Cyber Threat Intelligence
Cyber Threat Intelligence (CTI) to biały wywiad (OSINT) internetowy, obejmuje on nie tylko social media czy fora dyskusyjne ale także dane pochodzące z sinkhole, sieci honeypot oraz mroczną stronę internetu taką jak sieć TOR, Darknet czy Deep Web. Dzięki takiemu podejściu możliwe jest działanie kilka kroków przed cyberprzestępcami, co w efekcie może przesądzić o skutecznej reakcji na atak. CTI jest sposobem na dodatkową minimalizację potencjalnego ryzyka jakim jest udany atak hakerski. Usługa ta może służyć również jako element wspomagający oprogramowanie typu DLP w postaci detekcji wycieku informacji, kiedy system DLP zawiedzie. Reakcja na pojawienie się informacji w sieci może być niemalże natychmiastowa, co jest milowym krokiem w stosunku do tradycyjnego podejścia.
Dane mogą być dostarczane automatycznie do oprogramowania klasy SIEM/IDS/IPS (na przykład Splunk, ArcSight, ELK – Elasticsearch, Logstash, Kibana), w tym wypadku są to dane gotowe do użycia – numery IP, host, hash itp. Jak również jako komunikaty w formie np. e-mail – takie jak informacje o zagrożeniach dla zespołu IT/SOC/CERT. Kolejnym etapem po zaimplementowaniu rozwiązania jakim jest CTI wskazane jest realizowanie threat huntingu, dzięki czemu dane pochodzące z automatycznego białego wywiadu będą w pełni wykorzystane.
Możemy stworzyć również dedykowane dla Państwa rozwiązanie klasy CTI, które może obejmować wyszukiwanie zmian w sieci, dedykowane honeypoty działające w Państwa infrastrukturze (przykładowo wykrywanie ataków z wykorzystaniem protokołów LLMNR/NBT-NS/MDNS wykorzystywanych w sieciach Windowsowych), również monitorowanie stacji klienckich – zachęcamy do przesłania zapytań oraz Państwa wymogów co do systemów tego typu.
Adam Ziaja jest głównym współautorem pierwszej publikacji Europejskiej Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) poświęconej threat intelligence „Identifying and handling cybercrime traces” (2013) oraz twórcą jednego z pierwszych polskich automatycznych systemów tego typu. Jedyny polak w strukturach uznanej na świecie, międzynarodowej grupy non-profit MalwareMustDie zwalczającej internetowe zagrożenia (grupa jako pierwsza opublikowała m.in. informacje o złośliwym oprogramowaniu Mirai, które było odpowiedzialne za największy w historii atak DDoS).