Információkérés (RFI) - Cyber ​​Threat Intelligence

Az RFI folyamat magában foglal minden olyan időérzékeny ad hoc követelményt a hírszerzési információk vagy termékek számára, amelyek támogatják a folyamatban lévő eseményeket vagy eseményeket, amelyek nem feltétlenül kapcsolódnak állandó követelményekhez vagy ütemezett hírszerzési előállításhoz.

Amikor a Cyber ​​Threat Intelligence Center (CTIC) RFI-t küld be a belső csoportoknak, a kért adatok kontextusára és minőségére vonatkozóan számos szabványos követelmény érvényesül.

Tudjon meg többet a teljes Cyber ​​Threat Intelligence online tudásbázisról - CyberIntellipedia

• Az adatok várhatóan kurátora lesz.
• Az adatkezelés a különböző forrásokból gyűjtött adatok szervezése és integrálása. Ez magában foglalja az adatok feljegyzését, közzétételét és bemutatását úgy, hogy az adatok értéke idővel megmaradjon, és az adatok továbbra is rendelkezésre állnak újrafelhasználás és megőrzés céljából
• Az adatok várhatóan felülvizsgálatra és validálásra kerülnek.
• Az adatokra meg kell adni az adatok forrásait (APA formátum Microsoft Word-enként).
• Az adatokat értékelni kell a források hitelessége és az adatok validálása szempontjából (lásd az A. függeléket)
• Az adatok az alábbi formátumot követik minden alkalommal a ciklus sebességének gyorsaságához. Ennek a formátumnak összhangban kell lennie a használt események elhárítási platformjával.
• Szabványokat kell használni, például a NIST-hez társított szabványokat vagy más elfogadott szabványokat, amelyekről a szervezeten belül megállapodtak.
• Az adatokat úgy kell formázni, hogy illeszkedjenek a belső folyamatokhoz és eljárásokhoz. Érdemes megfontolni, hogyan alkalmazza a Diamond, Kill lánc, valamint az ATT & CK modelleket a szabványos adatmezők használatával.
• Az adatoknak könnyen kinyerhetőknek, megismételhetőknek és adott esetben számszerűsíthetőnek kell lenniük (kardinális szám).
• Az adatoknak történelmi nyilvántartással kell rendelkezniük, hogy elemezhessük a hónapról hónapra jellemző mintázatokat, trendeket és tendenciákat.
• Az adatok létrehozásának dátumai és időpontjai (nem a szervezet hozta létre az esemény vagy esemény bekebelezésével kapcsolatban, hanem az esemény vagy esemény eseményeinek dátumai és időpontjai.
• Az adatokat szabványos belső osztályozási szintekkel és TLP jelölőkkel kell osztályozni.

Amikor és ahol alkalmazható, az adatoknak a következő kérdésekre kell válaszolniuk:

• Mi is pontosan a probléma, vagy mi volt?
• Miért történik ez most, ki csinálja, mi a szándéka / motivációja?
  • Tehát mi - miért törődünk velünk és mit jelent számunkra és ügyfeleink számára?
• Ha van ilyen hatása az adatainkra és rendszereinkre, vagy ügyfeleink adataira és rendszereire?
• Várhatóan mi fog történni ezután? Mi a várható kilátás a további intézkedésekre, ha vannak ilyenek?
• Felügyeleti intézkedés (az adatok / információk / elemzések alapján végrehajtandó vagy végrehajtott intézkedések)
• Milyen ajánlásokat tettek és milyen ajánlásokat hajtottak végre?
  • Mi volt / volt a cselekvés menete (i)?
  • Mi lett a megvalósított ajánlások eredménye?
• Voltak-e váratlan következményei az ajánlásoknak?
• Milyen lehetőségek vannak a szervezete számára a továbbiakban?
  • Találtunk-e gyengeségeket?
  • Meghatároztunk valamilyen erősséget?
• Milyen hiányosságokat találtak a környezetünkben (emberek, folyamatok, technológiák)?

Ha az Ön által elküldött adatok nem a szükséges formátumban vannak kezelve, áttekintve és validálva a megfelelő hivatkozásokkal, akkor előfordulhat, hogy nem kerülnek be a jelentésbe.

Forrás hitelessége

Minden szállítói jelentést és adatcsatornát csak egy másik adatforrásként kell kezelnünk. Adatok, amelyeket hitelesség, megbízhatóság és relevancia szempontjából értékelni kell. Ehhez a NATO admiralitási kódexét használhatjuk a szervezetek számára az adatforrások és az e forrás által nyújtott információk hitelességének értékelésében. Értékelje az egyes szállítói jelentéseket ezzel a kódolási módszerrel, dokumentálva az adatok egyszerű kinyerését, a szervezeti kérdések relevanciáját, az intelligencia típusát (stratégiai, operatív, taktikai és technikai), valamint a biztonsági problémák megoldásának értékét. A legtöbb publikáció a legfelső szintű pontozási modellt nyújtja. Mi biztosítjuk a PDF-be épített automatikus számítás teljes modelljét. 

Az űrlapot itt találja