V posledných dňoch sa toho zomlelo pomerne veľa. USA formálne označili hackerov ruskej rozviedky SVR za vinných z napadnutia SolarWinds a upozornili na ďalšie útoky vykonávané SVR. Slovenský národný CERT tím vydal formálne upozornenie a analýzu relatívne rozsiahlych ransomwarových útokov na organizácie na Slovensku. Český NÚKIB zase v súvislosti s vývojom v kauze výbuchu vo Vrběticích vydal upozornenie na zvýšené riziko kybernetických útokov proti ČR.
Spoločným menovateľom u všetkých troch je to, že dávajú obrancom do rúk isté informácie o hrozbách, teda threat intelligence. Hovoria napr. o útočníckých skupinách (APT29), indikátoroch kompromitácie (IoC), útočných vektoroch, zraniteľnostiach a pod. Čo si však s týmito informáciami počať?
Ak vnímate bezpečnosť ako dôležitú len na úrovni plnenia compliance, tak asi nič. Veľmi pravdepodobne vás nikto nenúti s tým nič robiť. Ak si však uvedomujete, že so správne vnímanou a implementovanou kyberbezpečnosťou compliance prichádza prakticky sama, je toho pomerne dosť.
Môžete zistiť, či sa vás týkajú spomenuté zraniteľnosti a prípadne prehodnotiť process patch management. Na základe indikátorov kompromitácie môžete zistiť, či ste neboli cieľom útoku aj vy. Pýtajte sa na to, ako ste chránení pred popísanými technikami útočníkov.
Keď dostanete odpovede, že už to riešili s vašim threat intelligence tímom, idete dobrým smerom. Máte jasne zadané požiadavky a zjavne viete, že dobrý threat intelligence program je dnes už v organizácii nutnosťou. Od strategickej threat intelligence, cez TTPs útočníkov až po indikátory kompromitácie, mať dobré informácie o hrozbách pre vašu organizáciu je skutočne nevyhnutné.
Možno ste v situácii, kedy si túto potrebu uvedomujete, ale neviete úplne ako na to. My však áno. Threat intelligence je základnym kameňom nášho CyberSOCu. Radi s tým pomôžeme aj vám.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.
