A CTI-adatfolyamok osztályozása

A CERT.at blogbejegyzése a kiberfenyegetésekkel kapcsolatos hírszerzési (CTI) adattovábbítások osztályozását tárgyalja. A szerző javasolja a CTI-adatok három típusba sorolását absztrakciós szintjük alapján: taktikai, operatív és stratégiai. A taktikai CTI a kompromittálódás indikátorait (IoC) szolgáltatja, és segít a fenyegető szereplők azonosításában, míg az operatív CTI konkrét részleteket oszt meg a támadásokról és a fenyegető szereplők képességeiről. A stratégiai CTI a nem technikai célközönség számára készült, és a kiberfenyegetésekkel kapcsolatos általános kockázatok elemzését nyújtja.

A szerző kitér a adatcsomagokban található különböző típusú IoC-kre is. Az 1. típusú IoC-k konkrét információkat szolgáltatnak a sebezhető rendszerekről, például IP-címekről vagy szoftveres sebezhetőségekről. A 2. típusú IoC-k a fenyegetést jelentő szereplők infrastruktúrájára és eljárásaira összpontosítanak, a célpontokra vonatkozó egyértelmű információk nélkül. A 3. típusú IoC-k a hálózaton belüli élő incidensekre vonatkoznak, és a veszélyeztetett rendszerekről vagy a folyamatban lévő támadásokról adnak részleteket.

A szerző az egyes típusú IoC-kre megfelelő válaszlépéseket javasol, például az 1. típus esetében a sebezhető rendszerek foltozását vagy eltávolítását, a 2. típus esetében az IoC-k hozzáadását az incidensmegelőző és -felismerő rendszerekhez, a 3. típus esetében pedig az incidensre adott válaszfolyamatok elindítását.

A CERT.at az IntelMQ-t használja az 1. és a 3. típusú CTI-továbbítások feldolgozására, míg a 2. típusú továbbításokat a MISP szolgáltatás keretein belül kezeli.
(forrás)