Condivisione dell'intelligence sulle minacce
L'arma segreta della sicurezza informatica.
Chi condivide le informazioni sulle minacce?
Esistono molti modi per trarre valore dalla threat intelligence, attraverso una piattaforma completa di threat intelligence, inserendo feed sulle minacce o semplicemente sfruttando le funzionalità di threat intelligence presenti nei comuni strumenti di sicurezza. Uno dei modi meno utilizzati per trarre vantaggio dalla threat intelligence è condividere queste informazioni con altri gruppi, il che aiuta a ridurre i tempi di risposta agli eventi e ad adottare misure preventive.
Le iniziative incentrate sul settore e guidate dai governi hanno portato a un notevole aumento della condivisione delle informazioni sulle minacce tra governi, organizzazioni private e industrie. Alcune di queste includono Information Sharing and Analysis Centers (ISAC), Information Sharing and Analysis Organizations (ISAO), gruppi di settore, holding e altre comunità di condivisione di informazioni sulle minacce che cercano di promuovere una collaborazione sicura:
Quali sono i tipi di condivisione delle informazioni sulle minacce?
Esistono due tipi di condivisione, ciascuno definito da chi condivide le informazioni.
Condivisione unidirezionale delle informazioni sulle minacce
Un'entità produce e condivide informazioni sulle minacce che altre utilizzano e chi le consuma non contribuisce in cambio. Esempi di condivisione unidirezionale di informazioni sulle minacce includono:
Condivisione bidirezionale delle informazioni sulle minacce
L'intelligenza viene inviata per essere consumata, ma può anche essere assimilata dalle organizzazioni membri. Sebbene la condivisione sia consentita e incoraggiata in questi programmi, non vi è alcuna garanzia che tutte le organizzazioni condividano qualcosa.
Preoccupazioni relative alla condivisione delle informazioni sulle minacce
Sebbene la threat intelligence sia indubbiamente preziosa, ci sono alcune preoccupazioni comuni che impediscono alle organizzazioni di impegnarsi nella condivisione:
Preoccupazioni in materia di privacy e responsabilità
- È una buona idea eliminare i dati alla ricerca di informazioni private o aziendali sensibili prima della condivisione, indipendentemente dal tipo di condivisione in questione.
- Le Legge sulla condivisione delle informazioni sulla sicurezza informatica del 2015 (CISA) prevede disposizioni per rispondere alle preoccupazioni relative alla privacy e alla responsabilità. Alcune di queste protezioni sono subordinate al rispetto di determinate clausole. Come sempre, si consiglia vivamente di fornire una consulenza legale adeguata per comprendere come la CISA possa applicarsi a situazioni specifiche.
«Non c'è niente di valore da contribuire»
Mancanza di esperienza
Paura di rivelare che un'organizzazione è stata violata
Passaggi per iniziare a condividere le informazioni sulle minacce
Se la tua organizzazione sta già condividendo attivamente informazioni o non ha ancora iniziato a farlo, ecco alcuni suggerimenti su dove iniziare o su come migliorare la condivisione che sta già avvenendo:
Strumenti e community
- Email, che è il punto di partenza più semplice
- Strumenti come Anomali STAXX, una soluzione gratuita offerta da Anomali che supporta la condivisione degli indicatori tramite STIX e TAXII
- ISAC e altre organizzazioni del settore, che normalmente dispongono di meccanismi di condivisione
- Condivisione ad hoc con enti locali o partner di altri settori
- Anomali ThreatStream gli utenti dispongono già di una soluzione molto solida per condividere indicatori e altre informazioni con altre organizzazioni o creare le proprie comunità di condivisione
Condividi e contribuisci
Condividi all'esterno della tua verticale
Condividi tecniche di caccia e difesa
- Dettagli sulla ricerca delle minacce come ricerche, voci di registro specifiche, ecc.
- Tecniche o regole di difesa efficaci come regole YARA, firme sniffate, regole Bro e script.
