Threat intelligence (данные о киберугрозах)

Threat intelligence (данные о киберугрозах) — это информация об актуальных угрозах и группировках киберпреступников, которая позволяет организациям изучить цели, тактику и инструменты злоумышленников и выстроить эффективную стратегию защиты от атак. Компании могут сами собирать данные о киберугрозах или заказывать информацию у сторонних поставщиков.

Виды данных о киберугрозах

Данные о киберугрозах можно условно разделить на три основных группы:

  • Тактические — техническая информация, например индикаторы компрометации.
  • Операционные — описание техник и процедур, которыми пользуются злоумышленники, а также их возможностей и преследуемых ими целей.
  • Стратегические — данные о рисках, связанных с конкретными угрозами.

Threat intelligence предоставляют в виде потоков сырых данных об угрозах или аналитических отчетов с выводами и рекомендациями.

Как работают с данными о киберугрозах

Threat intelligence собирают вручную или автоматически из разных источников, в том числе с конечных точек и других элементов инфраструктуры компании, из новостей и предоставляемых ИБ-компаниями потоков данных об угрозах, с интернет-сайтов и форумов, ресурсов даркнета и так далее. Собранную информацию анализируют и преобразуют в удобный для практического использования формат. Весь процесс работы с threat intelligence можно разделить на следующие этапы:

  1. Планирование— постановка задачи для программы или специалистов.
  2. Сбор и обработка данных— сбор информации об актуальных угрозах, а также очистка от дублирующих данных и приведение собранной информации к единому формату. Обработка необходима для оперативного поиска и извлечения конкретных данных.
  3. Анализ— изучение полученных данных, в том числе подозрительных файлов и программ, формирование гипотез и рекомендаций. На этапе анализа также выявляются недочеты методик сбора и обработки данных.
  4. Распространение— передача threat intelligence заинтересованным лицам, например специалистам внутри компании, если она собирала данные для себя, или клиентам, если организация выполняла заказ третьих лиц.
  5. Обратная связь— получение и учет реакции сотрудников или клиентов организации на предоставленную информацию.

Применение данных о киберугрозах

Threat intelligence может применяться на разных этапах защиты организации. В частности, ИБ-специалисты компании могут использовать эти данные для активного поиска угроз в инфраструктуре организации. Индикаторы компрометации позволяют усовершенствовать пассивные защитные инструменты, например обновить правила брандмауэра. Кроме того, данные об угрозах могут применяться для атрибуции при расследовании киберинцидентов.

Потоки данных Threat intelligence используются в различных решениях для обеспечения информационной безопасности, таких как SIEM и EDR-платформы, а также в шлюзах с имплементацией потоков данных о киберугрозах (Threat Intelligence Gateway, TIG).

Публикации на схожие темы