Teabenõue (RFI) - küberohu luure

RFI protsess sisaldab mis tahes spetsiifilist ajatundlikku nõuet luureteabe või toodete jaoks käimasoleva sündmuse või vahejuhtumi toetamiseks, mis ei ole tingimata seotud püsivate nõuete või kavandatud luuretootmisega.

Kui küberohu luurekeskus (CTIC) esitab sisemistele rühmadele RFI-d, on nõutavate andmete konteksti ja kvaliteedi osas rida standardnõudeid.

Lisateave täieliku veebipõhise teabebaasi Cyber ​​Threat Intelligence - CyberIntellipedia kohta

• Andmed loodetakse kureerida.
• Andmete kureerimine on erinevatest allikatest kogutud andmete korraldamine ja integreerimine. See hõlmab andmete märkimist, avaldamist ja esitamist nii, et andmete väärtus säiliks aja jooksul ning andmed jääksid taaskasutamiseks ja säilitamiseks kättesaadavaks
• Eeldatakse, et andmed on üle vaadatud ja kinnitatud.
• Andmetele tuleb viidata pakkudes andmete allikaid (APA vorming Microsoft Wordi kohta).
• Andmeid tuleks hinnata allikate usaldusväärsuse ja andmete kinnitamise osas (vt lisa A)
• Andmed järgivad tsükliaja kiiruse saamiseks iga kord allpool esitatud vormingut. See formaat peaks olema kooskõlas kasutatava vahejuhtumitele reageerimise platvormiga.
• Kasutada tuleb standardeid, näiteks NIST-ga seotud standardeid või muid teie organisatsioonis kasutamiseks kokku lepitud standardeid.
• Andmed peaksid olema vormindatud vastavalt teie sisemistele protsessidele ja protseduuridele. Võite kaaluda, kuidas rakendate Diamond, Kill ketti ning ATT & CK mudeleid standardsete andmeväljade abil.
• Andmed peaksid olema hõlpsasti eraldatavad, korratavad ja vajaduse korral kvantifitseeritavad (kardinaalne number).
• Andmetel peaks olema ajalooline kirje, et saaksime analüüsida kuude lõikes mustreid, suundumusi ja suundumusi.
• Andmete loomise kuupäevad ja kellaajad (mitte teie organisatsiooni loodud sündmuse või intsidendi sissevõtmise osas, vaid toimingu kuupäevad ja kellaajad sündmuse või vahejuhtumi toimingute kohta
• Andmed tuleks klassifitseerida standardsete sisemiste klassifikatsioonitasemete ja TLP tähiste järgi.

Vajaduse korral peavad andmed vastama järgmistele küsimustele:

• Mis probleem või probleem täpsemalt on või oli?
• Miks see nüüd toimub, kes seda teeb, mis on nende kavatsus / motivatsioon?
  • Mis siis - miks see meid huvitab ja mida see meile ja klientidele tähendab?
• Kas seni on mõju meie andmetele ja süsteemidele või klientide andmetele ja süsteemidele?
• Mis loodame juhtuda järgmisena? Milline on eeldatav jätkuva tegevuse väljavaade, kui üldse on?
• Järelevalvetoiming (toimingud, mis tuleb või mis on võetud andmete / teabe / analüüsi põhjal)
• Milliseid soovitusi tehti ja milliseid soovitusi täideti?
  • Milline oli / oli tegutsemisviis (id)?
  • Mis oli rakendatud soovituste tulemus?
• Kas soovitustel oli ootamatut mõju?
• Millised on teie organisatsiooni võimalused tulevikus?
  • Kas leidsime nõrkusi?
  • Kas me tuvastasime tugevad küljed?
• Milliseid lünki leiti meie keskkonnas (inimesed, protsess, tehnoloogia)?

Kui teie saadetud andmeid ei ole kureeritud, vaadatud üle ega kinnitatud nõuetekohases vormingus nõuetekohaste viidetega, ei pruugi need aruandesse jõuda.

Allika usaldusväärsus

Peame käsitlema igat hankija aruannet ja andmevoogu kui muud andmeallikat. Andmed, mille usaldusväärsust, usaldusväärsust ja asjakohasust tuleb hinnata. Selleks saame kasutada NATO admiraliteedi koodeksit, et aidata organisatsioonidel hinnata andmeallikaid ja selle allika pakutava teabe usaldusväärsust. Hinnake iga hankija aruannet selle kodeerimismeetodi abil, dokumenteerides samal ajal andmete väljavõtmise lihtsuse, asjakohasuse oma organisatsiooniliste probleemide jaoks, intelligentsuse tüübi (strateegiline, operatiivne, taktikaline ja tehniline) ning turvalisuse probleemide lahendamise väärtuse. Enamik väljaandeid pakub tipptasemel hindemudelit. Pakume PDF-i sisseehitatud automaatsete arvutuste täielikku mudelit. 

Vormi leiate siit