Запит на інформацію (RFI) - Інформація про кіберзагрози

Процес RFI включає будь-які специфічні специфічні вимоги до інформації та продуктів розвідки, що вимагають часу, для підтримки поточної події чи інциденту, не обов'язково пов'язаних із постійними вимогами або запланованим виробництвом розвідки.

Коли Центр розвідки кіберзагроз (CTIC) подає RFI до внутрішніх груп, існує низка стандартних вимог до контексту та якості запитуваних даних.

Дізнайтеся більше про повну Інтернет-базу знань Cyber ​​Threat Intelligence - CyberIntellipedia

• Очікується, що дані будуть підготовлені.
• Курація даних - це організація та інтеграція даних, зібраних з різних джерел. Він включає анотацію, публікацію та подання даних таким чином, що цінність даних зберігається з часом, а дані залишаються доступними для повторного використання та збереження
• Очікується, що дані будуть переглянуті та перевірені.
• Дані потрібно цитувати, забезпечуючи джерела даних (формат APA відповідно до Microsoft Word).
• Дані слід оцінювати на предмет достовірності джерел та підтвердження даних (див. Додаток А)
• Дані відповідають наведеному нижче формату кожного разу, щоб пришвидшити час циклу. Цей формат повинен відповідати використовуваній платформі реагування на аварії.
• Необхідно використовувати стандарти, такі як ті, що пов'язані з NIST, або інші прийняті стандарти, узгоджені для використання у вашій організації.
• Дані повинні бути відформатовані відповідно до ваших внутрішніх процесів та процедур. Можливо, ви захочете розглянути, як ви застосовуєте моделі Diamond, Kill chain та ATT & CK, використовуючи стандартні поля даних.
• Дані повинні бути легкими для отримання, повторюваними та, коли застосовно, кількісно вимірюваними (кардинальний номер).
• Дані повинні мати історичний запис, щоб ми могли аналізувати щомісячні закономірності, тенденції та тенденції.
• Дати та час створення даних (створені не вашою організацією стосовно поглинання події чи інциденту, а дати та час дії події чи діяльності.
• Дані слід класифікувати за стандартними внутрішніми рівнями класифікації та ознаками TLP.

Коли і де це можливо, дані повинні відповідати на такі запитання:

• Що саме є чи було проблемою чи проблемою?
• Чому це відбувається зараз, хто цим займається, який їх намір / мотивація?
  • То що - чому ми дбаємо і що це означає для нас та наших клієнтів?
• Поки що вплив на наші дані та системи чи дані та системи наших клієнтів?
• Що ми очікуємо, що станеться далі? Який очікуваний прогноз для подальших дій, якщо такі є?
• Наглядові дії (дії, які будуть здійснені на основі даних / інформації / аналізу)
• Які рекомендації були зроблені, а які - виконані?
  • Яким був / були напрям (и) дій?
  • Яким був результат впроваджених рекомендацій?
• Чи були якісь непередбачувані наслідки для рекомендацій?
• Які можливості є у вашої організації в майбутньому?
  • Ми знайшли якісь слабкі місця?
  • Ми визначили якісь сильні сторони?
• Які прогалини були виявлені в нашому середовищі (люди, процеси, технології)?

Якщо дані, які ви надсилаєте, не отримані, курировані, перевірені та перевірені належними цитатами у запитаному форматі, вони можуть не потрапити до звіту.

Довіра до джерел

Ми повинні розглядати кожен звіт постачальника та канал даних як не що інше, як інше джерело даних. Дані, які необхідно оцінити на достовірність, надійність та актуальність. Для цього ми можемо використовувати Кодекс адміралтейства НАТО, щоб допомогти організаціям оцінити джерела даних та достовірність інформації, яку надає це джерело. Оцініть кожен звіт постачальника, використовуючи цей метод кодування, одночасно документуючи легкість вилучення даних, відповідність вашим організаційним проблемам, типу розвідки (стратегічної, оперативної, тактичної та технічної) та цінності для вирішення ваших проблем безпеки. У більшості публікацій представлена ​​модель оцінювання вищого рівня. Ми пропонуємо повну модель для автоматичного розрахунку, вбудовану в PDF. 

Знайдіть форму тут