В наши дни далеко не все предложения на рынке реально соответствуют ожиданиям клиента и приносят пользу. Может оказаться, что заказанный вами предмет интерьера в действительности годится разве что для кукольного домика.
С данными о киберугрозах может быть то же самое. На рынке представлено множество решений, которые позиционируются как Threat Intelligence, но в реальности являются чем-то иным. И клиент может даже не понять, что получил совсем не то, что просил. Как же проверить, насколько адекватна получаемая вашей компанией информация?
Threat Intelligence — это уже проанализированные данные
Суть Threat Intelligence в идентификации и анализе киберугроз, нацеленных на ваш бизнес. Ключевое понятие здесь — анализ: прежде чем информация будет доставлена клиенту, потребуется перелопатить горы данных, выявить реальные угрозы, изучив контекст, и создать решение для конкретных проблем.
Threat Intelligence часто путают с сырыми данными об угрозах, представляющими собой всего лишь список возможных угроз без учета контекста и подбора подходящих контрмер.
Данные Threat Intelligence должны приносить практическую пользу ИБ-специалистам
Когда-то данные об угрозах ограничивались списками опасных IP-адресов и URL. Первые защитные решения просто сверялись с ними и предупреждали пользователей об опасности. Со временем объемы необходимых для защиты данных выросли. Стало гораздо труднее определять, что действительно является угрозой, а что нет.
Некоторые продукты, позиционируемые как Threat Intelligence, предоставляют потоки данных об угрозах и индикаторы компрометации без сопровождающего контекста. Фактически это огромные массивы необработанных данных.
В этом и заключается проблема. Если в ваших системах безопасности будут использоваться такие данные, возникнет слишком много ложноположительных срабатываний. Чрезмерное количество уведомлений снизит бдительность и эффективность ИБ-специалистов и негативно повлияет на безопасность организации в целом. Так что горы необработанных и неструктурированных сырых данных по существу не являются даже полезной информацией, не говоря уже о Threat Intelligence.
И как бы актуальна ни была информация, она ничем не поможет защите компании без учета контекста, на базе которого следует предпринять конкретные шаги. С помощью настоящих данных Threat Intelligence ИБ-специалисты могут остановить опасную атаку на ранней стадии и защитить сеть организации или же, напротив, понять, что в данном случае они имеют дело с обычным вредоносным ПО, не представляющим серьезной угрозы.
Данные Threat Intelligence дают возможность предсказывать будущее
Данные Threat Intelligence могут повысить скорость обнаружения и эффективность реагирования на угрозы, тем самым существенно снижая возможный ущерб. Но польза Threat Intelligence напрямую зависит от качества используемых источников данных. Аналитик информационной безопасности может получить значительно более объективную картину, если используется большое количество доверенных источников для сопоставления и обогащения получаемой информации. Решения, предоставляющие только информацию об угрозах без сопроводительного контекста, который помогает правильно приоритизировать инциденты и определять необходимые дальнейшие действия, недостаточны для обеспечения нормальной защиты. Если же качество данных невысоко из-за нехватки таких источников (например, без учета информации из даркнета или отсутствия доступа к международной информации), ее тем более нельзя считать Threat Intelligence. С ее помощью не получится действовать проактивно, предсказывать, с какими опасностями может столкнуться ваш бизнес и как им противостоять.
Данные Threat Intelligence должны адаптироваться к реалиям вашей организации
Данные Threat Intelligence должны быть адаптированы к потребностям конкретной компании. Для эффективной работы в организации необходимо в первую очередь настроить процессы сбора данных вокруг критических ресурсов. И только потом эти внутренние сведения должны сопоставляться с внешними данными Threat Intelligence для выявления реальных угроз. При отсутствии такого комплексного подхода не получится обеспечить приоритизацию информации, необходимую для защиты ваших ключевых ресурсов.
Данные Threat Intelligence должны быть основой для действий
Получаемые данные об угрозах должны становиться средством для эффективных ответных действий. Для максимальной эффективности компании должны уметь работать как с машиночитаемыми, так и с адаптированными для понимания человеком данными. Методы доставки данных и их форматы должны легко интегрироваться в существующие ИБ-процессы.
Данные Threat Intelligence должны представлять собой уникальные сведения о новых угрозах, при помощи которых ИБ-специалисты могли бы приоритизировать сигналы с защитных решений, оперативно выделять необходимые ресурсы и быстро принимать решения. Ваше решение удовлетворяет этим критериям? Если нет, самое время задуматься о чем-то более полезном.
«Лаборатория Касперского» предлагает сервисы Kaspersky Threat Intelligence, которые адаптируются к потребностям вашей компании и снабжают ваших ИБ-специалистов необходимыми данными для быстрого и точного реагирования на киберугрозы.