仕事をすることで、クライアントとの会話に参加することがよくあります。 サイバーセキュリティ、彼らのプログラム、セキュリティの意味と組織でのセキュリティの実装方法に関する理解。
さまざまなテーマの中で、特に繰り返されるテーマのXNUMXつは、 サイバー脅威インテリジェンス.
市場に出てからXNUMX〜XNUMX年になりますが、攻撃する前、または最悪の場合、侵害の兆候が現れるとすぐに、関心のある攻撃者を特定するための聖杯と見なされることがよくあります。 終点 またはネットワーク。
インテリジェンスの簡単な定義(特定の証拠に基づく予測情報の精緻化)から始めて、重要なCTIへの投資でさえゼロリターンを防ぐ方法を軍の世界から学びましょう。
軍事環境では、情報収集フェーズの前に、非常に重要で過小評価されることが多い別のフェーズがあります。計画と方向性では、コマンド機関が自らの決定に必要と思われる情報の目的を定義します。
これは、コレクションがそれ自体または広い範囲の目的ではなく、非常に的を絞って焦点を絞ったものにするためです。 2500年前、すでに有名な中国の軍事戦略家である孫子が、敵と自分をこの順序で知ることを勧めました。
あなた自身を知っている これは、デジタル生物多様性がどのように構成されているかを正確かつ完全に可視化することを意味します。リソースの場所、リソースの種類(モバイル要素、サーバー、クラウドリソース、アプリケーションコンテナー、Webアプリケーションなど)。
次に、その可観測性を定義します。ユースケースに基づいて、デジタル環境のメタデータからアクセス可能な情報を断片化して再構築し、集約して詳細化し、調査して抽象化することは可能ですか?
また、IT期間のインベントリを作成したら、リソースに重要度レベルを割り当てるのはどのくらい簡単ですか。
これはあなた自身を知ることを意味します、そしてそれは 条件付きサイン CTIを消費する方法を定義する敵を知ることを進めるために。
軍事分野では、処理、情報の生成、配布のXNUMXつのフェーズに分けられます。 CTIサプライヤとはほとんどまたはまったく関係がないが、予算とフィードの品質の両方の点で非常に有望なプロジェクトが失敗することがよくあるXNUMXつのフェーズ。
L '処理 それは、フィード情報を分類し、それらを相互に、そしてサードパーティの情報と相関させ、その重要性を評価する能力に関係しています。 スピード、敏捷性、ダイナミズムは価値を生み出すための重要な特性であるため、この能力は存在し、場合によっては独自のリソースで行使する必要があります。
La 情報制作 正規化されたメタデータの分析のおかげで、前のフェーズで修飾されたものをさらに拡張し、不均一なデータを使用可能な情報に変換します。
の消費サイクルを完了する サイバー脅威 インテリジェンスの段階 開示、これは、可能な限り多くのプロセスをサポートするために、再作成された情報の配布で構成されます。
これらの最後のXNUMXつのフェーズでは、情報の潜在的なユーザーに関する深い知識と、変換をサポートする技術プラットフォームが必要です。
最後に、XNUMXつの可能なタイプを理解するのに役立ちます サイバー脅威インテリジェンス これは、収集操作を特徴付けるものであり、以下で説明するプロセスで分類および消費モデルを事前に設定し、情報の陳腐化の程度を判断します。
最初のタイプは 戦略的CTI:通常は数年の期間を持つ分析と情報で構成され、特定の攻撃者との関係で誰が、なぜかということに焦点を当てています。
通常、技術者以外の対象者向けに開発され、被害者の人口統計の分析、巨視的な攻撃キャンペーンに基づいており、攻撃グループと動機(ハクティビズム、金融、政治、州が後援)の分類を目的としています。 さまざまな分類があります。たとえば、動機とプログレッシブ番号を含む頭字語に基づいてMandiant(FireEyeグループの一部)によって提供されるものです。APTはAdvanced Persistent Threat、FINはFinancialなどです。
XNUMX番目のタイプは 運用CTI、方法と場所を公開することに焦点を当てました。 技術ユーザーと非技術ユーザーの両方のために開発され、攻撃を実行するために使用されるツール、技術、手順(またはTTP)などの要素について説明します。
永続性、使用される通信技術、方法論とルールの説明などの特徴的な特性を示します。
たとえば、マルウェアファミリのソーシャルエンジニアリング手法や手口を示しています。
XNUMX番目のタイプは CTI戦術、これは最も消化しやすい形態と、消費に必要な成熟度が低い形態の両方を表しています。 技術的な対象者を対象として、セキュリティイベント、マルウェアの例、またはフィッシングメールについて説明します。
マルウェアを認識するための署名と、IP、ドメイン、ファイルハッシュなどの攻撃または侵害の兆候(IoA、IoC)が含まれます。これらは簡単に実装して、境界を引き上げ、監視と応答の防御を行い、試行をブロックしたり、侵害の状況を緩和したりできます。
XNUMXつのフォームを完全に使用することが、予算よりも必要な問題であることが多い場合、これらXNUMXつの条件が満たされていても、問題は別のものになります。
好意的なプロセスは、「サイロ」として機能してはならないXNUMXつの異なるフィードレベルの結果間の相互調整につながる必要があります。戦略レベルのフィードは、運用レベルおよび戦術レベルでの情報検索をガイドおよび改善するために使用できます。 同様に、戦術レベルでの特定のインテリジェンスの調査結果は、戦略レベルの調査の情報目的を再定義するのに役立ちます。
この状況は、技術管理レベルと戦略レベルの間のコミュニケーションスキルの欠如によって悪化することがあり、明確で共有された目標の定義に影響を与える計画および管理フェーズに直接影響します。 したがって、冗長なシステムやテクノロジーの費用を優先して、または特定の問題の解決にのみ役立つように、価値全体を汚染します。
次に、この簡単な分析をXNUMXつの質問で締めくくります。これは、CTIのどのタイプ、フィード、またはサプライヤがあなたに適しているかを理解するのに役立ちます。
CTIコレクションがサポートする目的は明確で、内容と境界が明確に定義されていますか?
XNUMX種類のCTIを消費する機能は何ですか。 時間の経過とともに、この応答は進化および拡大する可能性があります
CTIを具体的で価値を生み出す方法で消費するためのリソースと専門性のレベルは、十分な手段で利用できますか?
軍隊のように、 サイバーセキュリティ これらのXNUMXつの質問に対する正直な答えは、CTIの必要性と性質を限定するので、孫子を言い換えると、 自分を敵として知っていても、百戦の最中でも危険にさらされることはありません.
