio pažeidžiamumo taisymui savo produktuose ir praneša savo klientams.

3. Tikimybės vertinimas

Tradicinis požiūris: Grėsmės tikimybės įvertinimas remiantis istoriniais duomenimis ir subjektyviu vertinimu. Grėsmių žvalgyba pagrįstas požiūris: Naudojama grėsmių žvalgyba grėsmės tikimybei įvertinti remiantis realiais grėsmių veikėjų veiklos stebėjimais. Tai apima grėsmių veikėjų taikinių pasirinkimo modelių, atakų dažnumo ir sėkmės rodiklių analizę. Pavyzdžiui, jei grėsmių žvalgyba rodo, kad tam tikras grėsmės veikėjas aktyviai taikosi į jūsų pramonės šakos organizacijas, atakos tikimybė yra didesnė.

Pavyzdys: Sveikatos priežiūros paslaugų teikėjas Jungtinėse Valstijose stebi grėsmių žvalgybos kanalus ir aptinka išpirkos reikalaujančių programų atakų, nukreiptų prieš regiono ligonines, antplūdį. Ši informacija padidina jų išpirkos reikalaujančios programos atakos tikimybės vertinimą ir skatina stiprinti gynybą.

4. Poveikio vertinimas

Tradicinis požiūris: Grėsmės poveikio įvertinimas remiantis galimais finansiniais nuostoliais, žala reputacijai ir reguliavimo baudomis. Grėsmių žvalgyba pagrįstas požiūris: Naudojama grėsmių žvalgyba siekiant suprasti galimą grėsmės poveikį remiantis realiais sėkmingų atakų pavyzdžiais. Tai apima finansinių nuostolių, veiklos sutrikimų ir žalos reputacijai, kurią sukėlė panašios atakos prieš kitas organizacijas, analizę. Grėsmių žvalgyba taip pat gali atskleisti ilgalaikes sėkmingos atakos pasekmes.

Pavyzdys: El. prekybos įmonė naudoja grėsmių žvalgybą, kad išanalizuotų neseniai įvykusio duomenų pažeidimo pas konkurentą poveikį. Ji atranda, kad pažeidimas lėmė didelius finansinius nuostolius, pakenkė reputacijai ir sukėlė klientų nutekėjimą. Ši informacija padidina jų duomenų pažeidimo poveikio vertinimą ir skatina investuoti į stipresnes duomenų apsaugos priemones.

5. Rizikos mažinimas

Tradicinis požiūris: Bendrinių saugumo kontrolės priemonių diegimas ir pramonės geriausių praktikų laikymasis. Grėsmių žvalgyba pagrįstas požiūris: Saugumo kontrolės priemonių pritaikymas konkrečioms grėsmėms ir pažeidžiamumams, nustatytiems per grėsmių žvalgybą. Tai apima tikslinių saugumo priemonių, tokių kaip įsilaužimų aptikimo taisyklės, ugniasienės politika ir galinių taškų apsaugos konfigūracijos, diegimą. Grėsmių žvalgyba taip pat gali informuoti reagavimo į incidentus planų ir stalo pratybų kūrimą.

Pavyzdys: Telekomunikacijų įmonė naudoja grėsmių žvalgybą, kad identifikuotų konkrečius kenkėjiškų programų variantus, nukreiptus prieš jos tinklo infrastruktūrą. Ji kuria pritaikytas įsilaužimų aptikimo taisykles, skirtas aptikti šiuos kenkėjiškų programų variantus, ir įgyvendina tinklo segmentavimą, kad apribotų infekcijos plitimą.

Grėsmių žvalgybos integravimo su rizikos vertinimu nauda

Grėsmių žvalgybos integravimas su rizikos vertinimu suteikia daug naudos, įskaitant:

• Pagerintas tikslumas: Grėsmių žvalgyba suteikia realaus pasaulio įžvalgų apie grėsmių aplinką, todėl rizikos vertinimai tampa tikslesni.
• Didesnis efektyvumas: Grėsmių žvalgyba padeda nustatyti saugumo pastangų prioritetus ir efektyviai paskirstyti išteklius, mažinant bendras saugumo išlaidas.
• Proaktyvus saugumas: Grėsmių žvalgyba leidžia organizacijoms numatyti atakas ir užkirsti joms kelią prieš joms įvykstant, mažinant saugumo incidentų poveikį.
• Padidintas atsparumas: Grėsmių žvalgyba padeda organizacijoms sukurti atsparesnę saugumo būklę, leidžiančią greitai atsigauti po atakų.
• Geresnis sprendimų priėmimas: Grėsmių žvalgyba suteikia sprendimų priėmėjams informaciją, reikalingą priimti pagrįstus saugumo sprendimus.

Grėsmių žvalgybos integravimo su rizikos vertinimu iššūkiai

Nors grėsmių žvalgybos integravimas su rizikos vertinimu suteikia daug naudos, jis taip pat kelia tam tikrų iššūkių:

• Duomenų perteklius: Grėsmių žvalgybos duomenų apimtis gali būti didžiulė. Organizacijos turi filtruoti duomenis ir nustatyti jų prioritetus, kad sutelktų dėmesį į svarbiausias grėsmes.
• Duomenų kokybė: Grėsmių žvalgybos duomenų kokybė gali labai skirtis. Organizacijos turi patvirtinti duomenis ir užtikrinti, kad jie yra tikslūs ir patikimi.
• Kompetencijos trūkumas: Grėsmių žvalgybos integravimui su rizikos vertinimu reikalingi specializuoti įgūdžiai ir kompetencija. Organizacijoms gali tekti samdyti arba apmokyti darbuotojus šioms užduotims atlikti.
• Integracijos sudėtingumas: Grėsmių žvalgybos integravimas su esamais saugumo įrankiais ir procesais gali būti sudėtingas. Organizacijos turi investuoti į reikiamas technologijas ir infrastruktūrą.
• Kaina: Grėsmių žvalgybos kanalai ir įrankiai gali būti brangūs. Prieš investuodamos į šiuos išteklius, organizacijos turi atidžiai įvertinti išlaidas ir naudą.

Geriausios grėsmių žvalgybos integravimo su rizikos vertinimu praktikos

Norėdamos įveikti iššūkius ir maksimaliai padidinti grėsmių žvalgybos integravimo su rizikos vertinimu naudą, organizacijos turėtų laikytis šių geriausių praktikų:

• Nustatykite aiškius tikslus: Aiškiai apibrėžkite savo grėsmių žvalgybos programos tikslus ir kaip ji padės jūsų rizikos vertinimo procesui.
• Identifikuokite atitinkamus grėsmių žvalgybos šaltinius: Identifikuokite patikimus grėsmių žvalgybos šaltinius, kurie teikia duomenis, susijusius su jūsų organizacijos pramone, geografija ir technologijų rinkiniu. Apsvarstykite tiek atvirojo kodo, tiek komercinius šaltinius.
• Automatizuokite duomenų rinkimą ir analizę: Automatizuokite grėsmių žvalgybos duomenų rinkimą, apdorojimą ir analizę, kad sumažintumėte rankų darbą ir padidintumėte efektyvumą.
• Nustatykite prioritetus ir filtruokite duomenis: Įdiekite mechanizmus, skirtus grėsmių žvalgybos duomenims nustatyti prioritetus ir filtruoti pagal jų svarbą ir patikimumą.
• Integruokite grėsmių žvalgybą su esamais saugumo įrankiais: Integruokite grėsmių žvalgybą su esamais saugumo įrankiais, tokiais kaip SIEM sistemos, ugniasienės ir įsilaužimų aptikimo sistemos, kad automatizuotumėte grėsmių aptikimą ir reagavimą.
• Dalykitės grėsmių žvalgybos informacija viduje: Dalykitės grėsmių žvalgybos informacija su atitinkamomis suinteresuotosiomis šalimis organizacijoje, įskaitant saugumo analitikus, incidentų respondentus ir vadovybę.
• Sukurkite ir palaikykite grėsmių žvalgybos platformą: Apsvarstykite galimybę įdiegti grėsmių žvalgybos platformą (TIP), kad centralizuotumėte grėsmių žvalgybos duomenų rinkimą, analizę ir bendrinimą.
• Mokykite personalą: Mokykite darbuotojus, kaip naudoti grėsmių žvalgybą rizikos vertinimui ir saugumo sprendimų priėmimui pagerinti.
• Reguliariai peržiūrėkite ir atnaujinkite programą: Reguliariai peržiūrėkite ir atnaujinkite grėsmių žvalgybos programą, kad užtikrintumėte, jog ji išlieka veiksminga ir aktuali.
• Apsvarstykite valdomų saugumo paslaugų teikėją (MSSP): Jei vidiniai ištekliai yra riboti, apsvarstykite partnerystę su MSSP, kuris siūlo grėsmių žvalgybos paslaugas ir kompetenciją.

Įrankiai ir technologijos grėsmių žvalgybai ir rizikos vertinimui

Keletas įrankių ir technologijų gali padėti organizacijoms integruoti grėsmių žvalgybą su rizikos vertinimu:

• Grėsmių žvalgybos platformos (TIP): Centralizuoja grėsmių žvalgybos duomenų rinkimą, analizę ir bendrinimą. Pavyzdžiai: Anomali, ThreatConnect ir Recorded Future.
• Saugumo informacijos ir įvykių valdymo (SIEM) sistemos: Agreguoja ir analizuoja saugumo žurnalus iš įvairių šaltinių, kad aptiktų grėsmes ir į jas reaguotų. Pavyzdžiai: Splunk, IBM QRadar ir Microsoft Sentinel.
• Pažeidžiamumų skeneriai: Identifikuoja pažeidžiamumus sistemose ir programose. Pavyzdžiai: Nessus, Qualys ir Rapid7.
• Įsiskverbimo testavimo įrankiai: Imituoja realias atakas, kad nustatytų saugumo gynybos silpnąsias vietas. Pavyzdžiai: Metasploit ir Burp Suite.
• Grėsmių žvalgybos kanalai: Suteikia prieigą prie realaus laiko grėsmių žvalgybos duomenų iš įvairių šaltinių. Pavyzdžiai: AlienVault OTX, VirusTotal ir komerciniai grėsmių žvalgybos teikėjai.

Realaus pasaulio grėsmių žvalgyba pagrįsto rizikos vertinimo pavyzdžiai

Štai keletas realaus pasaulio pavyzdžių, kaip organizacijos naudoja grėsmių žvalgybą savo rizikos vertinimo procesams pagerinti:

• Pasaulinis bankas naudoja grėsmių žvalgybą, kad nustatytų sukčiavimo (phishing) kampanijų, nukreiptų prieš jo klientus, prioritetus. Tai leidžia jam proaktyviai įspėti klientus apie šias grėsmes ir įdiegti saugumo priemones jų sąskaitoms apsaugoti.
• Vyriausybinė agentūra naudoja grėsmių žvalgybą, kad identifikuotų ir sektų pažangias nuolatines grėsmes (APT), nukreiptas prieš jos kritinę infrastruktūrą. Tai leidžia jai sustiprinti gynybą ir užkirsti kelią atakoms.
• Gamybos įmonė naudoja grėsmių žvalgybą, kad įvertintų tiekimo grandinės atakų riziką. Tai leidžia jai identifikuoti ir sumažinti pažeidžiamumus savo tiekimo grandinėje ir apsaugoti savo veiklą.
• Mažmeninės prekybos įmonė naudoja grėsmių žvalgybą, kad nustatytų ir užkirstų kelią kreditinių kortelių sukčiavimui. Tai leidžia jai apsaugoti savo klientus ir sumažinti finansinius nuostolius.

Išvada

Integruoti grėsmių žvalgybą su rizikos vertinimu yra būtina norint sukurti proaktyvią ir atsparią saugumo būklę. Naudodamos grėsmių žvalgybą, organizacijos gali gauti išsamesnį grėsmių aplinkos supratimą, nustatyti saugumo pastangų prioritetus ir priimti labiau pagrįstus saugumo sprendimus. Nors integruojant grėsmių žvalgybą su rizikos vertinimu kyla iššūkių, nauda gerokai viršija išlaidas. Laikydamosi šiame vadove pateiktos geriausios praktikos, organizacijos gali sėkmingai integruoti grėsmių žvalgybą į savo rizikos vertinimo procesus ir pagerinti bendrą saugumo būklę. Grėsmių aplinkai nuolat kintant, grėsmių žvalgyba taps vis svarbesniu sėkmingos saugumo strategijos komponentu. Nelaukite kitos atakos; pradėkite integruoti grėsmių žvalgybą į savo rizikos vertinimą jau šiandien.

Papildomi ištekliai

• SANS institutas: https://www.sans.org
• NIST kibernetinio saugumo struktūra: https://www.nist.gov/cyberframework
• OWASP: https://owasp.org