Kako se tvrtke trebaju postaviti prema obavještajnim informacijama o sigurnosnim prijetnjama? Kako tvrtka treba koristiti ovakvu uslugu? Evo što preporučuju u Symantecu
Prema Symantecovom istraživanju, 72 posto organizacija planira povećati svoju potrošnju upravo u području obavještajnih informacija u sljedećih 12 do 18 mjeseci.
Međutim, većina profesionalaca koji su odgovorni za ovo područje unutar svoje organizacije kažu kako im je vrlo teško zaključiti koji je najpouzdaniji izvor tih obavještajnih informacija o sigurnosnim prijetnjama i incidentima te iz kojeg bi izvora mogli dobiti informacije koje će im najviše koristiti.
Kako se tvrtke trebaju postaviti prema obavještajnim informacijama o sigurnosnim prijetnjama? Kako bolje razumjeti problematiku obavještajnih informacija u području sigurnosnih prijetnji? Kako neka tvrtka treba koristiti ovakvu uslugu?
Sljedećih pet točaka nudi savjete kako najbolje integrirati obavještajne informacije u sigurnosnu politiku svake organizacije.
1) Obavještajne informacije nisu tek podaci, već kombinacija pouzdanih podataka i informacija koje su prikupljene iz velikog raspona izvora iz cijelog svijeta.
Ovi podaci moraju sadržavati brojne informacije, prikupljene iz elektroničke pošte, zahtjeva na webu i komercijalnih proizvoda koji nadziru cijeli ekosustav prijetnji 24 puta 7 puta 365.
Te je informacije potrebno analizirati i filtrirati korištenjem analitike velike količine podataka i automatiziranog strojnog učenja. Potrebno je prepoznati obrasce koji se ponavljaju te korelacije između pojedinih indikatora i događaja.
Potom podatke treba pregledati i dodatno obraditi trenirani analitičar koji može jamčiti da su oni zaista relevantni za krajnje korisnike i da su prezentirani u formatu u kojemu im mogu biti korisni.
2) Obavještajne informacije moraju biti prilagođene baš pojedinoj organizaciji.
Posao utvrđivanja složen je već i zbog same nevjerojatne količine podataka koji dolaze iz velikog broja kontrolnih točaka. Obavještajne informacije koje kupujete moraju biti relevantne za vaš konkretan gospodarski sektor i zemlju u kojoj organizacija posluje, te također moraju biti korisne za veći broj timova unutar tvrtke.
Svaka organizacija mora pitati svoj analitički tim kako se točno prikupljene informacije odnose na njezino konkretno poslovno okruženje, a sve kako bi ih mogla gledati, tumačiti i organizirati aktivnosti tako da se one fokusiraju na najveće prijetnje i rizike koji se nalaze pred organizacijom.
3) Obavještajne informacije o prijetnjama moraju se uklopiti u postojeću strategiju sigurnosti.
Većina tvrtki vjerojatno je već uložila u niz sustava, poput sustava za upravljanje informacijama i postizanje zakonske usklađenosti ili pak sustava za upravljanje sigurnosnim prijetnjama i reakciju na napade. Možda već koriste i obavještajne informacije o sigurnosnim prijetnjama ili usluge jednog ili dvaju analitičara.
Usklađivanje svih tih resursa bit će stoga izuzetno važno: oni moraju biti integrirani u poslovne procese cijele tvrtke. Upravo zbog toga obavještajne informacije koje koristite također moraju biti dostupne u raznim formatima, uključujući i dobro promišljeno korisničko sučelje, ali i sustav API poziva koji nudi osnovne građevne blokove koji softverskim inženjerima omogućavaju da obavještajne informacije integriraju u postojeća sigurnosna rješenja u tvrtki.
Uz ovakvu integraciju, organizacije mogu bolje prilagoditi svoje proračune za sigurnost i usmjeriti i ljudske resurse i one tehnološke na područja na kojima je najveći fokus hakera.
4) Obavještajne informacije moraju imati osobni pristup.
Kako količina sigurnosnih prijetnji i brzina kojom se one pojavljuju rastu, proces njihova identificiranja u vašem sektoru i u vašoj tvrtki vjerojatno je tek jedna od stvari na vašoj listi zadataka. Planiranje budućih sigurnosnih operacija također je možda značajan problem mnogima.
Kako bi ovaj proces bio uspješno proveden, tvrtkama su potrebne bogate kontekstualne informacije koje su posljedica ljudskog istraživanja i analiza. Potrebne su poveznice tehničkih indikatora, IP adresa i domena, kao i duboka razina poznavanja neprijatelja, njihovih motivacija i namjera.
Ovu vrstu obavještajnih informacija mogu dati analitičari čije su obrazovanje i ekspertiza mnogo širi od tradicionalnih sigurnosnih certifikata te su zapravo na visokoj razini sposobnosti da mogu i samostalno detektirati cyberneprijatelje.
5) Obavještajne informacije moraju biti inteligentne.
Obavještajni podaci ključni su u procesu upravljanja rizicima. Vaši obavještajni izvještaji morali bi sadržavati informaciju o tome kakav je povrat investicije u ova rješenja i podatke – bez obzira radi li se o prijetnji na nacionalnoj razini koju ste uspjeli spriječiti ili cyberkriminalu koji je mogao ozbiljno naštetiti reputaciji vaše tvrtke.
Čitljivi izvještaji pomažu direktorima tvrtke da bolje donesu strateške odluke oko toga jesu li potrebne neke nove sigurnosne mjere, naročito kada se tvrtka upušta u preuzimanja drugih tvrtki, lansiranje novih proizvoda ili otvaranje ureda u novoj zemlji.