Siber suç istihbaratının iş dayanıklılığı üzerindeki etkisini en üst düzeye çıkarma


Bu Help Net Security röportajında ​​Intel 471 CEO’su Jason Passwaters, siber suç istihbaratını bir kuruluşun güvenlik stratejisine entegre etmenin proaktif tehdit yönetimini nasıl mümkün kıldığını ve istihbarat çabalarının ölçülmesinin riskler artmadan önce azaltılmasına nasıl yardımcı olabileceğini tartışıyor.

Passwaters ayrıca veri kaynaklarına, saldırganların tespitine ve özel sektör ile kolluk kuvvetleri arasındaki işbirliğine odaklanan sağlam bir istihbarat programı oluşturmaya yönelik en iyi uygulamaları paylaşıyor.

“siber suç

Siber suç istihbaratını bir kuruluşun güvenlik stratejisine entegre etmek proaktif tehdit yönetimine nasıl yardımcı olur? Kuruluşlar siber suç istihbarat çalışmalarının etkinliğini nasıl ölçebilir?

İşletmelerin çoğunluğu siber suçlulardan bir şekilde etkilenecek. Hazırlıksız olanlar işleri üzerinde büyük bir etkiye maruz kalabilirler. Hazırlıklı olanlar bu tür olayları ya tamamen önleyebilir ya da etkilerini en aza indirecek şekilde müdahale edebilir. Siber suç istihbaratı, parmağınızı düşmanın nabzını tutmanıza olanak tanır ve güvenlik kaygılarını, tam teşekküllü olaylara dönüşmeden önce proaktif bir şekilde ele almak için gereken bilgileri sağlar. Ancak zeka tek başına sihirli bir değnek değildir. Bir olay durumunda siber suç istihbaratı, müdahale sürelerini önemli ölçüde azaltabilir ve müdahalenin niteliği hakkında bilgi verebilir, böylece hem iş etkisini hem de mali kayıpları önemli ölçüde en aza indirebilir.

Önlenen veya hiç gerçekleşmeyen olayların etkisini değerlendirmek zor olabileceğinden, istihbaratın etkinliğini ölçmek yaygın bir zorluktur. Bununla birlikte, işinize yönelik risklerin derinlemesine anlaşılması, gerçekleşmesi durumunda potansiyel etki, bu riskleri azaltmak için yanıtlanması gereken kritik sorular ve düşmanın yeterli düzeyde kapsanması göz önüne alındığında, kuruluşlar etkinliği ve genel değeri ölçmek için programatik bir yaklaşım benimseyebilir. İstihbarat çabalarınızın, riski azaltmak ve etkiyi en aza indirmek için gereken temel soruları ne kadar sıklıkla ve etkili bir şekilde ele aldığını değerlendirme meselesi haline gelir.

İstihbarat alanında bu süreç, başarılı bir programın temelini oluşturan ve etkinliğinin ölçülmesi için bir çerçeve sağlayan, gereksinim odaklı bir istihbarat yeteneğinin oluşturulması etrafında döner. Bunu desteklemek amacıyla, kuruluşların bu temel yaklaşımı oluşturmasına yardımcı olmak amacıyla Genel İstihbarat Gereksinimleri (GIR) çerçevesi ve Siber Tehdit İstihbaratı Yeteneği Olgunluk Modeli (CTI-CMM) gibi araçlar geliştirilmiştir. Kuruluşlar, bu temel soruların ne sıklıkta ve ne kadar etkili bir şekilde yanıtlandığını tutarlı bir şekilde izleyip ölçerek, istihbarat çabalarının başarısını daha iyi ölçebilir.

Siber suç istihbaratı için birincil veri kaynakları nelerdir?

Bir istihbarat yeteneği ancak düşmanı kapsaması kadar etkilidir. Sağlam bir program, bağlam için tarihsel kapsam, acil tehditlere zamanında yanıt verilmesi için gerçek zamanlıya yakın kapsam ve yeterli anlayış için kapsam derinliği sağlar. Siber suç istihbaratı kapsamı hem insan verilerini hem de teknik verileri kapsar. Değerli bilgi kaynakları arasında siber suçluların iletişim kurmak, koordine etmek veya ticaret yapmak için toplandığı sosyal ağlar, sohbet odaları, forumlar ve doğrudan birebir etkileşimler gibi platformlar yer alır.

Teknik kapsam, rakipler tarafından kullanılan araçların görünürlüğünü gerektirir. Bu kapsam, siber suçlular tarafından dağıtılan tüm kötü amaçlı yazılım aileleri yelpazesinde programatik kötü amaçlı yazılım emülasyonu yoluyla elde edilebilir ve böylece onların faaliyetlerine ilişkin zamanında ve sürekli olarak kapsamlı bilgiler elde edilebilir.

Siber tehdit aktörlerini nasıl sınıflandırıyorsunuz ve hangi temel göstergeler onları tanımlamaya yardımcı oluyor?

Siber suçlular, ticari operasyonlar üzerinde giderek daha önemli ve zararlı etkileri olan, parasal kazanç elde etmek için siber saldırılar düzenlemektedir. Zamanında ve ilgili istihbarat, bu düşmanları ve onların araçlarını, tekniklerini ve prosedürlerini (TTP’ler) açığa çıkararak kuruluşların bu saldırılardan kaçınma konusunda proaktif olmalarını sağlar.

Düşman İstihbaratı, odaklanmış bir toplama, analiz ve yararlanma yeteneğinden üretilir ve tehdit aktörlerinin işbirliği yaptığı, iletişim kurduğu ve siber saldırıları planladığı yerden seçilir. Bu İstihbaratın elde edilmesi ve kullanılması, üst düzey siber suçluların metodolojisine (hedef seçimi, kullanılan varlıklar ve araçlar, ortaklar ve onları destekleyen diğer kolaylaştırıcılar) ilişkin proaktif ve çığır açıcı bilgiler sağlar.

Rakip İstihbarat, iş açısından kritik operasyonları karşılar. İstihbarat, dolandırıcılık, risk, güvenlik ve olay müdahale ekipleri, daha hızlı müdahale etmelerine, proaktif savunma yapmalarına ve verimli bir şekilde koruma sağlamalarına olanak tanıyan gelişmiş ve profesyonel istihbarat yeteneklerine ihtiyaç duyar. Bu bilgiler üst düzey siber suçluları ve onların operasyonlarını ortaya çıkardığından, en karmaşık ve başarılı siber suçluların takibi, siber yeraltına ve faaliyet gösterdikleri yerel bağlantılara yerleştirme ve erişim gerektirir. Bu gereksinimin yalnızca teknolojiyle veya deneyimli istihbarat profesyonelleri olmadan veri kazımayla çözülmesi kısmi bir çözümdür.

Özel sektör kuruluşları ile kolluk kuvvetleri arasında siber suç istihbaratının paylaşılmasına yönelik en iyi uygulamalar nelerdir?

Kuruluşlar, istihbaratın özel sektör kuruluşları ve kolluk kuvvetleriyle paylaşılmasına yönelik açık iç yönergeler ve standart çalışma prosedürleri oluşturmalıdır. İstihbarat topluluğu (IC), her ne pahasına olursa olsun kaynakları ve yöntemleri koruma ilkesi altında çalışır. Özel sektör istihbarat topluluğu da benzer bir felsefeyi izliyor. Bir istihbarat paylaşım programı, paylaşımın işletmeye yasal veya başka riskler getirmemesini, kaynakları ve yöntemleri korumasını, satıcı anlaşmalarına uymasını ve yerleşik güven grupları ve meslektaşlar arasındaki güveni sürdürmesini sağlamalıdır.

Tüm bilgi paylaşımı, kontrollü ve uygun şekilde yayılmasını sağlamak için FIRST tarafından geliştirilen Trafik Işığı Protokolü (TLP) ile uyumlu olmalıdır. Ayrıca, gelecekte referans olarak kullanılmak üzere bilgilerin ne zaman, ne ve kiminle paylaşıldığı belgelenerek paylaşım faaliyetleri dikkatle takip edilmelidir.

Son olarak, istihbarat paylaşımı amaç odaklı olmalı, tehditlere karşı koymaya, acil saldırıları durdurmaya veya başkalarının bunu yapmasını sağlamaya odaklanmalıdır; yalnızca paylaşım amacıyla değil.

Siber suç istihbarat yeteneklerini güçlendirmek isteyen kuruluşlara ne gibi tavsiyelerde bulunursunuz?

Başarılı bir istihbarat programının anahtarı işinizin derinlemesine anlaşılmasında yatmaktadır. İstihbarat uygulayıcıları, kuruluş genelindeki paydaşlarla etkileşime geçme, operasyonlarına ilişkin içgörü kazanma ve en önemli riskleri belirleme yetkisine sahip olmalıdır. Bu bilgi, ilgiyi tanımlayan, öncelikleri belirleyen ve çabaları en önemli konularla uyumlu hale getiren gereksinim odaklı bir program aracılığıyla sağlam bir temel oluşturulmasına olanak tanır.

Kuruluşlar, belirli satıcı yayınlarına, tehdit istihbaratı platformlarına, ek teknolojiye ve hatta personeli genişletmeye yatırım yapmadan önce bu temeli oluşturmaya odaklanmalıdır. Programınızı tasarlayacak ve yönlendirecek doğru istihbarat mimarını bulmaya öncelik verin ve arabanın atın önüne gelmemesini sağlayın. Bunu yapmamak, kaynakların israfına, maliyetli yeniden yapılanmalara ve en kötü senaryoda liderliğin tehdit istihbaratı konusunda hayal kırıklığına uğramasına ve sonuçta bunun iş üzerindeki olumlu etkisini kaçırmasına yol açabilir. Daha önce de belirtildiği gibi GIR çerçevesi ve CTI-CMM harika başlangıç ​​noktalarıdır.



Source link