Scoprite
Blog
Supporto

Condivisione dell'intelligence sulle minacce

L'arma segreta della sicurezza informatica.

Chi condivide le informazioni sulle minacce?

Esistono molti modi per trarre valore dalla threat intelligence, attraverso una piattaforma completa di threat intelligence, inserendo feed sulle minacce o semplicemente sfruttando le funzionalità di threat intelligence presenti nei comuni strumenti di sicurezza. Uno dei modi meno utilizzati per trarre vantaggio dalla threat intelligence è condividere queste informazioni con altri gruppi, il che aiuta a ridurre i tempi di risposta agli eventi e ad adottare misure preventive.

Le iniziative incentrate sul settore e guidate dai governi hanno portato a un notevole aumento della condivisione delle informazioni sulle minacce tra governi, organizzazioni private e industrie. Alcune di queste includono Information Sharing and Analysis Centers (ISAC), Information Sharing and Analysis Organizations (ISAO), gruppi di settore, holding e altre comunità di condivisione di informazioni sulle minacce che cercano di promuovere una collaborazione sicura:

Quali sono i tipi di condivisione delle informazioni sulle minacce?

Esistono due tipi di condivisione, ciascuno definito da chi condivide le informazioni.

Condivisione unidirezionale delle informazioni sulle minacce

Un'entità produce e condivide informazioni sulle minacce che altre utilizzano e chi le consuma non contribuisce in cambio. Esempi di condivisione unidirezionale di informazioni sulle minacce includono:

Intelligenza open source, che potrebbe comportare l'acquisizione di un feed di intelligence sulle minacce open source o il download di un rapporto disponibile al pubblico relativo a un attacco recente che contiene indicatori e metodi utilizzati.
Report e feed di origine chiusa

Condivisione bidirezionale delle informazioni sulle minacce

L'intelligenza viene inviata per essere consumata, ma può anche essere assimilata dalle organizzazioni membri. Sebbene la condivisione sia consentita e incoraggiata in questi programmi, non vi è alcuna garanzia che tutte le organizzazioni condividano qualcosa.

Preoccupazioni relative alla condivisione delle informazioni sulle minacce

Sebbene la threat intelligence sia indubbiamente preziosa, ci sono alcune preoccupazioni comuni che impediscono alle organizzazioni di impegnarsi nella condivisione:

Preoccupazioni in materia di privacy e responsabilità

Questi possono essere superati attraverso una percezione più accurata della condivisione delle informazioni, delle clausole protettive negli accordi legali, della legislazione recente o dell'attenzione a ciò che viene condiviso.
  • È una buona idea eliminare i dati alla ricerca di informazioni private o aziendali sensibili prima della condivisione, indipendentemente dal tipo di condivisione in questione.
  • Le Legge sulla condivisione delle informazioni sulla sicurezza informatica del 2015 (CISA) prevede disposizioni per rispondere alle preoccupazioni relative alla privacy e alla responsabilità. Alcune di queste protezioni sono subordinate al rispetto di determinate clausole. Come sempre, si consiglia vivamente di fornire una consulenza legale adeguata per comprendere come la CISA possa applicarsi a situazioni specifiche.

«Non c'è niente di valore da contribuire»

Questi possono essere superati attraverso una percezione più accurata della condivisione delle informazioni, delle clausole protettive negli accordi legali, della legislazione recente o dell'attenzione a ciò che viene condiviso.

Mancanza di esperienza

Anche se non sei un professionista qualificato, aggiungere qualsiasi contesto, i dettagli degli attacchi osservati e, se possibile, l'analisi sviluppata da chi fa parte del personale è comunque vantaggioso per la comunità.

Paura di rivelare che un'organizzazione è stata violata

Il timore di condividere i dettagli delle violazioni in modo più ampio rispetto alle entità assolutamente necessarie è comune, ma può essere risolto seguendo le migliori pratiche durante la condivisione.

Passaggi per iniziare a condividere le informazioni sulle minacce

Se la tua organizzazione sta già condividendo attivamente informazioni o non ha ancora iniziato a farlo, ecco alcuni suggerimenti su dove iniziare o su come migliorare la condivisione che sta già avvenendo:

Strumenti e community

Scegli gli strumenti e le community appropriati per condividere le informazioni sulle minacce. Le opzioni possibili sono:
  • Email, che è il punto di partenza più semplice
  • Strumenti come Anomali STAXX, una soluzione gratuita offerta da Anomali che supporta la condivisione degli indicatori tramite STIX e TAXII
  • ISAC e altre organizzazioni del settore, che normalmente dispongono di meccanismi di condivisione
  • Condivisione ad hoc con enti locali o partner di altri settori
  • Anomali ThreatStream gli utenti dispongono già di una soluzione molto solida per condividere indicatori e altre informazioni con altre organizzazioni o creare le proprie comunità di condivisione

Condividi e contribuisci

La condivisione dei comportamenti avversari osservati, del contesto aggiuntivo, degli attacchi rilevati o dei dettagli della risposta agli incidenti sono ottimi punti di partenza. Non preoccuparti se non c'è molto in termini di analisi da aggiungere a ciò che viene condiviso inizialmente.

Condividi all'esterno della tua verticale

Cerca opportunità da condividere con organizzazioni esterne al tuo settore verticale, comprese entità localizzate come Fusion Centers. Come sempre, si consiglia vivamente di lavorare a stretto contatto con i team legali/avvocati per redigere accordi appropriati per facilitare la condivisione tra le entità.

Condividi tecniche di caccia e difesa

Più condividiamo, più diventa difficile per i cattivi. Valuta la possibilità di condividere:
  • Dettagli sulla ricerca delle minacce come ricerche, voci di registro specifiche, ecc.
  • Tecniche o regole di difesa efficaci come regole YARA, firme sniffate, regole Bro e script.

Condividi i dettagli della violazione

Divulgare rapidamente i dettagli della violazione potrebbe fare la differenza se qualcun altro subisce una violazione e sia in grado di fermarla rapidamente. Inoltre, potrebbe fornire molta assistenza in termini di informazioni aggiuntive e risposte più rapide alle sfide di risposta agli incidenti grazie alle risorse aggiuntive di altre organizzazioni.

Vuoi saperne di più sulla condivisione delle informazioni sulle minacce?

Scarica il white paper per saperne di più sulla condivisione al di fuori dei settori verticali, sulla condivisione di informazioni mirate, ecc.

Read it Now

Scopri di più sulla condivisione della Threat Intelligence

Webinar

Insights for CISOs: Threat Intelligence | Frost & Sullivan and Anomali

Guarda il webinar

Webinar

Threat Intelligence Sharing: Together Everyone Achieves More

Guarda il webinar

Webinar

Detect LIVE April 22 – Intelligence Sharing: The Key to Stopping Breaches Is Teaming Up

Guarda il webinar

Webinar

United We Stand, Divided We Fall: 2019 Threat Landscape and the Influence of Sharing Communities

Guarda il webinar
Nessun articolo trovato.
Nessun articolo trovato.

White Paper

The Definitive Guide to Sharing Threat Intelligence

Leggi il white paper

White Paper

SC Media Expert Focus: The Community Approach to Sharing Security Intel

Leggi il white paper

White Paper

Information Sharing Defeats Data Security Threats

Leggi il white paper
Nessun articolo trovato.
Nessun articolo trovato.

Video

theCUBE Interviews Anomali at Splunk .conf19

Guarda il video

Video

Dark Reading News Desk: Time to Get Smarter About Threat Intel

Guarda il video

Video

Threat Intelligence Sharing—Cybersecurity's Secret Weapon

Guarda il video

Video

Dark Reading News Desk: Anomali Talks Threat Intelligence & Info Sharing

Guarda il video
Ordina per data (Desc)
Sfoglia tutte le risorse