Threat Intelligence - Viden er magt og sikkerhed | SITS
Blog

Threat Intelligence - Viden er magt og sikkerhed

Når cyber angreb afvises af en virksomheds netværk, skyldes det samspillet mellem optimalt implementerede sikkerhedsløsninger og et sikkerhedsdriftsteam, der også er teknisk avanceret. Begge nyder godt af opdaterede oplysninger om angreb, sårbarheder og trendrapporter. Kilden til denne samlede information kaldes Threat Intelligence.
4 minutes

Threat Intelligence (TI), også kendt som Cyber Threat Intelligence (CTI), giver detaljerede og brugbare oplysninger til at hjælpe virksomheder og organisationer med at forebygge og bekæmpe cyber sikkerhedstrusler. TI omfatter detaljerede, brugbare trusselsoplysninger, som gør det muligt for sikkerhedsteams at handle proaktivt. TI kan bruges til at foretage kontrollerede og manuelle handlinger for at forhindre cyberangreb, før de finder sted. Desuden hjælper trusselsinformationerne med at detektere og reagere på angreb hurtigere.

Hvorfor er Threat Intelligence så vigtigt?

Kun med opdaterede og detaljerede oplysninger kan sikkerhedsløsninger, som f.eks. en endpoint detection and response-løsning (EDR), vide, hvilke områder af et virksomhedsnetværk der i øjeblikket er i angribernes fokus, før et angreb finder sted. Ud over EDR bruger NDR-, SIEM- eller XDR-løsninger også disse data til at forbedre deres forsvar.

Men god trusselsinformation er ikke kun vigtig for sikkerhedsløsninger. En virksomheds SOC-team og deres threat hunters bruger også de detaljerede oplysninger til direkte at identificere sårbarheder i virksomhedens netværk og iværksætte passende modforanstaltninger. Hvis en virksomhed benytter sig af et managed SOC-team, bruger dette team også threat intelligence.

Kilder til Threat Intelligence (TI)

Sikkerhedsanalytikere skaber threat intelligence ved at indsamle "rå" trusselsdata fra forskellige kilder. Derefter korrelerer og analyserer de disse data for at afdække tendenser, mønstre og relationer i forbindelse med faktiske eller potentielle trusler.

En platform, der giver sådanne oplysninger, er for eksempel AV-ATLAS. Den indeholder de analyserede trusselsdata, der er indsamlet af AV-TEST-eksperter og leveret af instituttets analysesystemer. Den grundlæggende version af platformen er gratis tilgængelig for alle og viser et imponerende udvalg af de tilgængelige TI-data. For virksomheder giver systemet også trusselsinformationsfeeds, der kan knyttes til sikkerhedsløsninger eller bruges af Threat Hunter med passende værktøjer.

Som Maik Morgenstern, CTO hos AV-TEST og selv threat hunter, påpeger: "God trusselsinformation, f.eks. i form af IoC - Indicators of Compromise - er essentiel for sikkerhedsløsninger og threat hunters, når de skal evaluere en potentiel hændelse. Ved hjælp af de TTP'er - Tactics, Techniques, and Procedures - der er indeholdt i TI, kan en forsvarsstrategi for IT-sikkerhed planlægges og implementeres på en pålidelig måde."

Andre kilder til trusselsinformation er CTI-rapporter, f.eks. fra AV-TEST, som beskriver sikkerhedslandskabet i korte tidsintervaller, i dette tilfælde ugentligt, og rapporterer om angrebskampagner fra APT-grupper. Men rapporter, der dækker lange tidsperioder, som Check Point Softwares 2023 Cyber Security Report, giver også vigtige trusselsoplysninger i et internationalt resumé. Rapporten identificerer tendenser, særligt sårbare sektorer, hyppigt anvendte angrebsværktøjer og -taktikker samt baggrundsinformation om netværks- og cloud-angreb. Mindre globalt fokuseret, men ikke mindre informativ, er den aktuelle AV-TEST-rapport "Cyber Incidents in Figures: The year 2023", som kan downloades gratis.

Hvad er der i Threat Intelligence?

Nogle af de tilgængelige trusselsinformationsfeeds har forskelligt indhold. Nogle af nøglekomponenterne er:

  • Trusler, der påvirker virksomheder: Dette involverer normalt aktuelle kampagner mod specifikke brancher, f.eks. deres supply chain, som er i fokus for angriberne, og den måde, hvorpå disse angreb udføres.
  • Trusselaktører: Baggrundsdata om APT-grupper og andre angribere kan bruges til at udvikle forsvarsstrategier baseret på deres tidligere handlinger.
  • TTP'er - Taktik, teknikker og procedurer: TTP giver oplysninger om teknikker og værktøjer, som angriberne bruger i deres kampagner.
  • IoC'er - Indicators of Compromise: Disse data identificerer signaler eller mistænkelige processer, der kan bruges til at opdage og identificere et cyberangreb.
  • Evaluerede datastrømme og filer: Fra et feed med farlige URL'er får en endpoint-sikkerhedsløsning f.eks. EDR. Baseret på opdaterede oplysninger forhindrer det virksomhedens medarbejdere i at tilgå farlige hjemmesider eller foretage downloads, der er klassificeret som farlige.
  • Sårbarhedsvurderinger: Oplysninger om nye sårbarheder, som der endnu ikke er patches til, men som der allerede findes en gennemgang af eller foreløbige beskyttelsesforanstaltninger for, f.eks. blokering af en netværksport eller nedgradering af brugerrettigheder.

De forskellige typer af Threat Intelligence

Eksperter opdeler ofte trusselsinformation i tre kategorier: strategisk, taktisk og operationel. Da disse klassifikationer ikke er standardiserede, varierer underpunkterne noget inden for kategorierne afhængigt af den ekspert, der arbejder med dem. De er typisk opdelt som følger:

  • Efterretninger om strategiske trusler: Denne analyse er meget kortfattet og henvender sig til ikke-eksperter, f.eks. bestyrelsesmedlemmer. Fokus er kun på truede områder. Analysen fokuserer også på aktuelle tendenser, som ofte stammer fra offentlige rapporter. Analysen er en slags risikobarometer.
  • Taktisk efterretning om trusler: De første praktiske skridt er allerede taget, og IoC'er bruges f.eks. til at kontrollere netværk og forhindre potentielle angreb. Oplysningerne kommer normalt via et TI- eller CTI-feed og behandles generelt automatisk.
  • Operationel efterretning om trusler: Denne del refererer til TI under og efter et angreb. Aktuelle oplysninger om angribernes taktik, teknikker og procedurer (TTP) evalueres og bruges. Men der skal også drages konklusioner, efter at angrebet er blevet forhindret, f.eks. om angrebsmål: Var angriberne ude efter specifikke data, og i så fald hvilke? Eller er angrebet muligvis kun en test af de enkelte forsvars mekanismer, og det egentlige angreb er stadig i vente?

Livscyklus for threat intelligence

  • Når sikkerhedseksperter taler om en cybertrussels livscyklus, mener de en opdeling i følgende "trusselsfaser":
  • Planlægning
  • Indsamling
  • Bearbejdning
  • Analyse
  • Formidling
  • Feedback

Denne proces er ikke en engangsforeteelse, men bør gennemløbes gentagne gange for at sikre et perfekt og omkostningseffektivt cyberforsvar.

I "Direction"-fasen er det vigtigt at opstille mål for threat intelligence, f.eks. hvilke dele af virksomheden der kræver særlig beskyttelse, og hvilke konsekvenser et angreb kan få.

I den anden fase, "Detection", defineres de data- og IT-områder, der blev identificeret som særligt udsatte i den første fase. I denne fase bør en virksomhed beslutte sig for datakilderne til sin fremtidige threat intelligence, f.eks. rapporter, blogs, CTI-feeds fra sikkerhedsudbydere eller metadata fra sit eget netværk, f.eks. fra EDR eller SIEM.

I den tredje fase, "Processing", skal det afklares, hvordan informationsstrømmen kan behandles på en praktisk gennemførlig måde. Kan tilgængelige systemer allerede behandle disse feeds direkte, og har SOC'en og threat hunterne de rigtige værktøjer?

Når dette er afklaret, går vi videre til fase 4, "Analyse". Her evaluerer vi oplysningerne og omdanner dem til praktisk anvendelige resultater. Resultaterne af denne analyse viser også tydeligt, om der stadig mangler vigtige sikkerhedsværktøjer, og om det nuværende sikkerhedsbudget er tilstrækkeligt.

Fase 5 og 6, "Distribution" og "Feedback", bruger de faktiske resultater af livscyklussen for trusselsinformation. Konklusionerne skal implementeres i de forskellige teams i en virksomhed, f.eks. SOC og den traditionelle it-afdeling. Virksomhedens ledelsen bør dog også være involveret i disse faser. I feedbackfasen skal de ansvarlige afdelinger og projektledere sikre, at alle faser er blevet implementeret på en måde, der giver mening i forhold til sikkerhedskrav og -mål.

Newer
Category Tags
AI Assessment & Advisory Cloud Platform Security Cyber Defense Identity & Access Management NIS2 Optional Security & IT Solutions
Solutions
Cyber Threat Intelligence
Data, intelligens, indsigt – det uvurderlige våben i kat-og-mus-spillet cybersikkerhed. Vær på forkant med angribere ved at identificere trusler, lækager, identitetstyveri og andre eksterne farer proaktivt, før de bliver til reelle problemer.
Learn more
Cyber Defense
Virksomheder skal beskytte sig mod adskillige nye former for angreb – og i nogle tilfælde i helt nye sektorer: Hybride arbejdsmodeller og de utallige cloudtjenester er foretrukne mål for hackere. Og manglen på kvalificerede it-specialister har desuden gjort forsvaret mere udfordrende.
Learn more
Cyber Defense
06. september 2024
Threat Intelligence - Viden er magt og sikkerhed
Learn more
AI
16. april 2024
Afværgelse af AI-angreb: Sådan beskytter man data og systemer
Learn more
Assessment & Advisory
15. april 2024
ISO 27001-certificering uden forsinkelse
Learn more
Assessment & Advisory
10. april 2024
Managed Services for at imødegå manglen på arbejdskraft
Learn more
Security & IT Solutions
09. april 2024
Workload Security med SASE, sådan fungerer det
Learn more
Cloud Platform Security
09. april 2024
DevOps-sikkerhed: Stresstest for kultur og teknologi
Learn more
Identity & Access Management
05. april 2024
Biometri - bedre sikkerhed uden adgangskoder?
Learn more
Cyber Defense
05. april 2024
Threat Intelligence - Viden er magt og sikkerhed
Learn more
NIS2
05. april 2024
NIS2 & ISO/IEC 27001:2022: Nye kontroller for at opfylde begge standarder
Learn more
Identity & Access Management
05. april 2024
Hvordan Privileged Access Management øger sikkerheden
Learn more
Assessment & Advisory
05. april 2024
Meta-Titel: vCISO - mere it-sikkerhed gennem brugertilpasset support
Learn more
AI
03. april 2024
AI fra Microsoft: Er din virksomhed Copilot Ready?
Learn more
NIS2
02. april 2024
NIS2 & Risk Management: Er cyberrisici virkelig håndterbare?
Learn more
Cloud Platform Security
28. marts 2024
Beskyttende skjold til dine skyplatforme: Tips, tricks, faldgruber
Learn more
Assessment & Advisory
28. marts 2024
Sikkerheds-allrounderen CISO: Outsource eller ansætte dig selv?
Learn more
Cyber Defense
28. marts 2024
Håndtering af cybersikkerhedsrisici i industriel IoT og OT
Learn more
Vi er her for dig
Udfyld formularen og vores eksperter kontakter dig.
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.