Обмен аналитической информацией об угрозах | Anomali
Get COVID-19 Cyber Security Resources Learn More

Обмен аналитической информацией об угрозах

Секретное оружие кибербезопасности

Кто обменивается?

Существует множество способов извлечь выгоду из анализа информации об угрозах, будь то комплексная платформа анализа информации об угрозах, получение каналов с информацией об угрозах или просто использование анализа информации об угрозах, имеющихся в обычных инструментах безопасности. Один из менее используемых способов получения выгоды от анализа информации об угрозах заключается в обмене этой информацией с другими группами, что помогает сократить время отклика на события и принять превентивные меры.

Инициативы, ориентированные на развитие отрасли и инициируемые правительствами, привели к резкому увеличению обмена аналитической информацией об угрозах между правительствами, частными организациями и отраслями. Вот лишь некоторые из них:

Обменивающиеся информацией организации

Какие типы обмена используются?

Существует два типа обмена информацией, которые определяются тем, кто именно ею делится.

Однонаправленный обмен аналитической информацией об угрозах — одна организация производит информацию об угрозах и делится ею с другими организациями, которые ее потребляют, но не вносят своего вклада в ее производство. Примеры однонаправленного обмена аналитической информацией об угрозах включают следующее:

  • Аналитическая информация с открытым кодом, которая может включать получение канала аналитической информации с открытым кодом или загрузку общедоступного отчета со сведениями о недавней атаке, в котором содержится описание индикаторов и использованных методов.
  • Отчеты и каналы с закрытым исходным кодом

Двунаправленный обмен аналитической информацией об угрозах — аналитическая информация отправляется сверху вниз для потребления, но может также быть получена от членских организаций. Хотя обмен информацией разрешен и поощряется в этих программах, нет никакой гарантии, что каждая организация будет чем-либо делиться.

Обмен с аналитиками

Опасения, связанные с обменом информацией

Хотя аналитическая информация об угрозах представляет собой несомненную ценность, существует ряд общих вопросов, вызывающих озабоченность и препятствующих организациям принимать участие в обмене этой информацией:

  • Вопросы конфиденциальности и ответственности — их можно решить путем более точного определения обмена информацией, использования защитных оговорок в юридических соглашениях, нового законодательства или простой осторожности в выборе информации для обмена.
    • Хорошей идеей, прежде чем приступать к обмену, является отделение данных, связанных с частной информацией или с конфиденциальной корпоративной информацией, независимо от типа обмена информацией.
    • В Законе об обмене информацией о кибербезопасности от 2015 года (CISA) предусмотрены меры по решению проблем, связанных с конфиденциальностью и ответственностью. Некоторые из этих мер защиты зависят от определенных условий. Как обычно, настоятельно рекомендуется юридическая консультация, чтобы понять, как CISA может применяться к конкретным ситуациям.
  • «Нет ничего ценного для обмена» — ни одна организация не может уследить за всеми атаками. Обмен, казалось бы, незначительными деталями может повысить уровень видимости и помочь в создании более полномасштабного анализа информации.
  • Отсутствие опыта — даже если вы не являетесь обученным профессионалом, добавление какого-либо контекста, наблюдаемых подробностей атаки и, по возможности, аналитических данных, предоставленных специалистами, является очень полезным для сообщества.
  • Боязнь раскрытия факта взлома организации — страх поделиться подробностями бреши в системе безопасности с более широким кругом организаций, чем это абсолютно необходимо, является естественным, но его можно преодолеть, следуя общепринятой практике обмена информацией.

С чего начинать или как улучшить обмен аналитической информацией

Независимо от того, активно ли уже обменивается ваша организация аналитической информацией или она еще не начала этого делать, здесь приводится несколько советов о том, с чего следует начинать или как улучшить обмен, который уже происходит:

  • Инструменты и сообщества — Выберите подходящие инструменты и сообщества для обмена информацией об угрозах. Возможные варианты включают следующее:
    • Электронная почта, которая является самой простой отправной точкой
    • Такие инструменты, как Anomali STAXX, который представляет собой бесплатное решение Anomali, поддерживающее обмен индикаторами через STIX и TAXII
    • Центры ISAC и другие отраслевые организации, которые, как правило, имеют механизмы для обмена
    • Ситуативный обмен с местными организациями или партнерами в других отраслях
    • У пользователей Anomali ThreatStream уже есть очень надежное решение для обмена индикаторами и другой аналитической информацией с другими организациями или для создания собственных сообществ по обмену
  • Делитесь и вносите свой вклад — обмен информацией о наблюдаемых действиях злоумышленников, дополнительный контекст, наблюдаемые атаки или подробные сведения об отклике на инцидент — это отличные способы для начала. Не переживайте, если к тому, что уже было представлено, будет добавлено не очень много аналитических данных.
  • Делитесь за пределами вашей вертикали — ищите возможности для обмена информацией с организациями за пределами вашей вертикали, включая локализованные объекты, такие как центры обработки информации. Как всегда, работа в тесном контакте с юристами и юридическими группами над соответствующими соглашениями, способствующими обмену информацией между организациями, является обязательным требованием.
  • Обменивайтесь технологиями отслеживания и защиты — чем большим объемом информации мы обмениваемся, тем больше усложняем жизнь плохим парням. Рассмотрите возможность обмена следующей информацией:
    • Подробности отслеживания угроз, такие как поисковые запросы, особые записи в журналах и т. д.
    • Успешные методы или правила защиты, такие как правила YARA, сигнатуры Snort, правила Bro и сценарии
  • Обменивайтесь сведениями о брешах в системе безопасности — быстрое распространение сведений о бреши может оказаться чрезвычайно полезным для кого-другого, кто благодаря этим сведениям сможет быстро заделать собственную брешь. Кроме того, это может оказать значительное содействие в расширении аналитической информации и достижении более быстрых откликов на инциденты благодаря дополнительным ресурсам других организаций.

Обмен данными — это забота о других.

Полное руководство по обмену аналитической информацией об угрозах

Хотите узнать больше?

Загрузите информационный лист, чтобы узнать больше об обмене информацией вне отраслевых вертикалей, обмене целевой информацией и т. д.

Читать сейчас