У сучасному світі, де кібератаки стають дедалі складнішими та витонченішими, розвідка кіберзагроз (Threat Intelligence) є важливим інструментом для їхнього розуміння, аналізу та запобігання потенційним атакам.
Відповідно до визначення Національного інституту стандартів і технологій США (NIST), розвідка кіберзагроз – це інформація про загрози, яка була зібрана, перетворена, проаналізована, інтерпретована та збагачена для прийняття обґрунтованих рішень у сфері кібербезпеки.
Як працює розвідка кіберзагроз в CERT-UA
У CERT-UA процес розвідки кіберзагроз включає чотири основні етапи: збір інформації, накопичення, збагачення (пошук додаткових індикаторів кіберзагроз, повʼязаних з цією активністю), структуризація.
Основні джерела інформації для розвідки кіберзагроз
Для збору актуальної інформації про загрози використовуються чотири основні джерела:
- Публічні джерела – відкриті дані, звіти вендорів, пости у соціальних мережах, аналітичні огляди.
- Обмін даними з партнерами – отримання інформації від інших суб’єктів забезпечення кібербезпеки та партнерів.
- Дослідження кіберінцидентів – основне джерело інформації, до того ж унікальної.
- Проактивний пошук загроз – використання інструментів розвідки для виявлення потенційних індикаторів загроз.
Як використовується розвідка кіберзагроз на практиці?
Після збору даних та ідентифікації загроз, інформація використовується для:
- Блокування ресурсів зловмисників через реєстраторів доменних імен або хостинг-провайдерів.
- Передачі даних щодо шахрайських сайтів колегам із НКЦК та НБУ, які можуть заблокувати загрозу через систему Protective DNS на рівні країни.
- Поширення інформації серед партнерів та організацій для підвищення захисту.
Чому важливо правильно розповсюджувати інформацію?
Розвідка кіберзагроз не обмежується збором та аналізом загроз – критично важливим є ефективне поширення отриманої інформації. Не можна просто публікувати знайдені індикатори де завгодно – вони мають бути релевантними, своєчасними, точними та придатними для застосування.
Розвідка загроз є важливим елементом кіберзахисту, оскільки вона дозволяє завчасно виявляти, аналізувати та нейтралізувати потенційні загрози. Вона стосується не лише збору та збагачення даних, а й обміну інформацією. Йдеться про обмін релевантною, своєчасною та точною інформацією, яку можна практично застосувати, щоб бути готовими до потенційних загроз.
Підсумуємо: “Ви поділилися – з вами поділилися – разом захистилися. Sharing is caring”.
За інформацією Держспецзв'язку