Trusseletterretning er prosessen med å identifisere og analysere nettrusler. Begrepet «trusseetterretning» kan vise til dataene som samles inn om en potensiell trussel eller prosessen med å samle inn, behandle og analysere disse dataene for å forstå truslene bedre. Trusseletterretning innebærer å sile gjennom data, undersøke dem kontekstuelt for å oppdage problemer og distribuere løsninger som er spesifikke for de aktuelle problemene.
Takket være digital teknologi er verden i dag mer sammenkoblet enn noen gang. Men den økte sammenkoblingen har også ført til økt risiko for nettangrep, som sikkerhetsbrudd, datatyveri og skadelig programvare. Et sentralt aspekt ved nettsikkerhet er trusseletterretning. Les videre for å finne ut hva trusseletterretning er, hvorfor det er viktig, og hvordan du bruker det.
Hva er trusseletterretning?
Definisjonen av trusseletterretning blandes noen ganger med andre nettsikkerhetsbegreper. Oftest forveksler folk «trusseldata» med «trusseletterretning», men det er ikke det samme:
- Trusseldata er en liste over mulige trusler.
- Trusseletterretning ser på hele bildet – ved å undersøke dataene og den bredere konteksten for å konstruere en fortelling som kan brukes til beslutningstaking.
Kort sagt gjør trusseletterretning organisasjoner i stand til å ta raskere og mer informerte sikkerhetsbeslutninger. Det oppmuntrer til proaktiv, snarere enn reaktiv, atferd i kampen mot nettangrep.
Hvorfor er trusseletterretning viktig?
Trusseletterretning er en viktig del av ethvert økosystem for nettsikkerhet. Et program for Internett-trusseletterretning, noen ganger kalt CTI, kan gjøre følgende:
- Forhindre datatap: Med et godt strukturert CTI-program kan organisasjoner oppdage nettrusler og forhindre at datainnbrudd bidrar til frigivelse av sensitiv informasjon.
- Gi veiledning om sikkerhetstiltak: Ved å identifisere og analysere trusler, oppdager CTI mønstre hackere bruker og hjelper organisasjoner med å få på plass sikkerhetstiltak for å beskytte mot fremtidige angrep.
- Informer andre: Hackere blir smartere hver dag. Nettsikkerhetseksperter deler taktikkene de har sett med andre i miljøet for å holde tritt med hackerne og skape en felles kunnskapsbase for å bekjempe nettkriminalitet.
Typer trusseletterretning
Etterretning om nettsikkerhetstrusler deles ofte inn i tre kategorier – strategisk, taktisk og operativ. La oss se på disse etter tur:
Strategisk trusseletterretning:
Dette er vanligvis en analyse på høyt nivå designet for ikke-tekniske målgrupper – for eksempel styret i et selskap eller en organisasjon. Den dekker nettsikkerhetsemner som kan påvirke bredere forretningsbeslutninger og ser på generelle trender og motivasjoner. Strategisk trusseletterretning er ofte basert på åpne kilder – noe som betyr at alle kan få tilgang til dem – som medieoppslag, hvitbøker og forskning.
Taktisk trusseletterretning:
Dette er fokusert på den umiddelbare fremtiden og er designet for et mer teknisk dyktig publikum. Den identifiserer enkle kompromissindikatorer (IOCs) for å la IT-team søke etter og eliminere spesifikke trusler i et nettverk. IOC-er inkluderer elementer som dårlige IP-adresser, kjente skadelige domenenavn, uvanlig trafikk, dårlige tegn ved pålogging eller en økning i fil-/nedlastingsforespørsler. Taktisk etterretning er den enkleste formen for etterretning å generere og er vanligvis automatisert. Den kan ofte ha kort levetid da mange IOC-er raskt blir foreldet.
Operativ trusseletterretning:
Bak hvert nettangrep ligger et «hvem», «hvorfor» og «hvordan». Operativ trusseletterretning har som mål å svare på disse spørsmålene ved å studere tidligere nettangrep og trekke konklusjoner om hensikt, timing og kompleksitet. Operativ trusseletterretning krever flere ressurser enn taktisk etterretning og har lengre levetid. Dette er fordi nettangripere ikke kan endre taktikk, teknikker og prosedyrer (kjent som TTP-er) like enkelt som de kan endre verktøyene sine – for eksempel en bestemt type skadelig programvare.
Livssyklus for nettrusseletterretning
Eksperter på nettsikkerhet bruker livssyklus som konsept i forbindelse med trusseletterretning. Et typisk eksempel på livssyklusen til en nettrussel vil omfatte disse stadiene: retning, innsamling, behandling, analyse, formidling og tilbakemelding.
Fase 1: Retning
I denne fasen er fokus å sette mål for trusseletterretningsprogrammet. Det kan omfatte følgende:
- Forstå hvilke aspekter av organisasjonen som må beskyttes og potensielt opprette en prioritert rekkefølge.
- Identifisere hvilken trusseletterretning organisasjonen trenger for å beskytte eiendeler og respondere på trusler.
- Forstå de organisatoriske effektene av et nettinbrudd.
Fase 2: Innsamling
Denne fasen handler om å samle inn data for å nå målene fra fase 1. Datakvantitet og -kvalitet er begge avgjørende for å unngå å gå glipp av alvorlige trusselhendelser eller bli villedet av falske positiver. I denne fasen må organisasjoner identifisere sine datakilder – dette kan omfatte følgende:
- Metadata fra interne nettverk og sikkerhetsenheter
- Trusseldatastrømmer fra troverdige nettsikkerhetsorganisasjoner
- Intervjuer med informerte interessenter
- Nyhetssider og blogger med åpen kildekode
Fase 3: Behandling
Alle data som er samlet inn må gjøres om til et format som organisasjonen kan bruke. Ulike datainnsamlingsmetoder vil kreve ulike behandlingsmetoder. For eksempel kan det hende at data fra intervjuer med mennesker må faktasjekkes og krysssjekkes mot andre data.
Fase 4: Analyse
Når dataene er behandlet til et brukbart format, må de analyseres. Analyse er prosessen med å gjøre informasjon om til etterretning som kan brukes til organisasjonsbeslutninger. Disse avgjørelsene kan omfatte om man skal investere mer i sikkerhetsressurser, om man skal undersøke en bestemt trussel eller sett med trusler, hvilke handlinger som må iverksettes for å blokkere en umiddelbar trussel, hvilke verktøy for trusseletterretning som trengs, og så videre.
Fase 5: Formidling
Når analysen er utført, må de viktigste anbefalingene og konklusjonene sirkuleres til relevante interessenter i organisasjonen. Ulike team i organisasjonen vil ha ulike behov. Det er verdt å spørre hvilken etterretning hvert publikum trenger, samt i hvilket format og hvor ofte, for å spre den effektivt.
Fase 6: Tilbakemelding
Tilbakemeldinger fra interessenter vil bidra til å forbedre trusseletterretningsprogrammet, og sikre at det gjenspeiler kravene og målene til hver gruppe.
Begrepet livssyklus fremhever det faktum at trusseletterretning ikke er en lineær engangsprosess. I stedet er det en sirkulær og iterativ prosess som organisasjoner bruker for kontinuerlig forbedring.
Hvem drar nytte av trusseletterretning?
Alle som bryr seg om sikkerhet kan dra nytte av trusseletterretning. Spesielt hvis du driver en bedrift. Fordelene omfatter følgende:
Redusert risiko
Hackere leter alltid etter nye måter å trenge seg inn i bedriftsnettverk på. Trusseletterretning på nettet lar bedrifter identifisere nye sårbarheter etter hvert som de dukker opp. Det reduserer risikoen for tap av data eller forstyrrelser i den daglige driften.
Unngå sikkerhetsbrudd
Et omfattende etterretningssystem for nettrusler bør bidra til å unngå datainnbrudd. Det gjør det ved å overvåke mistenkelige domener eller IP-adresser som prøver å kommunisere med systemene til en organisasjon. Et godt CTI-system vil blokkere mistenkelige IP-adresser – som ellers kunne stjele dataene dine – fra nettverket. Uten et CTI-system på plass, kan hackere oversvømme nettverket med falsk trafikk for å utføre et DDoS-angrep (Distributed Denial of Service).
Reduserte kostnader
Datainnbrudd er dyre. I 2021 var den globale gjennomsnittskostnaden for et datainnbrudd 4,24 millioner dollar (selv om dette varierer etter sektor – den høyeste er helsevesenet). Disse kostnadene omfatter elementer som advokatkostnader og bøter pluss kostnader for gjenoppretting etter hendelsen. Ved å redusere risikoen for datainnbrudd kan nettrusseletterretning bidra til å spare penger.
I korte trekk bidrar forskning på trusseletterretning til at organisasjoner forstår nettrisikoer og hvilke skritt som trengs for å redusere disse risikoene.
Hva du skal se etter i et program for trusseletterretning
Å håndtere trusler krever en 360-graders oversikt over ressursene dine. Du trenger et program som overvåker aktivitet, oppdager problemer og tilbyr dataene du trenger for å ta veloverveide avgjørelser for å beskytte organisasjonen. Dette bør du se etter i et program for trusseletterretning:
Skreddersydd trusselhåndtering
Du vil ha et selskap som har tilgang til systemet ditt, oppdager svakheter, gir beskyttelse og overvåker systemet døgnet rundt. Mange nettsikkerhetssystemer hevder å gjøre dette, men du bør se etter et som kan skreddersy en løsning til dine spesifikke behov. Nettsikkerhet er ikke én løsning som passer alle, så ikke slå deg til ro med et selskap som selger deg en slik løsning.
Trusseldatafeeder
Du trenger en oppdatert feed med webområder som har blitt plassert på en avvisningsliste, samt skadelige aktører som du bør holde øye med.
Tilgang til undersøkelser
Du trenger et selskap som gir deg tilgang til de siste undersøkelsene som viser hvordan hackere kommer inn, hva de vil og hvordan de får det. Bevæpnet med denne informasjonen kan bedrifter ta mer veloverveide avgjørelser.
Reelle løsninger
Et etterretningsprogram for nettrusler skal hjelpe bedriften din med å identifisere angrep og redusere risiko. Programmet må være omfattende – for eksempel vil du ikke ha et program som bare identifiserer potensielle problemer og ikke tilbyr løsninger.
I et stadig voksende trussellandskap kan nettrusler få alvorlige konsekvenser for organisasjonen din. Men med robust nettrusseletterretning kan du redusere risikoen som kan forårsake omdømmemessig og økonomisk skade. Be om demotilgang til Kasperskys Threat Intelligence-portal og begynn å utforske fordelene den kan gi organisasjonen din for å ligge i forkant av nettangrep.
Anbefalte produkter:
Kaspersky Enterprise Security Solutions and Services
Flere artikler:
Evaluering av løsninger for trusseletterretning: 4 punkter å vurdere