המותג שלך הוא מטרה, כיצד להגן עליו מפני תוקפים, יריבים ושחקנים מדינתיים באמצעות מודיעין איומים ובינת אבטחה (בינת איומים).

המוניטין של כל ארגון הוא הכל, וככל שארגון מגדיל את הנוכחות הדיגיטלית כדי להתחבר לקהלים חדשים, לשפר את חוויות הלקוחות, ולהרחיב את השירותים וההצעות, המותג יכול להיות פגיע לקבוצות תקיפה ויריבים מכל הסוגים: תוקפים ממניעים כלכליים, מתחרים שמנסים להשיג את הפנטנים, והאקטיביסטים שרוצים לערער את הנוכחות הדיגיטלית של הארגון. נוכחות דיגיטלית דורשת חשיבה לעומק והבנה כיצד להתגונן מפני סיכון דיגיטלי, וככל שנתקדם לעבר תוכנית מודיעין איומים ובינת אבטחה מקיפה, חיוני שהגנת המותג תשולב עמוק באסטרטגיה.

מודיעין איומים ובינת אבטחה הם מסע ארוך שטומן בחובו אבני בניין רבים, כמו, גישות אבטחה, התנהגות, סביבה ארגונית, צוותי אבטחה, אוטומציות כלים וכן הלאה. מודיעין ובינה מקיפה בזמן אמת חייבת להיות ארוגה היטב בתהליכי האבטחה בתוכנית ניהול הסיכונים כולל צד שלישי ובאסטרטגיית ההגנה על המותג. אם כך, איך אפשר לפתח מודיעין איומים שנותן ערך לארגון? ואיך אפשר להבטיח שהבינה ניתנת לפעולה עבור צוותים בכל פונקציות האבטחה? כדי לענות על שאלות אלה והרבה אחרות, חשוב להבין ולראות את ייצור המודיעין כתהליך מחזורי המבוסס על שלבים מגוונים – ולא כמשימה נקודתית בזמן.

מאמר שנוגע בשלבים של מודיעין איומים, טיפים ומידע נוסף, וחלק מתוך סדרת מאמרים על מודיעין איומים ואפשרויות בנייה יחד עם Microsoft Sentinel ועם  Microsoft Threat Intelligence ועם כלים נוספים המתבססים על גישות אחרות והתנהגות.

מחזור החיים של מודיעין איומים משמש כמסגרת לצוותים בהכוונה של הדרך כדי להתוות וליישם אמצעי אבטחה בצורה יעילה ואפקטיבית יותר. זהו תהליך מתמשך של הפקת מודיעין מנתונים גולמיים המאפשר בניית מנגנוני הגנה כדי למנוע סיכונים ואיומים מתעוררים בנוף האבטחה הדינמי והמתפתח. מחזור החיים של בינת האיומים מסייע ומנחה צוותי מודיעין בבניית פלטפורמת מודיעין ובינת איומים יעילה.

המטרות של מחזור המודיעין חייבות להיות מוגדרות על ידי בעלי עניין מרכזיים, ולא אחרת! יעדים אלה עשויים להשתנות במידה רבה מארגון לארגון ומסביבה לסביבה, במקרה הזה, המותג קובע. אם כך, מה יכולים להיות הפרמטרים? צריך להיצמד לתוכנית ולעקרונות המתבססים על מתודלוגיה קיימת או כזאת שאנו יוצרים, וע"י התאמה של הדרישות שאנו מפתחים בתוך הבית – זה יכול להיות בהתאם למקרי שימוש, סדרי עדיפויות וסיכון.

משם, יש לאסוף נתונים ממגוון מקורות – פנימיים, טכניים ואנושיים – כדי לפתח תמונה מלאה של איומים פוטנציאליים וממשיים. לאחר מכן, יש לעבד את הנתונים הללו ולהפוך אותם למודיעין ממשי בזמן, ברור וניתן לפעולה עבור כולם – בין אם הם מאיישים SOC, מגיבים לתקריות אבטחה, מנהלים פגיעויות, מנתחים סיכונים של צד שלישי, מגנים על המותג הדיגיטלי או מקבלים החלטות אבטחה ברמה גבוהה. תוצר מודיעיני מוגמר זה חוזר לאחר מכן לבעלי עניין מרכזיים, שיכולים להשתמש בו כדי לשפר ללא הרף את מחזורי המודיעין העתידיים ולחדד את תהליך קבלת ההחלטות שלהם.

אפשר להיצמד לעקרונות המוכרים של Threat intelligence Lifecycle כנקודות לבנייה של פרמייוורק ותהליך ומשם להוסיף את שלנו.

מחזור החיים של מודיעין איומים

מודיעין איומים בנוי על טכניקות אנליטיות שהושחזו במשך עשורים על ידי גורמים וסוכנויות מגוונות בינהם, ספקי אבטחה, סוכנויות ממשלתיות וצבאיות. המודיעין מתמקד במספר שלבים נפרדים המרכיבים את "מחזור המודיעין" והם: הכוונה ויעד, איסוף מידע, עיבוד הנתונים, ניתוח, דליברי והפצה וכן משוב.

המרכיבים המוזכרים הם הבסיס ועליהם אנו מפתחים גישה, התנהגות, משייכים כלים ספציפיים ורוקמים את כל אבני הבניין לתהליך שמותאם לסביבה ותהליך שצריך להשתפר בפרקי זמן קצרים.

אסטרטגיה והכוונה

השלב הראשון הוא השלב שבו מקבלים את ההכוונה ומגדירים יעדים עבור תוכנית מודיעין האיומים. זה כרוך בהבנה ובניסוח של נקודות רבות, בין היתר:

• מהו המותג הדיגיטלי – שאלות מוגדרות מראש ודינמיות בהתאם למותג
• נכסי המידע והתהליכים העסקיים שיש להגן עליהם – במידה ויש טריט מודלינג אז נקודות עסקיות יסייעו לנו
• ההשפעות הפוטנציאליות של אובדן נכסים אלה או הפרעה לתהליכים אלה
• סוגי בינת האיומים הנדרשים כדי להגן על נכסים ולהגיב לאיומים
• סדרי עדיפויות לגבי מה להגן – אי אפשר להגן על הכל באותה מידה וישנם הבדלים בסיכון הוצאת מידע ע"י גורם לא מאושר

לאחר קביעת דרישות וצרכים מודיעינים ברמה הגבוהה והאיכותית ביותר, ניתן לנסח שאלות המנתבות את הצורך במידע והנתונים לדרישות נפרדות. לדוגמה, האם המטרה היא להבין קבוצות תקיפה אפשריות? שאלה אחרת תהיה, "אילו שחקנים נמצאים על הגדר ורוצים לשים ידם על הנתונים הרגישים בארגון?" שאלות יש למכביר, ולצד שאלות מוגדרות מראש אנו צריכים סט שאלות דינמיות שמוגדרות למצב, התנהגות, גישה, תלוי מותג וכן האלה.

הגדרת יעדים מותאמים והכוונה ברורה מסייעת לאנשים להבין מה נדרש מהם במהלך מחזור החיים של המודיעין, והיא גם מאפשרת להראות לגורם הניהולי מה אנו מתכוונים לבצע, כמה זה יעלה ולמה זה נחוץ. בנוסף, חלק מהשלבים יהיו עבודת יסוד חיונית שנשתמש בה בהמשך התהליך כדי לתעדף פריטי פעולה.

לאחר שהשגנו הכוונה ואת המידע הנדרש עם כל הנקודות, הדרישות והבנת הדרישות, אנו יכולים ליצור אסטרטגיה של מודיעין האיומים. אסטרטגיה כזאת אינה חייבת להיות מורכבת עם מסמך איפיון שאינו נגמר, ויכולה להיות משהו פשוט שכל גורם יודע את מקומו, גורם אנושי, או טכנולוגיה.

הדיאגרמה הבאה נוגעת במצב של מודיעין איומים שמתבסס על אנשים, תהליכים וטכנולוגיות.

איסוף מידע

שלב האיסוף הוא החלק שבו אנו אוספים מידע כדי לתת מענה לדרישות המודיעין החשובות ביותר. איסוף מידע יכול להתרחש בדרכים מגוונות ושונות, למשל, באופן אורגני במגוון אמצעים, בין היתר:

• איסוף מטה-נתונים ולוגים מסביבות פנימיות ומערכות אבטחה
• הזנות נתונים מתוך מאגרי מידע וספקי אבטחת סייבר
• ניהול דיונים ותחקור ממוקד עם מקורות מידע אנושיים
• סריקת חדשות, פורומים פתוחים ומידע מתוך בקוד פתוח
• חדירה למקורות סגורים, כמו, הרשת האפלה

הנתונים הנאספים בדרך כלל יהיו שילוב של מידע מתקדם או מוגמר, כגון דוחות מודיעין ממומחי אבטחת סייבר וספקים, ונתונים גולמיים, כגון חתימות של תוכנות זדוניות או אישורים שדלפו, וכן הלאה.

עיבוד הנתונים

שלב העיבוד הוא שלב הפיכת המידע והנתונים שנאספו לפורמט נגיש ושמיש. במצב כזה, הנתונים הגולמיים שנאספו צריכים להיות מעובדים באופן כלשהו, בין אם בדרך אוטומטית או ידנית. שיטות איסוף שונות דורשות לעתים קרובות אמצעי עיבוד שונים, ולכן, עלול להיות מצב שבו יהיה צורך לתאם ולדרג דוחות אנושיים, לנטרל אותם ולבדוק אותם שוב.

דוגמה לכך עשויה להיות חילוץ כתובות IP מדוח של ספק אבטחה והוספתן לקובץ CSV לצורך ייבוא לתשתית SIEM. במקרה אחר, העיבוד עשוי לכלול חילוץ נתונים מתוך הודעת דואר אלקטרוני, העשרה שלהם במידע אחר ולאחר מכן תקשורת עם כלים להגנה על נקודות קצה לחסימה אוטומטית.

טיפ: הטמע את השימוש של MITRE בתהליכים וניטור האיומים.

כידוע MITRE היא טקסונומיה ומטריצה לשימוש של קבוצות תקיפה נפוצות, וקטורים של התקפה, מקורות נתונים וכן הלאה. הוא מגיע גם עם כלי שאיתו ניתן להשתמש כדי להתוות, לפשט ולבאר את האיומים הרלוונטיים. במצב כזה, אפשר לתקשר בבירור את האופי המדויק של רוב האיומים, ולהגיב עם תובנה עשירה יותר, תוך שימוש בשפה סטנדרטית. בסופו של דבר, נשתמש באותו מידע כדי להגן באופן יזום על המותג.

ניתוח

שלב הניתוח הוא תהליך משולב בו נעשים פעולות אוטומטיות ופעולות אנושיות שהופכות מידע מעובד למודיעין שיכול לקבל החלטות. בהתאם לנסיבות, ההחלטות עשויות לכלול אם לחקור איום פוטנציאלי, אילו פעולות לנקוט באופן מיידי כדי לחסום התקפה, כיצד לחזק את בקרות האבטחה או כמה השקעה במשאבי אבטחה נוספים מוצדקת.

האופן והצורה שבה מוצג המידע חשוב במיוחד, ואף קריטי. זה חסר תועלת ובזבזני לאסוף ולעבד מידע ולאחר מכן למסור אותו בצורה שאינה מובנת ומשמשת את מקבל ההחלטות. לדוגמה, אם ברצונך לתקשר עם גורמים שאינם טכניים (הנהלה), הדוח צריך להכיל בין היתר את הנקודות הבאות:

• להיות תמציתי (תזכיר בן עמוד או סליידים בודדים)
• הימנעות ממונחים טכניים (אלא אם כן נשאלים, וגם אז להביא מונחים טכניים בצורה מעודנת)
• ניסוח הנושאים במונחים עסקיים (עלויות ישירות ועקיפות, השפעות)
• דרכי פעולה מומלצות

ייתכן שיהיה צורך להעביר בינה מסוימת במגוון פורמטים עבור גורמים וקהלים שונים, למשל, באמצעות דיון פרונטלי, או במקרה אחר, דיון דיגיטלי קצר – תלוי בסיטואציה. אנו לא חייבים תמיד להעלות או לפרסם מודיעין באמצעות דוח רשמי וארוך – במקרים רבים, דוחות ארוכים אינם נקראים, או שרלוונטי לגורמים בודדים. צוותי מודיעין צריכים לספק דיווח טכני רציף לצוותי אבטחה אחרים עם הקשר חיצוני סביב ארטיפקטים בעלי ערך, כמו, אינדיטקורים, שחקנים חדשים במרחב, שחקנים שיכולים להשפיע על המותג, פגיעויות, טרנדים ומגמות, שטחי תקיפה חדשים ועוד.

בניתוח תמיד עולה הסוגיה של ניתוח אוטומטי וניתוח ידני – כמויות הנתונים מצריכות מאיתנו לעשות המון אוטומציה, עם זאת, חשוב להדגיש כי לא כדאי ולא מומלץ לוותר על הגורם האנושי.

ניתוח אוטומטי – השימוש בבינה מלאכותית (AI) או באלגוריתמים מורכבים כדי לסווג באופן אוטונומי נתונים רלוונטיים וליצור התראות כדי להזהיר האם ישנה דליפת מידע. זה יכלול בנייה, פענוח ותרגום של נתונים, ולאחר מכן ניתוח שלהם, הקטנתם, סינון, קורלציה וצבירה של סוגי הנתונים.

ניתוח ידני – ניתוח ידני של הנתונים ע"י הגורם האנושי עם הבנה מתאימה של תוכנית איסוף הנתונים, דרישות הנכסים והמותג, האסטרטגיה האנליטית וסוגי הנתונים הנבדקים. המטרה היא לקבוע מה רלוונטי.

דליברי

הדליברי או ההפצה כרוכה בהבאת התפוקה המודיעינית המוגמרת למקומות שאליהם היא צריכה להגיע. ישנם ארגונים שבהם ישנם מספר צוותים שיכולים להפיק תועלת מבינת איומים ומודיעין, ובמקרים אחרים של ארגונים קטנים שאין גיוון של צוותים זה יהיה מרכזי יותר. עבור כל אחד מהקהלים האלה, אפשר לשאול:

• לאיזה מודיעין איומים הם זקוקים?
• כיצד מידע חיצוני יכול לתמוך בפעילותם?
• כיצד יש להציג את המידע ולהפוך אותה לפשוטה?
• באיזו תדירות עלינו לספק עדכונים?
• באילו אמצעי תקשורת יש להפיץ את המודיעין?
• איך אנחנו צריכים לעקוב אחר סוגיות ושאלות?

טיפ: כדאי לשקול שליחת סקרים בתדירות גבוהה, חודשי או רבעוני כדי לקבל משוב רציף, או לקיים פגישות קבועות בין גורמים שונים, טכניים ושאינם טכניים. אלה בתורם מסייעים ליצירת משוב בזמן קצר יותר ואף אמיתי, כך שניתן לפרוס את הלמידה מיד ולהשתפר תוך כדי תנועה.

דיאגרמה נוספת שמציגה מבט מעניין על מודיעין והאפשרות לפדבק מתוך תהליכים שונים, כמו, גישת אפס אמון יחד עם על הפילארים הטכניים שמרכיבים אותה ואנבי בהניין של מודיעין איומים.

פידבק

יש חשיבות קריטית להבין את סדרי העדיפויות המודיעינים הכוללים ואת הדרישות של צוותי האבטחה שיצרכו את מודיעין האיומים. הצרכים מנחים את כל שלבי מחזור החיים של המודיעין ומאפשרים להבין נקודות שונות, בין היתר:

• אילו סוגי נתונים לאסוף?
• כיצד לעבד את הנתונים כדי להפוך אותם למידע שימושי?
• האם ואיך להעשיר נתונים?
• כיצד לנתח את המידע ולהציג אותו כמודיעין מעשי?
• למי יש להפיץ כל סוג של אינטליגנציה?
• באיזו תדירות ומהירות יש להפיץ אותה?

אנו זקוקים למשוב קבוע כדי לוודא שאנו מבינים את הדרישות של כל צוות או גורם, וכדי לבצע התאמות כאשר הדרישות וסדרי העדיפויות שלהם משתנים. קבלת משוב מסייעת בהפקת מודיעין מדויק באמצעות הערכות בזמן.

לסיכום

מחזור החיים של בינת איומים הוא תהליך מתמשך ומהווה את הבסיס לצוותי אבטחה לתכנן אסטרטגיה וליישם את תוכניות בינת האיומים שלהם בצורה יעילה ואפקטיבית יותר. כאשר איומי סייבר מתפתחים במהירות מסחררת, צוותי אבטחה חייבים להתמקד בעידון התהליכים וללמוד להגיב במהירות ובאופן יזום לכל איום כדי להקדים אותם. שילוב צוותי אבטחה שונים מביאים גישה ודרכי התמודדות מגוונים, כמו, שילוב צוות תקיפה, או צוותי תחקור, וכן הלאה.

שילוב של גורמים טכניים נוספים מביא ראייה והתנהגות אחרת למודיעין האיומים, ויכול לעשות הבדל מהותי בין התבססות על עקרונות מוגדרים מראש לבין היכולת להתפתח תוך כדי תנועה ולהיות דינמי.