Обмен аналитической информацией об угрозах | Anomali
Зачем нужен анализ информации о киберугрозах:

Обмен аналитической информацией об угрозах

Секретное оружие кибербезопасности

Кто обменивается?

Существует множество способов извлечь выгоду из анализа информации об угрозах, будь то комплексная платформа анализа информации об угрозах, получение каналов с информацией об угрозах или просто использование анализа информации об угрозах, имеющихся в обычных инструментах безопасности. Один из менее используемых способов получения выгоды от анализа информации об угрозах заключается в обмене этой информацией с другими группами, что помогает сократить время отклика на события и принять превентивные меры.

Инициативы, ориентированные на развитие отрасли и инициируемые правительствами, привели к резкому увеличению обмена аналитической информацией об угрозах между правительствами, частными организациями и отраслями. Вот лишь некоторые из них:

Обменивающиеся информацией организации

Какие типы обмена используются?

Существует два типа обмена информацией, которые определяются тем, кто именно ею делится.

Однонаправленный обмен аналитической информацией об угрозах — одна организация производит информацию об угрозах и делится ею с другими организациями, которые ее потребляют, но не вносят своего вклада в ее производство. Примеры однонаправленного обмена аналитической информацией об угрозах включают следующее:

  • Аналитическая информация с открытым кодом, которая может включать получение канала аналитической информации с открытым кодом или загрузку общедоступного отчета со сведениями о недавней атаке, в котором содержится описание индикаторов и использованных методов.
  • Отчеты и каналы с закрытым исходным кодом

Двунаправленный обмен аналитической информацией об угрозах — аналитическая информация отправляется сверху вниз для потребления, но может также быть получена от членских организаций. Хотя обмен информацией разрешен и поощряется в этих программах, нет никакой гарантии, что каждая организация будет чем-либо делиться.

Обмен с аналитиками

Опасения, связанные с обменом информацией

Хотя аналитическая информация об угрозах представляет собой несомненную ценность, существует ряд общих вопросов, вызывающих озабоченность и препятствующих организациям принимать участие в обмене этой информацией:

  • Вопросы конфиденциальности и ответственности — их можно решить путем более точного определения обмена информацией, использования защитных оговорок в юридических соглашениях, нового законодательства или простой осторожности в выборе информации для обмена.
    • Хорошей идеей, прежде чем приступать к обмену, является отделение данных, связанных с частной информацией или с конфиденциальной корпоративной информацией, независимо от типа обмена информацией.
    • В Законе об обмене информацией о кибербезопасности от 2015 года (CISA) предусмотрены меры по решению проблем, связанных с конфиденциальностью и ответственностью. Некоторые из этих мер защиты зависят от определенных условий. Как обычно, настоятельно рекомендуется юридическая консультация, чтобы понять, как CISA может применяться к конкретным ситуациям.
  • «Нет ничего ценного для обмена» — ни одна организация не может уследить за всеми атаками. Обмен, казалось бы, незначительными деталями может повысить уровень видимости и помочь в создании более полномасштабного анализа информации.
  • Отсутствие опыта — даже если вы не являетесь обученным профессионалом, добавление какого-либо контекста, наблюдаемых подробностей атаки и, по возможности, аналитических данных, предоставленных специалистами, является очень полезным для сообщества.
  • Боязнь раскрытия факта взлома организации — страх поделиться подробностями бреши в системе безопасности с более широким кругом организаций, чем это абсолютно необходимо, является естественным, но его можно преодолеть, следуя общепринятой практике обмена информацией.

С чего начинать или как улучшить обмен аналитической информацией

Независимо от того, активно ли уже обменивается ваша организация аналитической информацией или она еще не начала этого делать, здесь приводится несколько советов о том, с чего следует начинать или как улучшить обмен, который уже происходит:

  • Инструменты и сообщества — Выберите подходящие инструменты и сообщества для обмена информацией об угрозах. Возможные варианты включают следующее:
    • Электронная почта, которая является самой простой отправной точкой
    • Такие инструменты, как Anomali STAXX, который представляет собой бесплатное решение Anomali, поддерживающее обмен индикаторами через STIX и TAXII
    • Центры ISAC и другие отраслевые организации, которые, как правило, имеют механизмы для обмена
    • Ситуативный обмен с местными организациями или партнерами в других отраслях
    • У пользователей Anomali ThreatStream уже есть очень надежное решение для обмена индикаторами и другой аналитической информацией с другими организациями или для создания собственных сообществ по обмену
  • Делитесь и вносите свой вклад — обмен информацией о наблюдаемых действиях злоумышленников, дополнительный контекст, наблюдаемые атаки или подробные сведения об отклике на инцидент — это отличные способы для начала. Не переживайте, если к тому, что уже было представлено, будет добавлено не очень много аналитических данных.
  • Делитесь за пределами вашей вертикали — ищите возможности для обмена информацией с организациями за пределами вашей вертикали, включая локализованные объекты, такие как центры обработки информации. Как всегда, работа в тесном контакте с юристами и юридическими группами над соответствующими соглашениями, способствующими обмену информацией между организациями, является обязательным требованием.
  • Обменивайтесь технологиями отслеживания и защиты — чем большим объемом информации мы обмениваемся, тем больше усложняем жизнь плохим парням. Рассмотрите возможность обмена следующей информацией:
    • Подробности отслеживания угроз, такие как поисковые запросы, особые записи в журналах и т. д.
    • Успешные методы или правила защиты, такие как правила YARA, сигнатуры Snort, правила Bro и сценарии
  • Обменивайтесь сведениями о брешах в системе безопасности — быстрое распространение сведений о бреши может оказаться чрезвычайно полезным для кого-другого, кто благодаря этим сведениям сможет быстро заделать собственную брешь. Кроме того, это может оказать значительное содействие в расширении аналитической информации и достижении более быстрых откликов на инциденты благодаря дополнительным ресурсам других организаций.

Обмен данными — это забота о других.

Полное руководство по обмену аналитической информацией об угрозах

Хотите узнать больше?

Загрузите информационный лист, чтобы узнать больше об обмене информацией вне отраслевых вертикалей, обмене целевой информацией и т. д.

Читать сейчас