Organizacje wykorzystujące Cyber Threat Intelligence odnotowują 40-procentowe skrócenie MTTD (Mean Time to Detect, czyli średni czas wykrycia incydentu bezpieczeństwa) i 45-procentową redukcję MTTR (Mean Time to Repair, czyli średni czas do naprawy). Nie dziwi więc, że CTI jest jednym z narzędzi wykorzystywanych przez profesjonalne Security Operations Center do zwiększania skuteczności operacji i zapobiegania cyberzagrożeniom. Na czym polega i jak wpływa na cyberbezpieczeństwo firm?
Na czym polega Cyber Threat Intelligence?
Cyber Threat Intelligence polega na gromadzeniu i analizie informacji o potencjalnych zagrożeniach cybernetycznych. Ich zakres jest szeroki – od wykrywania złośliwych adresów IP, przez rozpoznawanie technik i rozwiązań wykorzystywanych przez cyberprzestępców, aż po identyfikację strategii grup hakerskich.
Informacje o zagrożeniach mogą mieć charakter:
- techniczny – dostarczają szczegółowych danych dotyczących rozwiązań używanych przez cyberprzestępców,
- operacyjny – dotyczą bieżących wydarzeń i przydają się w łagodzeniu aktywnych zagrożeń,
- taktyczny – bazują na nich zespoły ds. cyberbezpieczeństwa i na ich podstawie opracowują sposoby ochrony przed zagrożeniami,
- strategiczny – są wykorzystywane do podejmowania decyzji na szczeblu kierowniczym.
Ze względu na ogromne ilości danych do analizy, w Cyber Threat Intelligence wykorzystuje się m.in. algorytmy uczenia maszynowego i sztuczną inteligencję.
Stosowanie CTI skutkuje zmianą postawy z reaktywnej na proaktywną – pozwala bowiem wyprzedzać działania atakujących i przygotować się na nowe sposoby ataków. Dzięki zdobytej wiedzy specjaliści mogą rozpoznawać, identyfikować i przewidywać zagrożenia, a więc też skuteczniej chronić zasoby IT organizacji.
Jak Security Operations Center wykorzystuje dane z CTI?
Security Operations Center wykorzystuje dane o zagrożeniach pozyskiwane w ramach CTI na różnych poziomach operacji:
- Wskaźniki ataku (IOC), które pozwalają identyfikować złośliwą aktywność, są używane do szybkiego rozpoznawania i blokowania znanych zagrożeń w infrastrukturze, np. poprzez ustalenie reguł w systemach SIEM.
- Analitycy SOC wykorzystują też szczegółowe dane o metodach i narzędziach działań cyberprzestępców. Wiedza o nowo odkrytej podatności typu zero-day lub technice ataku pozwala wcześniej wprowadzić odpowiednie reguły detekcji bądź poprawki. Dzięki temu można ulepszać mechanizmy obronne, nadawać wyższy priorytet łataniu krytycznych podatności i usprawniać systemy wykrywania incydentów.
- Specjaliści działający w ramach SOC wykorzystują także dane o taktykach, motywacjach i celach cyberprzestępców. Nadają one kontekst złośliwym działaniom i ułatwiają zrozumienie, kto stoi za atakiem. Pozwala to lepiej przewidywać rozwój potencjalnych incydentów i planować działania obronne. Przykładowo: jeśli analitycy znają sposób działania danej grupy zajmującej się atakami ransomware, mogą szybciej zidentyfikować kolejne etapy incydentu i zablokować jego dalsze fazy.
- Dane zebrane w ramach CTI mogą również posłużyć specjalistom SOC do zwiększenia efektywności testów penetracyjnych i ćwiczeń typu red teaming. Scenariusze mogą być bowiem tworzone na podstawie realnych kampanii prowadzonych przez grupy hakerskie. Daje to możliwość realnej oceny poziomu przygotowania organizacji na incydenty.
Jak Cyber Threat Intelligence wpływa na cyberbezpieczeństwo firm objętych ochroną SOC?
W firmach korzystających z ochrony SOC zastosowanie CTI przekłada się bezpośrednio na wzrost odporności środowiska IT. Obejmuje to całościowe zarządzanie ryzykiem, które uwzględnia:
- aktualny kontekst zagrożeń,
- specyfikę branży,
- profil działalności organizacji.
Cyber Threat Intelligence pomaga unikać opóźnień w adaptacji systemów bezpieczeństwa. Dzięki ciągłemu dostarczaniu zaktualizowanych danych o zmieniających się technikach ataków, SOC może optymalizować swoje reguły detekcji i adaptować się do zmienionych warunków, zanim cyberprzestępcy wykorzystają nowe techniki przeciwko chronionym systemom.
Wpływ Cyber Threat Intelligence na cyberbezpieczeństwo firmy wykracza jednak poza sferę techniczną. Zgromadzone dane mogą być agregowane i przekształcane w raporty zrozumiałe również dla nietechnicznej kadry kierowniczej. Ułatwia to podejmowanie strategicznych decyzji i budowanie świadomości zagrożeń na najwyższym szczeblu organizacji.
W rezultacie dane z CTI służą nie tylko do wykonywania bieżących działań operacyjnych SOC. Rozwijają także zdolności adaptacyjne organizacji w obszarze cyberbezpieczeństwa. W dłuższej perspektywie znacząco wpływają na podniesienie poziomu odporności systemów i skrócenie cyklu reagowania na nowe formy zagrożeń.
Cyber Threat Intelligence w Security Operations Center Netii
Chociaż Cyber Threat Intelligence jest relatywnie nowym obszarem cyberbezpieczeństwa, nasze polskie firmy również z niego korzystają. Przykładem może być Security Operations Center od Netii, które integruje CTI bezpośrednio z codziennymi procesami. Specjaliści korzystają zarówno ze źródeł otwartych, jak i danych pochodzących z własnej sieci. Pozwala im to przeciwdziałać zagrożeniom, które nie są jeszcze szeroko rozpoznane.
SOC Netii łączy też działania CTI z Threat Huntingiem, zapewniając większe pokrycie potencjalnych wektorów ataków. To skuteczny sposób na poprawę bezpieczeństwa firmy – szczególnie takiej, która jest narażona na intensywne działania cyberprzestępców ze względu na działanie w kluczowym sektorze gospodarki czy przetwarzanie wrażliwych danych.
Cześć, nazywam się Tomek i jest IT Managerem oraz fanem nowych technologii. Na moim blogu znajdziecie wiele nowinek z tego świata.
