Zatímco indikátory kompromisu (IoC) a taktiky, techniky a procesy útočníků (TTP) zůstávají ústředním bodem zpravodajství o hrozbách, potřeby zpravodajství o kybernetických hrozbách (CTI) v posledních několika letech vzrostly díky věcem, jako jsou digitální transformace, cloud computing, šíření SaaS a podpora vzdálených pracovníků.
Ve skutečnosti tyto změny vedly k vytvoření podkategorie CTI zaměřené na digitální ochranu před riziky. DRP je široce definována jako „telemetrie, analýzy, procesy a technologie používané k identifikaci a zmírnění rizik spojených s digitálními aktivy“.
Chcete dostávat do mailu týdenní přehled článků z CIO Business Worldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Začátkem tohoto měsíce jsem zkoumal výzkum ESG týkající se podnikových programů CTI. CISO zde investují, ale problémy přetrvávají. Také jsem se zaměřil na životní cyklus CTI. Téměř tři čtvrtiny (74 %) organizací tvrdí, že používají životní cyklus, ale mnohé popisují úzká místa v jedné nebo několika fázích tohoto životního cyklu.
ESG definovalo zpravodajství o kybernetických hrozbách jako „praktické znalosti založené na důkazech o nepřátelských záměrech kybernetických protivníků, které splňují jeden nebo několik požadavků“. V minulosti se tato definice skutečně vztahovala na data o IoC, seznamy reputace (např. seznamy známých špatných IP adres, webových domén nebo souborů) a podrobnosti o TTP.
Jak digitální ochrana před riziky podporuje adopci inteligence kybernetických hrozeb
Zpravodajská část DRP má poskytovat nepřetržité monitorování věcí, jako jsou přihlašovací údaje uživatelů, citlivá data, certifikáty SSL nebo mobilní aplikace, hledání obecných slabin, komunikaci hackerů nebo škodlivé aktivity v těchto oblastech. Podvodný web může například naznačovat phishingovou kampaň využívající branding organizace k podvádění uživatelů.
Totéž platí pro škodlivou mobilní aplikaci. Uniklé přihlašovací údaje by mohly být k prodeji na dark webu. Zločinci by si mohli vyměňovat nápady pro cílený útok. Asi chápete, o co se jedná.
Z výzkumu vyplývá, že šíření iniciativ digitální transformace působí jako katalyzátor programů pro inteligenci kybernetických rizik. Na otázku, proč jejich organizace zahájily program CTI, odpovědělo 38 % „jako součást širšího úsilí o ochranu digitálních rizik v oblastech, jako je pověst značky, ochrana vedoucích pracovníků, monitorování deep/dark webu atd. Výzkum také ukazuje, že 98 % podniků má nyní nějakou formu DRP zavedenou.
Nejdůležitější funkce ochrany digitálních rizik
Aby se společnost ESG mohla DRP zabývat podrobněji, požádala bezpečnostní profesionály, aby definovali nejdůležitější funkce DRP v jejich organizacích. Zde je šest nejlepších odpovědí:
Inteligence zneužívání zranitelností: Programy pro správu zranitelnosti pravidelně odhalují stovky nebo tisíce slabých stránek softwaru, ale jak se rozhodnout, které zmírnit jako první? Tím, že víme, které zranitelnosti ti zločinci zneužívají. DRP dokáže sladit zranitelnosti a známé exploity a poskytuje užitečné informace pro stanovení priorit záplat. Všimněte si, že to lze provést také pomocí nástrojů pro správu zranitelnosti založených na rizicích (např. Cisco/Kenna, Ivanti nebo Tenable).
Služby pro zastavení šíření: Národní centrum pro kybernetickou bezpečnost Spojeného království definuje služby pro zastavení šíření takto: „Služby pro zastavení šíření mají za cíl snížit návratnost investic pro útočníky tím, že odstraní weby a zablokují jakoukoli útočnou infrastrukturu, aby se omezilo poškození, které mohou tyto útoky způsobit.“ Když jsou odhaleny podvodné phishingové stránky nebo mobilní aplikace, jsou služby pro zastavení šíření nejkratší cestou ke zmírnění rizika.
Monitorování uniklých dat: Ať už se jedná o útok zevnitř, nedbalost zaměstnanců nebo nedbalé chování, úniky dat jsou až příliš časté. DRP vyhledává uniklá data dříve, než to může vést k poškození společnosti.
Monitorování škodlivých mobilních aplikací: Takzvaný „šedý software“ neboli „grayware“ může poškodit uživatelská zařízení nebo pošpinit pověst organizace. DRP je hodlá najít a rozdrtit na legitimních i neoficiálních obchodech s aplikacemi.
Ochrana značky: Ochrana značky chrání duševní vlastnictví (IP) společností a jejich přidružených značek proti padělkům, pirátům autorských práv, porušování patentů atd. Ty mohou být spojeny s phishingovými stránkami nebo dokonce s falešným fyzickým zbožím. DRP prohledává internet a hledá podvodníky, padělky a podvody.
Attack surface management (ASM): ASM je nepřetržité zjišťování, monitorování, analýza a náprava všech prostředků na útočné ploše. V některých případech je ASM součástí služeb DRP. DRP může také zahrnovat sledování dark webu kvůli zmínkám o organizaci a potenciálním plánování cílených útoků. Tato inteligence může organizacím pomoci zvednout štíty. Spíše než aby vytvořili DRP program, využívají mnozí poskytovatele služeb DRP, jako jsou CrowdStrike, Cybersixgill, Digital Shadows (Reliaquest), Intsights (Rapid 7), Mandiant, Proofpoint a ZeroFox.
Bez ohledu na jeho formu musí být DRP součástí vyspělého programu inteligence kybernetických hrozeb. Před spojením těchto dvou oblastí by CISO měli přistupovat k DRP s přístupem životního cyklu hrozeb. Úspěšné programy DRP budou založeny na vytvoření jasných prioritních zpravodajských požadavků (PIR), důkladné analýzy, přizpůsobených zpravodajských zpráv a nepřetržité zpětné vazby.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU