Žádost o informace (RFI) - Cyber ​​Threat Intelligence

Proces RFI zahrnuje jakýkoli konkrétní časově citlivý ad hoc požadavek na zpravodajské informace nebo produkty na podporu probíhající události nebo incidentu, který nemusí nutně souviset se stálými požadavky nebo plánovanou produkcí zpravodajských informací.

Když Cyber ​​Threat Intelligence Center (CTIC) předloží RFI interním skupinám, existuje řada standardních požadavků na kontext a kvalitu požadovaných údajů.

Zjistěte více o kompletní online znalostní databázi Cyber ​​Threat Intelligence - CyberIntellipedia

• Očekává se, že budou data upravena.
• Kurátorem dat je organizace a integrace dat shromážděných z různých zdrojů. Zahrnuje anotaci, publikaci a prezentaci dat tak, aby se hodnota dat v průběhu času udržovala a data zůstala k dispozici pro opětovné použití a uchování
• Očekává se, že údaje byly zkontrolovány a ověřeny.
• Je třeba uvést údaje, které poskytují zdroje dat (formát APA pro Microsoft Word).
• Údaje by měly být hodnoceny z hlediska důvěryhodnosti zdrojů a validace údajů (viz příloha A)
• Data pokaždé sledují níže uvedený formát, aby se zkrátila doba cyklu. Tento formát by měl být v souladu s používanou platformou reakce na incidenty.
• Musí být použity standardy, jako jsou ty, které jsou spojeny s NIST nebo jinými uznávanými standardy, jak bylo dohodnuto pro použití ve vaší organizaci.
• Data by měla být formátována tak, aby odpovídala vašim interním procesům a postupům. Možná budete chtít zvážit, jak používáte modely Diamond, Kill chain a ATT & CK pomocí standardních datových polí.
• Údaje by měly být snadno extrahovatelné, opakovatelné a případně kvantifikovatelné (základní číslo).
• Data by měla mít historický záznam, abychom mohli analyzovat meziměsíční vzorce, trendy a tendence.
• Data a časy, kdy byla data vytvořena (nevytvořila je vaše organizace s ohledem na požití události nebo incidentu, ale data akce a časy událostí nebo incidentů.
• Data by měla být klasifikována pomocí standardních interních úrovní klasifikace a označení TLP.

Kdy a kde je to nutné, je třeba, aby údaje odpovídaly na následující otázky:

• Co přesně je nebo byl problém nebo problém?
• Proč se to teď děje, kdo to dělá, jaký je jejich záměr / motivace?
  • Tak co - proč nás to zajímá a co to znamená pro nás a naše klienty?
• Dopad, pokud vůbec, na naše data a systémy nebo data a systémy našich klientů?
• Co očekáváme, že se stane dál? Jaký je očekávaný výhled na další akce, pokud existují?
• Akce dohledu (opatření, která mají být přijata nebo která byla přijata na základě údajů / informací / analýzy)
• Jaká doporučení byla učiněna a jaká byla provedena?
  • Jaký byl postup (y)?
  • Jaký byl výsledek implementovaných doporučení?
• Existovaly nějaké neočekávané důsledky pro doporučení?
• Jaké příležitosti má vaše organizace do budoucna?
  • Našli jsme nějaké slabosti?
  • Identifikovali jsme nějaké silné stránky?
• Jaké mezery byly nalezeny v našem prostředí (lidé, procesy, technologie)?

Pokud vámi odesílaná data nebudou v požadovaném formátu vybrána, zkontrolována a ověřena správnými citacemi, nemusí se do zprávy dostat.

Důvěryhodnost zdroje

S každou zprávou dodavatele a zdrojem dat musíme zacházet jako s ničím jiným než s jiným zdrojem dat. Data, která musí být hodnocena z hlediska důvěryhodnosti, spolehlivosti a relevance. K tomu můžeme použít Kodex admirality NATO, který pomůže organizacím vyhodnotit zdroje dat a důvěryhodnost informací poskytnutých tímto zdrojem. Vyhodnoťte každou zprávu dodavatele pomocí této metody kódování a zároveň dokumentujte snadnost extrakce dat, význam pro vaše organizační problémy, typ inteligence (strategické, provozní, taktické a technické) a hodnotu při řešení vašich bezpečnostních problémů. Většina publikací poskytuje bodovací model nejvyšší úrovně. Poskytujeme úplný model pro automatický výpočet zabudovaný do PDF. 

Formulář naleznete zde