Handlingsrik informasjon avgjørende del av IT-sikkerhet

Begrepet "handlingsbar informasjon" brukes ikke ofte av fagfolk innen IT-sikkerhet. Det endrer seg. Bedrifter innser nå å være oppmerksom på handlingsfull informasjon kan forhindre digitale katastrofer. Target fikk vite at førstehånds når selskapets ansatte med ansvar for IT-sikkerhet ikke fulgte advarsler som i ettertid krevde umiddelbare tiltak. "Da de (angriperne) lastet opp programvare for eksfiltrering for å flytte stjålne kredittkortnummer - først til iscenesettelsespunkter spredt rundt i USA for å dekke sporene sine, deretter til datamaskinene deres i Russland - oppdaget FireEye dem, " nevner denne Bloomberg Business-artikkelen. "Bangalore fikk et varsel og flagget sikkerhetsteamet i Minneapolis. Og da ... skjedde ingenting."

Retningslinjer vil være nyttige

Medlemmer av EUs byrå for nettverks- og informasjonssikkerhet (ENISA), der de ser behovet for økt bevissthet rundt handlingsfull informasjon og IT-sikkerhet, publiserte rapporten Actionable Information for Security Incident Response. "I en verden av hendelsesrespons er informasjon alt, " begynner rapporten. "Jo tidligere hendelser og sårbarheter blir oppdaget og forstått, jo raskere kan de håndteres og desto mindre skade er forårsaket. Nøyaktig og tidsriktig informasjon kan hjelpe hendelseshåndterere å redusere antall infeksjoner, eller adressere sårbarheter før de blir utnyttet."

Rapportens forfattere nevner at virksomheter allerede behandler handlingsrik informasjon: data om markeder, trender og nyheter fra virksomheten som berører dem - bare ikke informasjon om IT-sikkerhet. Rapporten gir eksempler på hva som kan anses som handlingsfull informasjon angående IT-sikkerhet:

  • Identifiserte avvik fra nettverkstrafikken
  • Malware flagget av Antimalware-programmer
  • IP-adresser til kjente kommando- og kontrollservere som kan nullstilles i valgkretsnettverk

Oppfyller de fem kriteriene

Oppgaven bruker ikke mye krefter på det eksakte innholdet av IT-sikkerhetsrelatert handlingsbar informasjon. Forfatterne er mer bekymret for at handlingsbar informasjon oppfyller visse kvalitetskrav, inkludert:

Relevans: Det må utvises forsiktighet for å sikre at handlinger som er handlinger har betydning for mottakeren. Det hjelper ikke å gi en programvareutvikler nyheter at e-postserveren har blitt kompromittert.

Aktualitet: Dette kravet er nå åpenbart. Aktualiteten må imidlertid kvantifiseres. Noe handlingsfull informasjon trenger formidling umiddelbart, mens annen informasjon kan ha fordel av en "vent og se" -holdning. Årsaken til at umiddelbarhet kan påvirke de to neste kriteriene: fullstendighet og nøyaktighet.

Fullstendighet: Er informasjonen som er handlingsfri, ikke sammenslått? Informasjon gitt av en kilde og antatt å være fullstendig, er kanskje ikke. "Mange produsenter begrenser informasjon i frykt for å avsløre for mye om undersøkelsesmetodene sine, " nevner ENISA-rapporten. "Juridiske begrensninger kan være en annen grunn til å holde tilbake visse opplysninger."

Denne "Catch-22" -situasjonen kompliserer hvor mye nøyaktighet som kan gis til den handlingsrike informasjonen.

Nøyaktighet: IT-sikkerhetsinformasjon som er utpekt handlingsdyktig må adresseres raskt, så enhver forsinkelse forårsaket av å måtte veterinærens nøyaktighet er uakseptabel. I følge papiret er "Nøyaktighet et resultat av en kombinasjon av tilliten hevdet av kilden, tilliten som er plassert i kilden og den lokale konteksten til mottakeren."

Injestabilitet: Handlingsbar informasjon må være i en form som tillater direkte import til en organisasjons datahåndteringssystem, slik at rask spredning av indikatorer og direkte tilgang til prosedyrer som er ment å håndtere sikkerhetsspørsmålet.

Behandler informasjonen

Rapporten tilbyr deretter følgende "informasjonspipeline" for å eksemplifisere en måte brukbar informasjon kan behandles på.

Bilde: ENISA

"Trinn i rørledningen - innsamling, klargjøring, lagring, analyse og distribusjon - tilsvarer den naturlige informasjonsflyten i mange relevante sammenhenger, " forklarer rapporten. "Slik som eksisterende prosesser i CERTer eller arbeidsflyter som brukes av systemer som brukes til å administrere sikkerhetsdata."

Konseptmodellen er generisk, understreker papiret. Hver organisasjon, som er unik, må utvikle et handlingsbart informasjonshåndteringssystem som arbeidstakere og ledelse føler seg komfortable med - å finne prosessproblemer mens de sammenfiltrer seg med en sikkerhetstrussel er ikke en god situasjon.

"Så vidt vi vet, er denne veiledningen for beste praksis den første studien i sitt slag, " avslutter ENISA-rapporten. Rapportens forfattere nevner også dagens informasjonsutveksling er langt fra moden, og det er deres håp rapporten vil gi selskaper insentiver til å forbedre det.

Les disse tilleggsartiklene om IT-sikkerhet:

Hvordan selskaper kan gjøre sikkerhetskontrollen mer effektiv

Datamaskiner med luften er ikke lenger sikre

Cyberforsikring: Du handler bedre, sier EYs Robert Reeves

Forskning viser økende sikkerhetsproblemer og budsjetter for 2015

© Copyright 2020 | mobilegn.com