O co warto zapytać dostawcę usługi Threat Intelligence
Na rynku pojawia się coraz więcej ofert usług Threat Intelligence. Co kryje się pod tą nazwą? Jak taka usługa wpisuje się w mechanizmy bezpieczeństwa organizacji? Jak rozpoznać rzetelnego dostawcę i jakie pytania warto mu zadać przed dokonaniem wyboru?
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Informacje o zagrożeniach
Threat Intelligence nie doczekało się dobrego polskiego tłumaczenia. W pewnym zakresie charakter tej usługi oddaje sformułowanie “wiedza o zagrożeniach”, jednak pod tym pojęciem kryć się może wiele różnych usług i produktów. W najbardziej podstawowym wariancie klient może spodziewać się dostępu do informacji o wskaźnikach zagrożeń. Najczęściej będą to potencjalnie niebezpieczne adresy IP, domeny czy próbki złośliwego oprogramowania obserwowane we wcześniejszych atakach. Takim zestawem informacji łatwo jest zasilić systemy wykrywania zagrożeń, jednak nie gwarantuje to skutecznej ochrony. Atakujący może bez problemu zmienić zestaw używanych adresów IP, domen i plików, dzięki czemu wykrywanie ataków w oparciu o wcześniej zidentyfikowane wskaźniki może okazać się całkowicie nieudane. Stosowanie takich wskaźników zagrożeń powoduje też często wystąpienie fałszywych alarmów, które marnują cenny czas analityków. Oparcie systemu wykrywania ataków o dostarczone z zewnątrz wskaźniki zagrożeń jest proste od strony technicznej i organizacyjnej, jednak ze względu na niską skuteczność wobec nowych ataków można poszukać rozwiązań dostarczających skuteczniejszych narzędzi obrony. Warto zatem zapytać dostawcę, czy w usłudze oferuje również monitorowanie informacji o usługach i systemach organizacji a także monitorowanie wycieków firmowych danych. Zagrożenia mogą pojawiać się bez względu na porę dnia czy nocy, zatem można także upewnić się, czy dostawca zapewnia całodobową obsługę incydentów.
Monitorowanie wycieków i przewidywanie ataków
W ofercie części dostawców jednym ze składników usługi Threat Intelligence jest monitoring sieci pod kątem dostępności danych wykradzionych z danej organizacji oraz ewentualnych planów ataków na nią lub na sektor, w którym działa. Pozwala to na wczesne wykrycie wycieków danych, usunięcie błędów odkrytych przez atakujących lub przygotowanie do odparcia ataku, zanim on nastąpi. Warto jednak zaznaczyć, że najczęściej taki monitoring dotyczy informacji publicznie dostępnych. Jedynie bardzo wąska grupa dostawców potrafi zebrać informacje z zamkniętych, niedostępnych dla zwykłych użytkowników miejsc dyskusji przestępców. Tego rodzaju informacja nigdy też nie będzie kompletna – przestępcy rzadko chwalą się swoimi osiągnięciami i planami. Dlatego przed wyborem dostawcy usługi Threat Intelligence pożądane byłoby zapytać, czy dostawca potrafi skutecznie monitorować przestępcze fora internetowe i czy monitoringiem obejmuje także inne kanały komunikacji przestępców.
Dlaczego to nie wystarcza?
Zarówno dostarczanie informacji o wskaźnikach zagrożeń jak i występowaniu nazwy firmy w kontekście wycieków danych lub planowanych ataków są w większości przypadków procesami zautomatyzowanymi. Klient otrzymuje nieprzetworzone, surowe informacje pozbawione kontekstu i większej wartości. Dostarczenie prawdziwie wartościowych informacji, mogących istotnie podnieść szanse klienta na obronę przed atakami, wymaga zaangażowania grupy doświadczonych analityków, którzy dokonają odpowiedniej obróbki informacji. Tylko odpowiednio wykwalifikowany personel będzie w stanie kompleksowo przeanalizować atak, pokazać kontekst, w jakim występują informacje o zagrożeniach i ocenić związane z nimi ryzyko. Doświadczenie pracowników pozwoli także na podstawie dostępnych danych odnaleźć inne, do tej pory niedostępne istotne informacje o możliwych atakach jak np. artefakty sieciowe czy plikowe powiązane z konkretnymi narzędziami napastników. Aby ocenić doświadczenie dostawcy i jego personelu można zadać pytania o staż firmy na polskim rynku, nazwy klientów, których obsługuje do tej pory czy też jakimi wykrytymi zagrożeniami może się pochwalić.
Bez dużego nakładu pracy analityka nie sposób opisać taktyki, technik i procedur używanych przez atakujących – a dopiero tak wzbogacona i rozbudowana informacja o zagrożeniach może być naprawdę użyteczna dla zespołu bezpieczeństwa. Wiedza o tym, jak napastnik zdobywa dostęp do sieci ofiary, jak dokonuje rekonesansu i w jaki sposób przejmuje uprawnienia administracyjne pozwala często na identyfikację ataków, które dopiero będą miały miejsce lub które nie zostały do tej pory opisane z użyciem prostych wskaźników zagrożeń. Dlatego wskazane jest zapytać dostawcę, jaką część usługi stanowią informacje przekazywane automatycznie, a jaką wynik faktycznej, pogłębionej pracy analitycznej oraz czy zapewnia klientom bezpośredni dostęp do analityków.
Wiedza lokalna i globalna
Wybierając dostawcę usługi Threat Intelligence warto także zwrócić uwagę na to, czy firma świadcząca tę usługę posiada zarówno doświadczenie globalne, jak i lokalne. Brak wiedzy specyficznej dla danego kraju oraz sektora rynku może znacząco utrudniać wykrywanie i prawidłową interpretację lokalnych zagrożeń. Z drugiej strony globalne spojrzenie na zagrożenia istniejące poza granicami kraju pozwala na wczesne identyfikowanie nowych trendów, które jeszcze nie dotknęły lokalnych podmiotów. Można zatem zapytać dostawcę, czy i w jakim stopniu oferowana przez niego usługa zapewnia zarówno lokalne, jak i globalne spojrzenie na krajobraz zagrożeń i czy uwzględnia także zagrożenia sektorowe.T-Mobile, oferująca usługi Threat Intelligence, dzięki wykwalifikowanemu personelowi oraz bliskiej współpracy wewnątrz grupy kapitałowej jest w stanie zapewnić zarówno profesjonalną analizę przekazywanych informacji jak i kompleksowe podejście do identyfikacji zagrożeń.
Pytania, które warto zadać dostawcy usługi Threat Intelligence przed dokonaniem wyboru:
- Od ilu lat firma świadczy usługę na polskim rynku?
- Jakich klientów do tej pory obsługuje?
- Jakimi wykrytymi zagrożeniami może się pochwalić?
- Czy usługa zawiera monitorowanie wycieków danych z organizacji?
- Czy monitorowane są przestępcze fora internetowe i inne kanały komunikacji przestępców?
- Czy monitorowane są informacje o usługach i systemach organizacji?
- Czy w ramach usługi monitorowany jest poziom zagrożenia dla sektora, w którym działa organizacja?
- Czy dostawca usługi bierze pod uwagę kontekst lokalny i globalny?
- Czy obsługa incydentów świadczona jest całodobowo?
- Czy i w jakim zakresie informacje przekazywane w ramach usługi są analizowane przez specjalistów?
- Czy klient otrzymuje bezpośredni dostęp do analityków?
Data publikacji: 31.08.2018