OPINIONS

Threat Intelligence: модное слово или настоящая польза?

25.10.2017

Мнение, Том Мадсен, консультант по ИТ-безопасности

Threat Intelligence

Анализ угроз (англ.: Threat Intelligence) постепенно становится популярнейшей темой в нашей области. Кажется, что мнений о том, что именно такое анализ угроз, столько же, сколько и вендоров, которые пытаются продать вам решения Threat Intelligence. Итак, давайте попробуем определить, что именно подразумевается под термином "Threat Intelligence". Это сбор, и систематизация информации из разных источников, а также ее дальнейший анализ для понимания текущих и потенциальных кибер-атак, которые могут угрожать организации.

В связи с этим определением возникает несколько вопросов: "Сбор какой информации? От кого, и откуда? Какие именно источники могут предоставить лучшую информацию?" Эти вопросы показывают главную проблему имеющегося множества решений от различных вендоров: многочисленные системы и программные обеспечения предоставляют большое количество информации, но находить и определять правильную (полезную) информацию и использовать ее для настоящего анализа угроз - непростая задача.
 
Для получения необходимой для анализа угроз информации необходимо использовать внешние источники, которые обеспечивают возможности прогнозирования. Если информация основана исключительно на источниках внутри организации, она не может прогнозировать возможные атаки и их характеристики. Другими словами, любой вендор, продающий решения лог-менеджмента в качестве инструмента для анализа угроз, слегка преувеличивает возможности своих решений. 

Можно утверждать, что решения лог-менеджмента собирают информацию об атаках из внутренних систем, но анализ угроз должен обеспечивать предупреждения об угрозах и атаках, которые угрожают вашей организации в ближайшем будущем - а не о тех, которые уже находятся в вашей внутренней сети

Для получения полезной для анализа угроз информации нужны источники в нелегальном сообществе и датчики, распределенные по всему миру. Тут нужны люди, которые (как правило, под прикрытием) собирают информацию у черных шляп в даркнете. А наличие датчиков по всему миру дает возможность видеть атаки в одной части мира и вовремя предупреждать клиентов в другой.

Помимо этих соображений, различные отрасли промышленности должны уделять внимание разным областям анализа угроз. Например, банки не заинтересованы в информации, которая связана с угрозами в отношении систем SCADA (которыми интересуется компании-производители), и наоборот. Необходимо заметить, что это также затрудняет работу вендоров, которые собирают информацию об угрозах, так как предоставлять полезную информацию соответствующим клиентами становится сложнее. Клиентам, в то же время, сложно выбрать правильного вендора, так как у разных поставщиков разные специализации в сфере Threat Intelligence.

Threat Intelligence становится важной областью для многих организаций, и запрос на эти услуги будет расти в ближайшее время, так как традиционные решения кибербезопасности не всегда успевают за постоянно изменяющимися методами атак и за растущей профессионализацией хакеров. Прогнозирование потенциальных атак позволяет компаниям подготавливаться к ним и таким образом смягчать их последствия.