Обмен аналитической информацией об угрозах
Секретное оружие кибербезопасности
Кто обменивается?
Существует множество способов извлечь выгоду из анализа информации об угрозах, будь то комплексная платформа анализа информации об угрозах, получение каналов с информацией об угрозах или просто использование анализа информации об угрозах, имеющихся в обычных инструментах безопасности. Один из менее используемых способов получения выгоды от анализа информации об угрозах заключается в обмене этой информацией с другими группами, что помогает сократить время отклика на события и принять превентивные меры.
Инициативы, ориентированные на развитие отрасли и инициируемые правительствами, привели к резкому увеличению обмена аналитической информацией об угрозах между правительствами, частными организациями и отраслями. Вот лишь некоторые из них:
Какие типы обмена используются?
Существует два типа обмена информацией, которые определяются тем, кто именно ею делится.
Однонаправленный обмен аналитической информацией об угрозах — одна организация производит информацию об угрозах и делится ею с другими организациями, которые ее потребляют, но не вносят своего вклада в ее производство. Примеры однонаправленного обмена аналитической информацией об угрозах включают следующее:
- Аналитическая информация с открытым кодом, которая может включать получение канала аналитической информации с открытым кодом или загрузку общедоступного отчета со сведениями о недавней атаке, в котором содержится описание индикаторов и использованных методов.
- Отчеты и каналы с закрытым исходным кодом
Двунаправленный обмен аналитической информацией об угрозах — аналитическая информация отправляется сверху вниз для потребления, но может также быть получена от членских организаций. Хотя обмен информацией разрешен и поощряется в этих программах, нет никакой гарантии, что каждая организация будет чем-либо делиться.
Опасения, связанные с обменом информацией
Хотя аналитическая информация об угрозах представляет собой несомненную ценность, существует ряд общих вопросов, вызывающих озабоченность и препятствующих организациям принимать участие в обмене этой информацией:
- Вопросы конфиденциальности и ответственности — их можно решить путем более точного определения обмена информацией, использования защитных оговорок в юридических соглашениях, нового законодательства или простой осторожности в выборе информации для обмена.
- Хорошей идеей, прежде чем приступать к обмену, является отделение данных, связанных с частной информацией или с конфиденциальной корпоративной информацией, независимо от типа обмена информацией.
- В Законе об обмене информацией о кибербезопасности от 2015 года (CISA) предусмотрены меры по решению проблем, связанных с конфиденциальностью и ответственностью. Некоторые из этих мер защиты зависят от определенных условий. Как обычно, настоятельно рекомендуется юридическая консультация, чтобы понять, как CISA может применяться к конкретным ситуациям.
- «Нет ничего ценного для обмена» — ни одна организация не может уследить за всеми атаками. Обмен, казалось бы, незначительными деталями может повысить уровень видимости и помочь в создании более полномасштабного анализа информации.
- Отсутствие опыта — даже если вы не являетесь обученным профессионалом, добавление какого-либо контекста, наблюдаемых подробностей атаки и, по возможности, аналитических данных, предоставленных специалистами, является очень полезным для сообщества.
- Боязнь раскрытия факта взлома организации — страх поделиться подробностями бреши в системе безопасности с более широким кругом организаций, чем это абсолютно необходимо, является естественным, но его можно преодолеть, следуя общепринятой практике обмена информацией.
С чего начинать или как улучшить обмен аналитической информацией
Независимо от того, активно ли уже обменивается ваша организация аналитической информацией или она еще не начала этого делать, здесь приводится несколько советов о том, с чего следует начинать или как улучшить обмен, который уже происходит:
- Инструменты и сообщества — Выберите подходящие инструменты и сообщества для обмена информацией об угрозах. Возможные варианты включают следующее:
- Электронная почта, которая является самой простой отправной точкой
- Такие инструменты, как Anomali STAXX, который представляет собой бесплатное решение Anomali, поддерживающее обмен индикаторами через STIX и TAXII
- Центры ISAC и другие отраслевые организации, которые, как правило, имеют механизмы для обмена
- Ситуативный обмен с местными организациями или партнерами в других отраслях
- У пользователей Anomali ThreatStream уже есть очень надежное решение для обмена индикаторами и другой аналитической информацией с другими организациями или для создания собственных сообществ по обмену
- Делитесь и вносите свой вклад — обмен информацией о наблюдаемых действиях злоумышленников, дополнительный контекст, наблюдаемые атаки или подробные сведения об отклике на инцидент — это отличные способы для начала. Не переживайте, если к тому, что уже было представлено, будет добавлено не очень много аналитических данных.
- Делитесь за пределами вашей вертикали — ищите возможности для обмена информацией с организациями за пределами вашей вертикали, включая локализованные объекты, такие как центры обработки информации. Как всегда, работа в тесном контакте с юристами и юридическими группами над соответствующими соглашениями, способствующими обмену информацией между организациями, является обязательным требованием.
- Обменивайтесь технологиями отслеживания и защиты — чем большим объемом информации мы обмениваемся, тем больше усложняем жизнь плохим парням. Рассмотрите возможность обмена следующей информацией:
- Подробности отслеживания угроз, такие как поисковые запросы, особые записи в журналах и т. д.
- Успешные методы или правила защиты, такие как правила YARA, сигнатуры Snort, правила Bro и сценарии
- Обменивайтесь сведениями о брешах в системе безопасности — быстрое распространение сведений о бреши может оказаться чрезвычайно полезным для кого-другого, кто благодаря этим сведениям сможет быстро заделать собственную брешь. Кроме того, это может оказать значительное содействие в расширении аналитической информации и достижении более быстрых откликов на инциденты благодаря дополнительным ресурсам других организаций.
Обмен данными — это забота о других.
Хотите узнать больше?
Загрузите информационный лист, чтобы узнать больше об обмене информацией вне отраслевых вертикалей, обмене целевой информацией и т. д.