Cos'è l'intelligence sulle minacce informatiche?

Cosa include l'intelligence sulle minacce informatiche

Cyber threat intelligence includes any information that can be used to help inform the business about potential cyber threats that they face and how to address them. The majority of threat intelligence deals with the current cyberattacks and active malware variants. 

Tuttavia, le organizzazioni possono anche avere accesso a tipi più mirati di threat intelligence che forniscono loro informazioni sui rischi per il loro marchio o sui dati trapelati a causa di violazioni dei dati passate. 

Tattiche, tecniche e procedure degli aggressori (TTP) 

The bulk of technical threat intelligence data is related to the TTPs used by various threat actors. When new malware or cyberattack campaigns are detected, security researchers collect and disseminate indicators of attack (IoAs) and indicators of compromise (IoCs) that can be used to identify these threats. 

For instance, a strategic threat intelligence feed could include file hashes for new malware variants and the IP addresses and domain names associated with known cyber attack campaigns. 

Organizations can subscribe to tactical threat intelligence feeds to collect this information and feed it to their security solutions. This data can also be filtered or personalized to identify the relevant threats that an organization is most likely to face, such as: 

• Malware or cyberattacks targeting other organizations in the same industry or geographic region. 

Sfruttando questa threat intelligencepiù mirata, un'organizzazione può valutare in modo più accurato i tipi di minacce che è probabile che si trovi ad affrontare e come difendersi al meglio da esse. 

Protezione del marchio 

I criminali informatici utilizzano comunemente indirizzi e-mail e siti Web simili nei loro attacchi di phishing. Questo è progettato per far sembrare legittimi i potenziali attacchi ai loro obiettivi e sfrutta la fiducia dei bersagli nel marchio. 

Questa pratica ha il potenziale per danneggiare in modo significativo la reputazione di un'organizzazione con i suoi clienti, venditori, fornitori e altri partner. 

Le informazioni riportate di seguito possono essere raccolte come utilizzabili threat intelligence personalizzate per un'organizzazione: 

• Domini sospetti 

• Siti web di phishing 

• Impersonificazione sui social media 

• Unauthorized APKs 

L'organizzazione può quindi agire per proteggere il proprio marchio da queste minacce. 

Monitoraggio delle violazioni 

Often, it takes time for a breach to be detected, if the company notices it at all. 

In the state of a data breach report, IBM and Ponemon differentiate between breaches identified within 200 days and those that took more than 200 days to detect when comparing the price and impact of faster breach detection. 

In alcuni casi, le aziende vengono a conoscenza di una violazione solo quando i dati dell'azienda, dei dipendenti o dei clienti sono in vendita sul dark web. I servizi di monitoraggio delle violazioni possono cercare: 

• Credenziali dei dipendenti 

• Informazioni per i clienti 

• Intellectual property 

• Altri dati che sono stati pubblicati o pubblicizzati per la vendita sul dark web 

Chi trae vantaggio dalla threat intelligence?

Threat intelligence provides insight into potential cyber threats a company may face or breaches that it has not yet identified within its systems. 

This diverse set of security information has numerous potential applications within an organization. 

One of the most common applications of strategic threat intelligence is for identifying potential security incidents via persistent threat detection and threat hunting. Threat intelligence feeds commonly provide IoCs that organizations can look for in their systems to either identify and block an impending attack or detect the presence of an intruder within their systems.