Fagblogg | NetSecurity

Hvilken rolle spiller threat intelligence i sikkerhetsovervåking?

Skrevet av Henrik A. Byberg | 7. november 2018 11:17:43 Z

De siste ukene har vi skrevet om sikkerhetsovervåking, og begrepet threat intelligence har kommet opp. Dette er et velkjent begrep for oss som jobber med IKT-sikkerhet, men kanskje ikke fullt så kjent for deg som ikke har en teknisk bakgrunn innen IT.


Threat intelligence, eller ‘trusseletterretning’ på godt norsk, kan defineres som en kombinasjon av taktisk og strategisk analyse av data fra en rekke ulike kilder. Formålet er å generere taktisk informasjon som man kan benytte i teknisk utstyr, og strategisk informasjon, som identifisering av trusselaktører, motiver og ressurser.

De akkumulerte dataene fra de ulike trusseletterretningskildene gjør at man får tatt i bruk riktige forsvarsmetoder før et angrep skjer. For eksempel bidrar leverandører av brannmurer, antivirus, osv. med informasjon om trusler og aktivitet som er nyttig, og kan deles på tvers.

 

Hvorfor er trusseletterretning så viktig?

Trusseletterretningsløsninger samler rådata om nye eller eksisterende trusselaktører og trusler fra en rekke kilder. Disse dataene blir deretter analysert og filtrert for å produsere trusseloppdateringer og rapporter som inneholder informasjon som kan brukes for eksempel i sikkerhetsovervåking, og for å hindre angrep før de skjer.

Hovedformålet med denne sikkerhetstjenesten er å holde organisasjoner og virksomheter informert om og beskyttet mot risikoen for avanserte, vedvarende trusler, nulldagssårbarheter og utnyttelser – og hvordan man kan beskytte seg mot disse.

Informasjonen fra trusseletterretning kan i mange tilfeller brukes til automatisk å beskytte mot fremtidige trusler.

Når du tar trusseletterretning i bruk på riktig måte, vil den bidra til følgende:

  • Holder deg oppdatert på det ofte overveldende volumet av trusler, inklusive metoder, sårbarheter, mål og fiendtlige aktører.
  • Hjelper deg med å bli mer proaktiv overfor fremtidige trusler.
  • Bistår leverandører og bedrifter med å holde seg informert om de siste truslene og konsekvensene de kan ha for virksomheten.
  • Bidrar til at sikkerhetsovervåking kan oppdage relevante trusler og prioritere de mest reelle.

 

Hva er typiske indikatorer?

Bedrifter er under konstant press for å holde kontroll på sårbarheter, samtidig som trusselbildet endrer seg ekstremt hurtig. Trusseletterretning kan bidra i dette arbeidet, ved å identifisere typiske indikatorer og komme med anbefalinger til nødvendig grep for å stoppe angrep og infeksjoner.

Noen av de vanligste indikatorene:

  • Kjente IP-adresser, webadresser og domenenavn. Eksempelvis skadevare som prøver å nå en PC eller server fra en IP-adresse som er en velkjent angriper eller trussel
  • E-postadresser, emnefelt i e-post, linker eller vedlegg. Eksempel: Phishing-mail som baserer seg på at en bruker klikker på en link og laster ned eller starter et skadelig vedlegg.
  • Registry-keys, filnavn eller systemfiler. Eksempel: En ekstern angriper som allerede er flagget for mistenkelig oppførsel eller allerede er infisert.
  • Pågående kampanjer mot industrier, land eller organisasjoner. Ofte blir angriperens teknikker og infrastruktur avdekket av noen andre, tidligere i kampanjene, noe som lar andre beskytte seg i forkant av at angrepene rammer dem.

Trusseletterretning spiller en viktig rolle i en SOC, da den gir grunnlag for å reagere på alarmer, og dessuten gir en pekepinn på hva man skal se etter i overvåkingen.

 

Trusseletterretningskilder

Eksempler på kilder en SOC kan hente threat intelligence fra:

  • Åpne og lukkede sikkerhetsfora
  • Informasjon fra teknologipartnere
  • Tredjeparts trusseletterretningsleverandører
  • Nasjonale instanser (NSM)
  • Andre kunder tilegnet SOC

 

Holisme gir mer effektiv beskyttelse

For å klare å holde seg løpende oppdatert på og proaktiv overfor et trusselbilde som er i konstant endring, må dagens organisasjoner og virksomheter få informasjon fra et så stort utvalg kilder som mulig. Det holder ikke å operere med data kun fra egne nettverk og systemer. Trusseletterretning gir et helhetsbilde som bidrar til langt mer effektiv beskyttelse mot trusler.