Pekerjaan sering membuat saya terlibat dalam percakapan dengan klien di Keamanan cyber, program mereka, pemahaman mereka tentang apa arti keamanan dan bagaimana menerapkannya di organisasi mereka.
Di antara berbagai tema, satu yang sangat berulang diwakili oleh Kecerdasan Ancaman Dunia Maya.
Setelah muncul di pasar selama tujuh hingga delapan tahun sekarang, mereka sering dilihat sebagai Cawan Suci untuk mengidentifikasi penyerang yang tertarik sebelum dia menyerang atau, paling buruk, segera setelah tanda-tanda kompromi muncul. endpoint atau jaringan.
Mari kita mulai dari definisi Intelijen yang sederhana - penjabaran informasi prediktif berdasarkan bukti-bukti tertentu - untuk belajar dari dunia militer bagaimana mencegah investasi di CTI yang bahkan penting tidak menghasilkan nol kembali.
Di lingkungan militer, fase pengumpulan informasi didahului oleh satu lagi yang sangat penting dan terlalu sering diremehkan: perencanaan dan arahan, di mana badan komando menentukan tujuan informasi yang dianggap perlu untuk keputusan mereka sendiri.
Hal ini dimaksudkan agar koleksi tidak menjadi tujuan itu sendiri atau spektrum yang luas, tetapi sangat terarah dan terfokus; 2500 tahun yang lalu sudah ahli strategi militer Cina yang terkenal - Sun Tzu - merekomendasikan untuk mengetahui musuh Anda dan diri Anda sendiri, dalam urutan itu!
Kenali dirimu sendiri itu berarti memiliki visibilitas yang tepat dan lengkap tentang bagaimana keanekaragaman hayati digital seseorang tersusun: di mana sumber dayanya, jenisnya apa (elemen seluler, server, sumber daya cloud, wadah aplikasi, aplikasi web…).
Kemudian tentukan kemampuan pengamatannya: apakah mungkin untuk memecah dan memasang kembali, menggabungkan dan merinci, menginterogasi dan mengabstraksi informasi yang dapat ditindaklanjuti dari metadata di lingkungan digital, berdasarkan kasus penggunaan seseorang?
Dan setelah Anda menginventarisasi cakrawala TI Anda, seberapa mudahkah untuk menetapkan tingkat kekritisan sumber daya?
Ini berarti mengenal diri sendiri, dan itu adalah conditio sine qua non untuk melanjutkan dengan mengetahui musuh Anda yang menentukan cara mengonsumsi CTI.
Yang di bidang militer dibagi menjadi tiga fase: Elaborasi, Produksi Informasi, Diseminasi. Tiga fase yang sedikit atau tidak ada hubungannya dengan pemasok CTI, tetapi sering melihat proyek yang sangat menjanjikan gagal baik dari segi anggaran maupun kualitas umpan.
L 'pengolahan itu menyangkut kemampuan untuk mengkategorikan informasi umpan, menghubungkannya satu sama lain dan dengan informasi pihak ketiga, untuk mengevaluasi kepentingannya. Kemampuan ini harus ada dan mungkin dilakukan dengan sumber daya sendiri, karena kecepatan, kelincahan dan dinamisme adalah karakteristik penting untuk menghasilkan nilai.
La produksi informasi memperluas lebih lanjut apa yang memenuhi syarat pada fase sebelumnya, mengubah data yang tidak homogen menjadi informasi yang dapat digunakan berkat analisis metadata yang dinormalisasi.
Selesaikan siklus konsumsi ancaman dunia maya kecerdasan tahap penyingkapan, yang terdiri dari distribusi informasi yang dielaborasi ulang untuk mendukung proses sebanyak mungkin.
Dua fase terakhir ini membutuhkan pengetahuan mendalam tentang calon pengguna informasi, serta platform teknologi yang mendukung transformasi.
Akhirnya, ini membantu untuk memahami tiga kemungkinan jenis intelijen ancaman cyber yang mencirikan operasi pengumpulan, untuk menggambarkan model kategorisasi dan konsumsi dalam proses yang disebutkan di bawah ini - serta menentukan tingkat keusangan informasi.
Tipe pertama adalah CTI Strategis: terdiri dari analisis dan informasi yang biasanya berdurasi beberapa tahun, berfokus pada siapa dan mengapa dalam kaitannya dengan penyerang tertentu.
Biasanya dikembangkan untuk audiens non-teknis, didasarkan pada analisis demografi korban, pada kampanye serangan makroskopik dan bertujuan untuk klasifikasi kelompok penyerang dan motivasi (peretasan, keuangan, politik, disponsori oleh negara…). Ada berbagai kategorisasi, misalnya yang disediakan oleh Mandiant (bagian dari grup FireEye) berdasarkan akronim yang berisi motivasi dan nomor progresif: APT untuk Ancaman Persisten Lanjutan, FIN untuk Keuangan, dll.
Tipe kedua adalah CTI operasional, berfokus pada pengungkapan bagaimana dan di mana. Dikembangkan untuk pengguna teknis dan non-teknis, ini menjelaskan elemen seperti alat, teknik, dan prosedur - atau TTP - yang digunakan untuk melakukan serangan.
Ini menunjukkan ciri ciri seperti ketekunan, teknik komunikasi yang digunakan, deskripsi metodologi dan aturan.
Misalnya, menggambarkan teknik rekayasa sosial atau modus operandi keluarga malware.
Tipe ketiga adalah Taktik CTI, yang mewakili bentuk yang paling mudah dicerna dan yang konsumsinya membutuhkan lebih sedikit kematangan. Ditujukan untuk audiens teknis, ini menjelaskan peristiwa keamanan, contoh malware, atau email phishing.
Termasuk tanda tangan untuk mengenali malware dan indikator serangan atau kompromi (IoA, IoC) seperti IP, domain, hash file, yang dapat dengan mudah diimplementasikan untuk meningkatkan perimeter, pemantauan, dan pertahanan respons untuk memblokir upaya atau mengurangi situasi kompromi.
Jika benar penggunaan lengkap ketiga bentuk tersebut seringkali lebih merupakan masalah kebutuhan daripada anggaran, bahkan ketika kedua syarat ini terpenuhi, pertanyaannya menjadi lain.
Proses yang baik harus mengarah pada koordinasi timbal balik antara hasil dari tiga tingkat umpan yang berbeda, yang tidak boleh bekerja sebagai "silo": umpan tingkat strategis dapat digunakan untuk memandu dan menyempurnakan pencarian informasi di tingkat operasional dan taktis; sama, temuan intelijen khusus pada tingkat taktis dapat membantu dalam mendefinisikan kembali tujuan informasional penelitian tingkat strategis.
Situasi ini terkadang diperparah oleh kurangnya keterampilan komunikasi antara tingkat manajemen teknis dan tingkat strategis, dengan dampak langsung pada tahap perencanaan dan manajemen yang mempengaruhi definisi tujuan yang jelas dan bersama; sehingga mencemari seluruh nilai, mendukung pengeluaran untuk sistem atau teknologi yang berlebihan atau hanya berguna untuk solusi masalah tertentu.
Saya menyimpulkan analisis singkat ini dengan tiga pertanyaan, untuk membantu memahami jenis, pakan, atau pemasok CTI mana yang tepat untuk Anda.
Apakah tujuan yang didukung oleh koleksi CTI jelas, terdefinisi dengan baik dalam substansi dan perimeter?
Bagaimana kemampuan mengkonsumsi ketiga jenis CTI tersebut? Bahkan seiring waktu, respons ini dapat berkembang dan berkembang
Apakah sumber daya dan tingkat spesialisasi untuk mengkonsumsi CTI dengan cara yang nyata dan menghasilkan nilai tersedia dalam ukuran yang memadai?
Seperti di militer, begitu juga di Keamanan cyber jawaban jujur atas ketiga pertanyaan ini akan memenuhi kebutuhan dan sifat CTI, sehingga - mengutip Sun Tzu - mengetahui diri Anda sebagai musuh, bahkan di tengah-tengah seratus pertempuran Anda tidak pernah dalam bahaya.
