Tactical Threat Intelligence: Co to je a praktické případy použití

Digitální technologie se nadále stávají ústředním prvkem každého odvětví, a tím podporují větší propojení, automatizaci a potenciál pro rozvoj. Zároveň však zvyšují hrozbu kybernetických útoků, což nutí bezpečnostní experty, aby se přizpůsobili.

Zde přichází na řadu zpravodajství o hrozbách. Ta umožňuje dodavatelům bezpečnostních řešení modernizovat své portfolio, aby mohli lépe minimalizovat kybernetické útoky nebo jim předcházet díky včasným údajům o hrozbách - o nebezpečných útočnících, jejich schopnostech, motivaci, záměrech a o tom, na jaké indikátory se zaměřit, abyste mohli přijímat dobře informovaná rozhodnutí týkající se bezpečnosti vašich zákazníků.

V posledních letech došlo k posunu směrem k rozhodování založenému na datech. Nástroje založené na zpravodajství o hrozbách pomáhají organizacím shromažďovat a analyzovat obrovské množství dat, která poskytují cenné informace o rizicích a způsobech jejich omezování. Podíváme se na to, co je threat intelligence, na některé osvědčené postupy a praktické případy využití pro firmy, které chtějí posílit své produkty a služby.

Co je to taktické zpravodajství o hrozbách?

Vektory hrozeb se neustále rozšiřují, což představuje velkou zátěž pro bezpečnostní týmy, které se potýkají s riziky lidského faktoru i technických poruch.

Situaci dále komplikuje skutečnost, že členové bezpečnostních týmů v mnoha malých a středně velkých podnicích jsou relativně nezkušení. Nedávné studie například ukazují, že 57 % bezpečnostních vývojářů má méně než pět let pracovních zkušeností ve svém oboru. Tento nedostatek zkušeností, pokud jde o bezpečnostní problematiku, se může ukázat jako překážka při identifikaci nových hrozeb, které se neustále vyvíjejí.

Kybernetická bezpečnost musí být mnohovrstevnou strategií, která zahrnuje úsilí na technické i politické úrovni. Taktické zpravodajství o hrozbách pomáhá v tomto úsilí tím, že poskytuje informace o nejnovějších hrozbách v reálném čase. Jejím cílem je pomoci obráncům pochopit, jakým způsobem může být jejich společnost napadena, aby mohli určit, zda jsou zavedeny vhodné identifikační a omezující mechanismy k zabránění napadení.

Na rozdíl od strategického zpravodajství o hrozbách, je taktické zpravodajství o hrozbách určeno především pro technické publikum. Konkrétně je tactical threat intelligence užitečná pro pracovníky, kteří se výslovně podílejí na obraně organizace, jako jsou správci systémů a jejich architekti. Hraje také roli při rozhodování o bezpečnosti na vyšší úrovni, které má zásadní význam pro bezpečnost i odolnost podnikových bezpečnostních systémů a strategií.

Vzhledem k tomu, že aktéři hrozeb často mění své taktiky a techniky, taktické zpravodajské informace o hrozbách se obvykle shromažďují během běžných zpravodajských operací, nikoli na vyžádání. A přestože jsou zpravodajské informace o hrozbách ústředním prvkem monitorovacích řešení, konkrétní požadavky pro různá použití se liší kontextem, obsahem, rychlostí, kvalitou a podporou.

Zde je několik případů použití, které vám pomohou lépe pochopit nejefektivnější řešení taktického threat intelligence pro vaši firmu. Tyto případy použití mohou sloužit jako plán, který vám pomůže rychle dosáhnout vašich cílů a zároveň zabránit běžným nástrahám.

Příklady použití zpravodajství o hrozbách

Rozšíření firewallů nové generace

Firewally nové generace (NGFW) identifikují sofistikované útoky a zabraňují jim tím, že vynucují zásady ochrany na úrovni aplikací, protokolů a portů. Poskytovatelé zahrnují webové reputační a klasifikační kanály, aby získali úplnou kontrolu a přehled nad veškerým provozem na okrajových zařízeních, u nichž se s rostoucí popularitou zvyšuje riziko napadení.

Dodavatelé NGFW mohou klientům nabídnout vyšší bezpečnost a umožnit jim kontrolovat, jak jejich uživatelé přistupují k webu. To naznačuje bezprecedentní zabezpečení proti širšímu spektru regulačních, právních a právních problémů, a problémů s dodržováním předpisů a produktivitou.

Správně provedené řešení může zvýšit využití zdrojů a produktivitu s okamžitou dobou návratnosti díky snadné integraci. Můžete jej také poskytovat jako upsellovou službu předplatného zabezpečení, což může vést k navýšení příjmů.

Rozšíření působnosti systémů pro prevenci vniknutí do systému

Systém prevence napadení (IPS) aktivně analyzuje a provádí automatické akce na základě toku dat, která vstupují do sítě, aby identifikoval a zablokoval útoky. Jako doplněk šifrovacích protokolů mohou poskytovatelé IPS zahrnout do svých řešení akční informace o hrozbách phishingu, spamu, škodlivých webových stránkách, botnetech a podobných útocích, aby ochránili komunikaci a odlišili svá řešení.

Dodavatelé IPS mohou svá řešení odlišit komplexním pokrytím a přidanou ochranou proti řadě hrozeb v oblasti produktivity, regulace, práva a využití zdrojů. Pokud si vyberete správné řešení pro sledování hrozeb, můžete integrovat nové služby, zvýšit spokojenost zákazníků a nakonec i příjmy.

Zvýšení počtu bran pro filtrování webu

Brány spojují různé bezpečnostní služby do jednotné platformy, a zajišťují bezpečnost prostřednictvím filtrování odchozích webových stránek, bez ohledu na velikost organizace. Včasná a přesná reputace IP adres a klasifikace webu přispívají k rozšířenému a vždy aktualizovanému pokrytí pro různé případy použití.

Průběžně aktualizovaná data zajišťují jak aktuálnost, tak přesnost. Protože brány nabízejí různé bezpečnostní služby, zákazníci získávají lepší ochranu díky filtrování webu na bráně a rozšířeným funkcím IPS a firewallu.

Vylepšení řešení ADC

Zařízení ADC (Application Delivery Controller) jsou určena ke zvýšení bezpečnosti, výkonu a odolnosti aplikací poskytovaných prostřednictvím internetu. Dodavatelé ADC využívají služby pro reputaci IP, aby zjistili a zabránili škodlivým aktivitám dříve, než se dostanou do sítě. Včasnost a přesnost jsou zásadní.

Výběrem vhodného taktického řešení pro sledování hrozeb se vaše společnost odliší od konkurence. Pokud svým klientům poskytnete optimalizované zabezpečení proti různým škodlivým IP adresám na základě aktualizací v reálném čase, je vaše nabídka efektivnější než jednoduché ADC, které využívá statické seznamy. Vaši zákazníci z toho samozřejmě mají přímé výhody v podobě další obranné vrstvy, lepší dostupnosti a výkonu aplikací a rozšířeného výkonu datového centra.

Zabezpečené bezdrátové přístupové body

Bezdrátový přístupový bod (WAP) umožňuje Wi-Fi zařízením připojit se ke kabelovým sítím. Dodavatel WAP zahrnuje služby reputace webu/IP a klasifikace webu pro filtrování obsahu, aby identifikoval a zabránil škodlivým aktivitám dříve, než se dostanou do sítě. Webová reputace/klasifikace může dodavatelům pomoci odlišit jejich řešení na ořeplněném trhu, a zároveň zvýšit bezpečnost zákazníků.

Včasná a přesná webová reputace a klasifikace umožňují ochranu před riziky souvisejícími s internetem v reálném čase, zatímco inteligentní ukládání do mezipaměti zabraňuje problémům s výkonem. Rozsáhlé pokrytí adres URL a domén navíc umožňuje snadné přizpůsobení jedinečným požadavkům klientů.

Závěr

Ačkoli každý případ použití vyžaduje určitou kombinaci schopností, které splňují různé požadavky, některé společné rysy jsou součástí seznamu silných stránek každého poskytovatele taktických zpravodajských informací o hrozbách. Nejdůležitější je přesnost a poskytovatelé by měli nabízet široké pokrytí zřídka a nově navštěvovaných stránek a oblíbených webů, aby jim nic neuniklo. Zásadní je také včasnost. Požadavky je třeba obsluhovat v reálném čase, což znamená, že databáze zpravodajských informací o hrozbách by měla být neustále aktualizována, přičemž novinky by měly být trvale přidávány a zastaralé záznamy pravidelně odstraňovány podle obsažených TTL (time-to-live).

Taktické zpravodajství o hrozbách zajišťuje transparentnost a nabízí různé výhody jak pro osoby s rozhodovací pravomocí v oblasti bezpečnosti, tak pro bezpečnostní pracovníky v první linii. Pro dosažení maximální hodnoty by měla být začleněna do rozsáhlé strategie zpravodajství o hrozbách jako součást širší, mnohostranné bezpečnostní strategie.