Cyber Threat Intelligence (CTI) представлява процесът на събиране, анализ и интерпретация на информация относно потенциални и реални киберзаплахи, за да се подпомогне вземането на информирани решения за сигурността на дадена организация. Този подход позволява на компаниите да разпознават, разбират и противодействат на заплахите, преди те да причинят щети.
Услугите за разузнаване на киберзаплахи (CTI), съгласно ISO 27002:2022, се фокусират върху събирането, анализирането и разпространението на информация за текущи и потенциални киберзаплахи. Това включва разбиране на участниците в заплахите, техните тактики, техники и процедури (TTP), както и идентифициране на уязвимости в системите на организацията. Целта е да се подобри състоянието на сигурността на организацията чрез предоставяне на приложима информация, която да подпомогне процеса на вземане на информирани решения за управление на риска и стратегиите за реакция при инциденти. CTI трябва да бъде интегриран в цялостната система за управление на информационната сигурност (ISMS) и непрекъснато да се преглежда и актуализира, за да се адаптира към променящия се пейзаж на заплахите.
Какви са изискванията за съответствие за Threat Intelligence в ISO27001:2022 и МИС2?
Съгласно ISO27001:2022, клауза 5.7 – Разузнаване на заплахите, информацията, свързана със заплахите за информационната сигурност, трябва да се събира и анализира от организациите, за да се получи разузнаване на заплахи. Този анализ трябва да доведе до проактивен контрол и мерки за смекчаване, които предотвратяват възникването на рискове и инциденти за киберсигурността.
Съгласно Директивата за Мрежова и информационна сигурност 2 (МИС2):
Обменът на информация се извършва в рамките на общностите на основните и важни субекти и, когато е приложимо, на техните доставчици или доставчици на услуги. Този обмен се осъществява чрез споразумения за обмен на информация за киберсигурност с оглед на потенциално чувствителния характер на споделената информация.
Клауза #119 – Тъй като киберзаплахите стават все по-сложни и усъвършенствани, доброто откриване на такива заплахи и мерките за тяхното предотвратяване зависят до голяма степен от редовното споделяне на информация за заплахи и уязвимости между субектите. Споделянето на информация допринася за повишена осведоменост за киберзаплахите, което от своя страна подобрява капацитета на субектите да предотвратяват материализирането на такива заплахи в инциденти и позволява на субектите да контролират по-добре ефектите от инциденти и да се възстановяват по-ефективно.Клауза #59 Комисията, ENISA и държавите членки следва да продължат да насърчават привеждането в съответствие с международните стандарти и съществуващите най-добри практики в индустрията в областта на управлението на риска за киберсигурността, например в областите на оценки на сигурността на веригата за доставки, споделяне на информация и разкриване на уязвимости.
Член 29 Споразумения за споделяне на информация за киберсигурността
Държавите членки гарантират, че субектите, попадащи в обхвата на настоящата директива и, когато е уместно, други субекти, които не попадат в обхвата на настоящата директива, могат да обменят на доброволна основа помежду си подходяща информация за киберсигурността, включително информация, свързана с киберзаплахи, близки инциденти, уязвимости, техники и процедури, индикатори за компрометиране, противопоставящи се тактики, специфична за заплахата информация, предупреждения за киберсигурност и препоръки относно конфигуриране на инструменти за киберсигурност за откриване на кибератаки, когато такова споделяне на информация :
- (a) има за цел предотвратяване, откриване, реагиране или възстановяване след инциденти или смекчаване на тяхното въздействие;
- (б) повишава нивото на киберсигурност, по-специално чрез повишаване на осведомеността по отношение на киберзаплахите, ограничаване или възпрепятстване на способността на такива заплахи да се разпространяват, поддържане на набор от защитни способности, коригиране и разкриване на уязвимости, откриване на заплахи, техники за ограничаване и предотвратяване, стратегии за смекчаване или етапи на реагиране и възстановяване или насърчаване на съвместни изследвания на Кибер заплахи между публични и частни субекти.
Какво е услуга за разузнаване на киберзаплахи и защо ви е необходима?
Услугата Cyber Threat Intelligence (CTI) от ISCS е знанието, което ви позволява да предотвратите или смекчите кибератаките чрез изучаване на данните за заплахите и предоставяне на информация за противниците. Това ви помага да идентифицирате, подготвите и предотвратите атаки, като предоставя информация за нападателите, техните мотиви и възможности.
Cyber Threat Intelligence подготвя организациите да бъдат проактивни и могат да реагират на заплахи преди те да се реализират, вместо да реагират в последствие на вече реализирани кибератаки. Без разбиране на уязвимостите в сигурността, индикаторите за заплахи и как се изпълняват заплахите е невъзможно да се борим ефективно с кибератаките. Чрез използването на нашата услуга за разузнаване на киберзаплахи (CTI) можете да предотвратите и ограничите атаките по-бързо, лесно и ефективно, като потенциално спестявате разходи в случай на кибератаки. Разузнаването на заплахите може да повиши корпоративната сигурност на всяко ниво, включително мрежова и облачна сигурност.
Какви са видовете Threat Intelligence?
Има различни видове разузнаване за заплахи, от високо ниво и нетехническа информация до технически подробности за конкретни атаки, например:
Стратегическо разузнаване (Strategic Intelligence)
Стратегическото разузнаване на заплахи е информация от високо ниво, която поставя заплахата в контекст. Това е нетехническа информация, която една организация може да представи на борда на директорите или на висшето ръководство. Пример за стратегическо разузнаване на заплахи е анализът на риска за това как дадено бизнес решение може да направи организацията уязвима на кибератаки. Осигурява високонаучен и бизнес-ориентиран анализ на тенденциите в киберзаплахите и потенциалните рискове за индустрията. Включва информация за геополитически заплахи, регулаторни промени и значими киберинциденти
Тактически (Tactical Intelligence)
Тактическото разузнаване на заплахите включва подробности за това как заплахите се изпълняват и възможности за защита срещу тях, включително вектори на атаки, инструменти и инфраструктури, които нападателите използват, типове бизнеси или технологии, към които са насочени, и стратегии за избягване. Освен това помага на организацията да разбере колко вероятно е да бъде мишена за различни видове атаки.
Оперативно (Operational Intelligence)
Оперативното разузнаване на киберзаплахи е информация, която ИТ отделите могат да използват като част от активното управление на заплахи, за да предприемат действия срещу конкретна атака. Това е информация за намерението зад атаката, както и естеството и времето на атаката. Включва анализ на конкретни хакерски групи, зловреден софтуер, инфраструктура за атаки и връзки между различни заплахи. Полезно за екипи по сигурност и експерти по разузнаване на заплахите
Технически (Technical Intelligence)
Разузнаването на техническите заплахи е специфично доказателство, че се случва атака или индикатори за компрометиране (IoC). Някои инструменти за разузнаване на заплахи използват изкуствен интелект, за да сканират за тези индикатори, които могат да включват имейл съдържание от фишинг кампании, предварителни постоянни заплахи (APT), IP адреси на инфраструктури или артефакти от известни образци на зловреден софтуер. Често е използвано в автоматизирани системи за засичане и предотвратяване на заплахи
Какво е бъдещето на разузнаването на заплахи?
Компаниите, въпреки че продължават да инвестират щедро в своите решения за киберсигурност, остават податливи на кибератаки и това е сигнал, който ни помага да осъзнаем, че традиционният подход за киберсигурност трябва да бъде заменен с нови и ефективни решения, едно от които е разузнаването на киберзаплахите (CTI) – проактивен подход към прогнозния анализ.
Според Grand View Research, търсенето на разузнаване на заплахите се увеличава поради нарастването на кибернетичните заплахи, пробиви в сигурността и сложни атаки във водещи сектори, загрижени за сигурността. Освен това, нарушенията в повечето организации имат финансов или шпионски мотив, което води до прекъсване на бизнеса и се е превърнало в основна грижа за тях, което се очаква да допринесе изключително много за търсенето на решения и услуги за разузнаване на заплахи. Очаква се размерът на глобалния пазар за разузнаване на заплахи да достигне 36,53 милиарда щатски долара до 2030 г., регистрирайки CAGR от 14,7% от 2024 до 2030 г., според ново проучване на Grand View Research Inc.
Какво прави услугата ISCS Cyber Threat Intelligence?
Услугата ISCS Cyber Threat Intelligence помага на организации с ценни познания за тези заплахи, да изградят ефективни защитни механизми и да намалят рисковете, които биха могли да причинят финансови и репутационни щети. Разузнаването на заплахите е способност за предсказуемата защита срещу бъдещи атаки, на които е изложена организацията, така че да може проактивно да приспособи своите защити и да предотврати бъдещи атаки.
ISCS ви предоставя месечни бюлетини на 1-я ден от месеца.
Услугата за разузнаване на кибернетични заплахи се категоризира главно като стратегическа, тактическа, техническа и оперативна. Тези четири основни глави предоставят обширната информация, от която се нуждаете, за да вземете проактивно информативно решение. ISCS прилага AI, за да ви предостави най-цялостната услуга на пазара с минимална месечна такса. Нашият екип за разузнаване на киберзаплахи се фокусира върху предоставянето на ценна и ефективна информация според вашите нужди, за да се съобрази с различните рамки за съответствие. Предложението за стойност на нашата CTI услуга е огромно в сравнение с другите инструменти на пазара.
Нашите месечни бюлетини за разузнаване на киберзаплахи съдържат приложими данни, които можете да използвате, за да създадете:
- План за действие
- Включите необходимите хора, след като сте наясно кои служители се нуждаят от тези данни за разузнаване на киберзаплахи
- Разберете разликата между Threat Data (преди анализаторите) и Threat Intelligence (след ваш собствен анализ и преценка според вашите специфики на бизнес среда)
- Комуникирайте с висшето ръководство, ако е необходимо
- Приложити правилните TTP (инструменти, техники и процедури)
- Интегриране с технологията за сигурност на организацията
- Автоматичен анализ на уязвимости, заплахи и нови тенденции в киберсигурността
- По-задълбочено разбиране на динамичния ландшафт на киберсигурността и най-актуалните заплахи
- Пълноценни разговори с вашите колеги и заинтересовани страни
- Бъдете в крак с най-новите тенденции в киберсигурността!
Ако имате нужда от повече информация, пишете ни във формата за контакт.