Обмен аналитической информацией об угрозах

Обмен аналитической информацией об угрозах

Секретное оружие кибербезопасности

Кто обменивается аналитической информацией об угрозах?

Существует множество способов с пользой применять анализ угроз: с помощью полной платформы анализа угроз информационной безопасности, примененять фиды данных об угрозах или просто использовать функции анализа угроз, которые предусмотрены в привычных инструментах обеспечения безопасности. Одним из менее популярных способов применения анализа угроз является обмен этой информацией с другими группами. Это помогает сократить время реагирования на события и принять превентивные меры.

Отраслевые и правительственные инициативы привели к резкому увеличению обмена информацией об угрозах информационной безопасности между правительствами, частными организациями и отраслями. Вот некоторые из них:

Какие типы обмена аналитической информацией об угрозах существуют?

Существует два типа обмена аналитической информацией, каждый из которых определяется тем, кто именно делится информацией.

Односторонний обмен информацией об угрозах — один объект генерирует информацию об угрозах и предоставляет ее остальным участникам, которые используют эту информацию, но не вносят свой вклад в обмен. Примеры одностороннего обмена аналитической информацией об угрозах:

  • Аналитические данные из открытых источников, которые можгут включать в себя получение фидов данных об угрозах из общедоступных источников или скачивание общедоступного отчета о недавней атаке, содержащего используемые индикаторы и методы.
  • Отчеты и фиды из закрытых источников

Двусторонний обмен информацией об угрозах — аналитические данные рассылаются для использования, но также могут поступать от других организаций-участников. Хотя в этих программах разрешен и поощряется обмен, нет никаких гарантий, что каждая организация поделится всей имеющейся информацией.

Sharing with Analysts

Проблемы, связанные с обменом аналитической информацией об угрозах

Несмотря на то, что анализ угроз несомненно имеет большое значение, существует несколько общих проблем, из-за которых организации не участвуют в обмене информацией:
  • Вопросы конфиденциальности и ответственности — эти проблемы можно преодолеть путем более правильного понимания обмена аналитическими данными, введения защитных положений в правовых соглашениях, актуального законодательства или тщательного отбора предоставляемой информации.
    • Независимо от типа обмена, стоит выполнять чистку данных от персональной или конфиденциальной корпоративной информации перед обменом.
    • В Законе о кибербезопасности 2015 года (CISA) представлены положения, которые направлены на решение проблем, связанных с конфиденциальностью и ответственностью. Некоторые из подобных мер защиты зависят от выполнения определенных условий. Настоятельно рекомендуется обратиться за юридической консультацией, чтобы понять, как CISA может применяться в конкретных ситуациях.
  • «Нет никакой ценной информации для обмена» — ни одна организация не сталкивается со всеми типами атак сразу. Обмен, казалось бы, незначительными деталями может помочь в обеспечении прозрачности и проведении более полного анализа информации.
  • Отсутствие опыта — даже если вы не являетесь опытным специалистом, дополнительный контекст, наблюдаемые подробности атаки и при возможности анализ, выполненный сотрудниками, в любом случае будут полезны для сообщества.
  • Страх признаться в том, что организация подверглась хакерской атаке — страх делиться подробностями атаки не только с организациями, которым абсолютно необходимо сообщать о подобном, а с более широким кругом людей является распространенным явлением. Однако его можно преодолеть, следуя передовым практикам при обмене информацией.

Первые шаги для обмена аналитической информацией об угрозах

Независимо от того, активно ли ваша организация обменивается данными об угрозах или еще не начала этим заниматься, ниже приведены некоторые советы о том, как начать обмен или усовершенствовать уже существующий процесс обмена информацией:
  • Инструменты и сообщества — выберите подходящие инструменты и сообщества для обмена аналитической информацией об угрозах. Возможные варианты:
    • электронная почта — самая простая отправная точка;
    • такие инструменты, как Anomali STAXX. Это бесплатное решение, предлагаемое Anomali, которое поддерживает обмен индикаторами через STIX и TAXII;
    • центры ISAC и другие отраслевые организации, которые обычно имеют механизмы обмена информацией;
    • ситуативный обмен информацией с местными организациями или партнерами в других отраслях;
    • у пользователей Anomali ThreatStream уже есть надежное решение для обмена индикаторами и прочими аналитическими данными с другими организациями или создания собственных сообществ обмена информацией.
  • Поделитесь информацией и внесите свой вклад — прекрасной отправной точкой станет предоставление данных о наблюдаемом поведении злоумышленников, дополнительном контексте и произошедших атаках, а также подробных сведений о реагировании на инциденты. Не волнуйтесь, если к уже имеющимся данным не удается много добавить с точки зрения анализа.
  • Делитесь информацией за пределами своей вертикали — ищите возможности для обмена информацией с организациями, не входящими в вашу вертикаль, включая локализованные объекты, такие как центры обработки информации. Обязательно нужно сотрудничать с юристами для разработки соответствующих соглашений, облегчающих обмен информацией между организациями.
  • Поделитесь методами поиска и защиты — чем активнее мы обмениваемся информацией, тем сложнее действовать злоумышленникам. Рассмотрите возможность обмена следующей информацией.
    • Сведения о поиске угроз, такие как данные поиска, определенные логи и т. д.
    • Успешные методы защиты или правила, такие как правила YARA, подписи Snort, правила Bro и скрипты.
  • Делитесь сведениями о кибератаках — быстрое предоставление сведений об атаке может предотвратить проникновение злоумышленников в системы других участников и ускорить ее пресечение. Кроме того, дополнительные ресурсы от других организаций будут крайне полезными благодаря получению дополнительной информации и поиска решения проблем, связанных с реагированием на инциденты.

Обмен информацией — это проявление заботы и участия.

Whitepaper

Хотите узнать об обмене аналитической информацией подробнее?

Скачайте брошюру, чтобы узнать больше об обмене данными за пределами отраслевых вертикалей, обмене целевой информацией и т. д.