Cyber threat intelligence (CTI) is never an end in itself. It instead serves a broader mission: to inform, advise, and empower stakeholders within an organization or community. Stakeholder needs drive intelligence requirements. Intelligence requirements are therefore pivotal to a successful CTI capability.
Egentligen är det inte så konstigt, men ett svar behöver en fråga. Misslyckas vi med frågan, kommer vi antagligen också misslyckas med svaret. Och det är inte särskilt enkelt att ställa bra frågor.
Precis detta - utmaningen med att ställa bra frågor - är något som återkommande dyker upp i samtal jag har med kollegor, kunder och vänner. Vi är så ivriga med att “komma igång” att vi börjar formulera svaren, inhämta information innan frågan överhuvudtaget formulerats.
I sammanhang av företag och organisationer är detta en rejäl utmaning. Det finns en ständigt närvarande tidspress, där det sällan ges utrymme för att ta ett steg tillbaka och fundera; vad är det egentligen vi försöker lösa här? VI är ivriga, och angelägna, om att inte fastna i analys.
För arbete inom CTI är frågan absolut central. Den utgör (bör utgöra) grunden för allt vi sedan gör. Men återigen spenderar vi alldeles för lite tid vid frågan, och hoppar istället rakt in i att försöka skapa svar; och gärna fastnar vi vid första svaret vi kommer på.
En rapport från Mandiant
Finns det ett företag jag verkligen låter mig inspireras av så är det Mandiant. Här snackar vi APT1-rapporten, och kanske ett av de mest välkända bolagen i cybersäkerhetsbranschen. De har koll, och de visar att de har koll.
Nyligen publicerade Mandiant (nu del av Google Cloud) en riktigt bra rapport om underrättelsekrav, och hur dessa ska hanteras och utgöra grunden för en välfungerande underrättelseförmåga. Den är kort, koncis, och framförallt otroligt värdefull för den som funderar på, eller försöker, bygga en CTI-förmåga.
I all korthet beskriver rapporten hur du bör arbeta med hotprofiler , intressenter (eng. stakeholders) och underrättelsekrav, samt hur dessa interagerar för att tillsammans ge dig en CTI-förmåga.
All cyber security functions and CTI teams operate in resource-constrained environments. Security practitioners must therefore be pragmatic and highly selective when pursuing new initiatives that ultimately come at an opportunity cost. Even for security teams that are already feeling stretched, taking the time to implement a requirements-driven approach will ultimately optimize resources and maximize efficiency.
När du börjar arbeta med underrättelsekrav visar du att du bryr dig om behoven, att du fokuserar på rätt saker och att du försöker använda begränsade resurser där de är mest effektiva och hjälper verksamheten på bästa sätt.
Det är så otroligt vanligt att CTI likställs med IoC:er, och blir därför en produktfråga när det egentligen är så mycket, mycket mer. Detta tycker jag att rapporten tydligt visar, och har nu blivit en av de rapporter jag gärna rekommenderar till de som är nyfikna på CTI.
Jag kommer även se till så att den kurs jag håller inom CTI (genom IFI ) innehåller material och hänvisningar till den här rapporten (som är gratis att ladda ner).