Cisco CyberOps Associate - Analiza zagrożeń
1. Aby skutecznie chronić sieć, profesjonaliści ds. bezpieczeństwa muszą być na bieżąco z zagrożeniami i podatnościami, które się rozwijają. Istnieje wiele organizacji zajmujących się bezpieczeństwem, które dostarczają informacji o sieci. Udostępniają zasoby, warsztaty i konferencje, które pomagają specjalistom ds. bezpieczeństwa. Te organizacje często mają najnowsze informacje o zagrożeniach i podatnościach.
3. Usługi wywiadu dotyczącego zagrożeń umożliwiają wymianę informacji o zagrożeniach, takich jak podatności, wskaźniki kompromitacji (IOC) i techniki łagodzenia. Te informacje są udostępniane nie tylko personelowi, ale także systemom bezpieczeństwa. W miarę pojawiania się zagrożeń, usługi wywiadu dotyczącego zagrożeń tworzą i dystrybuują reguły zapory ogniowej i IOC do urządzeń, które subskrybowały usługę.
2. Organizacji zajmujących się bezpieczeństwem sieci:
| Organizacja | Opis |
|---|---|
| SANS | Zasoby Instytutu SysAdmin, Audit, Network, Security (SANS) są w dużej mierze dostępne za darmo na żądanie i obejmują: Internet Storm Center - popularny system wczesnego ostrzegania w internecie, NewsBites - tygodnik z artykułami o bezpieczeństwie komputerowym, @RISK - tygodnik z nowo odkrytymi wektorami ataków, podatnościami z aktywnymi exploitami i wyjaśnieniami, jak działają ostatnie ataki, Flash security alerts, Reading Room - ponad 1200 nagradzanych, oryginalnych prac badawczych. SANS rozwija również kursy bezpieczeństwa. |
| Mitre | Korporacja Mitre utrzymuje listę powszechnych podatności i narażenia (CVE), które są używane przez prominentne organizacje związane z bezpieczeństwem. |
| FIRST | Forum of Incident Response and Security Teams (FIRST) to organizacja związana z bezpieczeństwem, która gromadzi różnorodne zespoły reagowania na incydenty związane z bezpieczeństwem komputerowym z organizacji rządowych, komercyjnych i edukacyjnych, aby wspierać współpracę i koordynację w zakresie udostępniania informacji, zapobiegania incydentom i szybkiego reagowania. |
| SecurityNewsWire | Portal z wiadomościami o bezpieczeństwie, który agreguje najnowsze wiadomości o alertach, exploitach i podatnościach. |
| (ISC)2 | Międzynarodowy Konsorcjum Certyfikacji Systemów Bezpieczeństwa Informacji (ISC2) dostarcza neutralne pod względem dostawcy produkty edukacyjne i usługi kariery dla ponad 75 000+ profesjonalistów branży w ponad 135 krajach. |
| CIS | Centrum Bezpieczeństwa Internetowego (CIS) jest punktem centralnym dla prewencji, ochrony, reagowania i odzyskiwania zagrożeń cybernetycznych dla rządów stanowych, lokalnych, plemiennych i terytorialnych (SLTT) poprzez Multi-State Information Sharing and Analysis Center (MS-ISAC). MS-ISAC oferuje 24x7 ostrzeżenia i komunikaty o zagrożeniach cybernetycznych, identyfikację podatności oraz łagodzenie i reagowanie na incydenty. |
- Cisco Talos jest jednym z największych komercyjnych zespołów wywiadu dotyczącego zagrożeń na świecie i składa się z badaczy, analityków i inżynierów światowej klasy. Celem Talos jest pomoc w ochronie użytkowników korporacyjnych, danych i infrastruktury przed aktywnymi przeciwnikami. Zespół Talos zbiera informacje o aktywnych, istniejących i pojawiających się zagrożeniach.
- FireEye to firma z branży bezpieczeństwa oferująca usługi pomagające firmom zabezpieczyć sieci. Wykorzystuje inteligencję bezpieczeństwa, ekspertyzę i technologię. Oferuje platformę Helix Security, która łączy różne narzędzia bezpieczeństwa i wywiad dotyczący zagrożeń. System Bezpieczeństwa FireEye blokuje ataki i zaawansowane malware. FireEye korzysta z wywiadu dotyczącego zagrożeń w czasie rzeczywistym, aby zapewnić szybkie i skuteczne rozwiązania bezpieczeństwa. Wyszukaj FireEye w internecie, aby zapoznać się z oferowanymi zasobami.
- Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych (DHS) oferuje bezpłatną usługę o nazwie Automated Indicator Sharing (AIS). AIS umożliwia wymianę wskaźników zagrożeń cybernetycznych (np. złośliwe adresy IP, adres nadawcy e-maila phishingowego itp.) w czasie rzeczywistym między rządem federalnym USA a sektorem prywatnym. AIS tworzy ekosystem, w którym, jak tylko zagrożenie zostanie rozpoznane, jest ono natychmiast udostępniane społeczności, aby pomóc jej chronić swoje sieci przed tym konkretnym zagrożeniem.
- Rząd Stanów Zjednoczonych sponsorował korporację MITRE, aby stworzyć i utrzymywać katalog znanych zagrożeń bezpieczeństwa o nazwie Common Vulnerabilities and Exposures (CVE). CVE służy jako słownik powszechnych nazw (tj. identyfikatorów CVE) dla publicznie znanych podatności cyberbezpieczeństwa. Korporacja MITRE definiuje unikalne identyfikatory CVE dla publicznie znanych podatności bezpieczeństwa informacji, aby ułatwić wymianę danych.4. Organizacje sieciowe i profesjonaliści muszą dzielić się informacjami, aby zwiększyć wiedzę na temat aktorów zagrożeń i zasobów, do których chcą uzyskać dostęp. Ewoluowało kilka otwartych standardów wymiany informacji wywiadowczych, które umożliwiają komunikację na wielu platformach sieciowych. Te standardy umożliwiają wymianę informacji o zagrożeniach cybernetycznych (CTI) w zautomatyzowanym, spójnym i maszynowo odczytywalnym formacie.
Trzy powszechne standardy wymiany informacji o zagrożeniach obejmują:
- Structured Threat Information Expression (STIX) - Jest to zestaw specyfikacji do wymiany informacji o zagrożeniach cybernetycznych między organizacjami. Standard Cyber Observable Expression (CybOX) został włączony do STIX.
- Trusted Automated Exchange of Indicator Information (TAXII) – Jest to specyfikacja protokołu warstwy aplikacji, która umożliwia komunikację CTI przez HTTPS. TAXII jest zaprojektowany do obsługi STIX.
- CybOX - Jest to zestaw standaryzowanych schematów do określania, przechwytywania, charakteryzowania i komunikowania zdarzeń i właściwości operacji sieciowych, które wspierają wiele funkcji cyberbezpieczeństwa. Te otwarte standardy dostarczają specyfikacje, które pomagają w zautomatyzowanej wymianie informacji o zagrożeniach cybernetycznych w standaryzowanym formacie. Wyszukaj w internecie, aby dowiedzieć się więcej o STIX, TAXII i CybOX.
Platforma do udostępniania informacji o złośliwym oprogramowaniu (MISP) to otwarta platforma do udostępniania wskaźników kompromitacji dla nowo odkrytych zagrożeń. MISP jest wspierany przez Unię Europejską i jest używany przez ponad 6000 organizacji na całym świecie. MISP umożliwia automatyczne udostępnianie IOC między ludźmi i maszynami za pomocą STIX i innych formatów eksportu.