Як розвивалася розвідувальна інформація про кіберзагрози за останні кілька років і куди вона очолила?

Q:

Як розвивалася розвідувальна інформація про кіберзагрози за останні кілька років і куди вона очолила?

Фундаментальна взаємодія загроз та розвідка, з якою ми на них реагуємо, насправді не змінилися. Одна сторона прагне до компромісу з іншою стороною - викрадаючи товари, гроші чи інформацію; шляхом пошкодження активів; використовуючи щось (товари, клієнтів, знання) в якості важеля і вимагаючи жертви для отримання вигоди. Ми перешкоджаємо таким зусиллям за допомогою розвідки - вивчаючи інструменти та прийоми тих, хто завдасть шкоди, слухаючи підказки, що напади плануються, шукаючи вразливості, які полегшать зусилля суб'єктів загрози, та використовуючи зв'язки з іншими, хто стежить за ними. за підозрілу поведінку.

Що змінилося, в цілому - розмір поля бою. Темна павутина пропонує безліч таємних редутів та павутинних дірок, в яких погані актори можуть вести справи. Для мисливців, що займаються кіберзагрозами, залишатися в курсі. Розширення домену, в якому проводяться розмови, і з'являються нові плани атаки, означає, що реальні загрози можуть бути приховані в набагато більшому шумі. Провайдери розвідувальної інформації про кіберзагрози реагували насамперед за допомогою інструментів AI та великих даних, які можуть зібрати та проаналізувати набагато більше необробленої інформації.

Навіть важливішим, ніж впровадження інструментів інтелектуального інтелекту та великих даних, було еволюція ролі інтелекту людини, що стосується інформації про кіберзагрози. Це звучить протизаконно, але насправді це не так. Інструменти AI та великих даних ще недостатньо складні, щоб слідкувати за розширенням цього поля бою. Вони добре збирають великі набори даних із відомих джерел загрози та аналізують їх на відомі проблеми. Але вони не так добре виявляють, де зароджуються нові розмови, або виводять мотиви та сенс, коли обидва куплені в кодованому вигляді. Основним для успіху будь-яких зусиль з розвідки в кіберзагрозах залишається можливість агрегування інформації з усіх розширюваних джерел загрози, оскільки завтрашні загрози не з’являться виключно з тих же місць, де вони з’явилися вчора чи минулого місяця.

Ось де людський інтелект збільшує AI та великі дані. Експерти з людської розвідки дають змогу наступному етапу еволюції розвідувальних даних про кіберзагрози. Вони можуть допомогти керувати збором інтелекту та отримувати більше контекстуального значення та значення із сигналів, які AI та системи великих даних виявляють у шумі. Вони можуть оцінити характер виявлених сигналів та визначити, хто більше схильний до виникнення загроз.

Це розрізнення є критичним у міру збільшення гучності шуму. У шумі знайдеться більше сигналів, але якщо постачальник розвідувальної інформації про кіберзагрози не зможе ефективно визначити, які сигнали становлять реальну загрозу для яких галузей, компаній, користувачів обладнання та інше, споживачі інформації про загрозу залишатимуться для їх розбору. для них самих, - і вони були затоплені вже занадто багато років тією, що можна було б називати незавершеною інформацією. Якщо ми, як постачальники служб розвідки щодо кіберзагроз, виконуємо свою роботу правильно, то споживачі розвідувальної інформації про кіберзагрози, як правило, можуть знати про меншу кількість загроз, оскільки інформація про загрозу, яку ми можемо надати, буде готовою інформацією про загрозу, яка справді має значення для них - на що вони можуть швидко діяти розумними способами.