Vad är hotanalys? Definition och förklaring
Hotanalys är processen att identifiera och analysera cyberhot. Termen "hotanalys" kan hänvisa till data som samlas in om ett potentiellt hot eller processen att samla in, bearbeta och analysera denna data för att bättre förstå hoten. Hotanalys innebär att sålla igenom data, undersöka dem i sitt sammanhang för att upptäcka problem och distribuera lösningar som är specifika för det problem som hittas.
Tack vare digital teknik är dagens värld mer sammankopplad än någonsin. Men den ökade uppkopplingen har också medfört en ökad risk för cyberattacker, till exempel intrång, datastöld och skadlig programvara. En nyckelaspekt av cybersäkerhet är hotanalys. Läs vidare för att ta reda på vad hotanalys är, varför det är viktigt och hur man tillämpar det.
Vad är hotanalys?
Definitionen av hotanalys förenklas ofta eller blandas ihop med andra internetsäkerhetsbegrepp. Vanligast är att man blandar ihop "hotdata" med "hotanalys" – men de två är inte samma sak:
- Hotdata är en lista över möjliga hot.
- Hotanalys tittar på den större bilden – genom att man ställer frågor till sina data och det bredare sammanhanget för att konstruera en berättelse som kan vara beslutsunderlag.
I grund och botten gör hotanalys det möjligt för organisationer att fatta snabbare och bättre underbyggda säkerhetsbeslut. Det uppmuntrar proaktiva, istället för än reaktiva, beteenden i kampen mot cyberattacker.
Varför är hotanalys viktigt?
Hotanalys är en viktig del av alla cybersäkerhetssystem. Ett analysprogram om cyberhot, som ibland kallas CTI, kan:
- Förhindra dataförlust: med ett välstrukturerat CTI-program kan organisationer upptäcka cyberhot och förhindra att dataintrång leder till att känslig information röjs.
- Ge vägledning om säkerhetsåtgärder: genom att identifiera och analysera hot upptäcker CTI mönster som hackare använder, vilket hjälper organisationer att vidta säkerhetsåtgärder för att skydda sig mot framtida attacker.
- Informera andra: hackare blir smartare för varje dag som går. Cybersäkerhetsexperter delar med sig av metoder till andra i gemenskapen i syfte att skapa en gemensam kunskapsbas och bekämpa cyberbrottsligheten.
Typer av hotanalys
Underrättelser om cybersäkerhetshot delas ofta in i tre kategorier – strategiska, taktiska och operativa. Låt oss titta på dessa aspekter, en i taget.
Strategisk hotanalys:
Detta är vanligtvis en analys på hög nivå utformad för icke-tekniska målgrupper – till exempel styrelsen för ett företag eller en organisation. Den täcker ämnen om cybersäkerhet som kan påverka bredare affärsbeslut och tittar på övergripande trender såväl som motivation. Strategisk hotanalys baseras ofta på öppna källor – vilket innebär att alla kan komma åt dem – som mediarapporter, vitböcker och forskning.
Taktisk hotanalys:
Detta fokuserar på den omedelbara framtiden och är utformat för en mer tekniskt kunnig publik. Den identifierar enkla indikatorer på intrång (Indicators Of Compromise, IOC) så att IT-team kan söka efter och eliminera specifika hot i ett nätverk. IOC innefattar element som felaktiga IP-adresser, kända skadliga domännamn, ovanlig trafik, varningssignaler för inloggning eller en ökning av fil- och nedladdningsförfrågningar. Taktisk hotanalys är den enklaste formen av hotanalys att generera och är vanligtvis automatiserad. Den kan ofta ha en kort livslängd då många IOC snabbt blir föråldrade.
Operativ hotanalys:
Bakom varje cyberattack ligger ett "vem", ett "varför" och ett "hur". Operativ hotanalys är utformad för att svara på dessa frågor genom att studera tidigare cyberattacker och dra slutsatser om avsikt, tidpunkt och komplexitet. Operativ hotanalys kräver mer resurser än taktisk hotanalys och har en längre livslängd. Detta beror på att cyberangripare inte kan ändra sin taktik, sin teknik och sina procedurer (så kallade TTP) lika lätt som de kan ändra sina verktyg – till exempel en specifik typ av skadlig programvara.
Livscykel för cyberhotanalys
Cybersäkerhetsexperter använder begreppet livscykel i förhållande till hotanalys. Ett typiskt exempel på ett cyberhots livscykel skulle omfatta dessa stadier: styrning, insamling, bearbetning, analys, spridning och återkoppling.
Fas 1: styrning
Denna fas fokuserar på att sätta upp mål för hotanalysprogrammet. Det kan innefatta:
- Att förstå vilka aspekter av organisationen som behöver skyddas och eventuellt skapa en prioriteringsordning.
- Identifiera vilken hotanalys organisationen behöver för att skydda tillgångar och svara på hot.
- Förstå den organisatoriska effekten av ett cyberintrång.
Fas 2: insamling
Den här fasen handlar om att samla in data för att stödja de mål som sattes upp i fas 1. Datakvantitet och datakvalitet är båda avgörande för att undvika att missa allvarliga hothändelser eller bli vilseledd av falska positiva resultat. I denna fas måste organisationer identifiera sina datakällor. Dessa kan innefatta:
- Metadata från interna nätverk och säkerhetsenheter
- Hotdataflöden från trovärdiga cybersäkerhetsorganisationer
- Intervjuer med kunniga intressenter
- Öppna nyhetssidor och bloggar
Fas 3: bearbetning
Alla data som har samlats in måste omvandlas till ett format som organisationen kan använda. Olika datainsamlingsmetoder kommer att kräva olika metoder för bearbetning. Till exempel kan data från mänskliga intervjuer behöva faktakontrolleras och dubbelkontrolleras mot andra data.
Fas 4: analys
När uppgifterna har bearbetats till ett användbart format behöver de analyseras. Analys är processen att omvandla information till kunskaper som kan vägleda organisatoriska beslut. Dessa beslut kan till exempel vara om investeringar i säkerhetsresurser ska öka, om ett särskilt hot eller en uppsättning hot ska undersökas, vilka åtgärder som måste vidtas för att blockera ett omedelbart hot, vilka hotanalysverktyg som behövs och så vidare.
Fas 5: spridning
När analysen har genomförts måste de viktigaste rekommendationerna och slutsatserna vidarebefordras till relevanta intressenter inom organisationen. Olika team inom organisationen kommer att ha olika behov. För att sprida kunskaperna effektivt är det värt att fråga vilken information varje publik behöver, i vilket format och hur ofta.
Fas 6: feedback
Återkoppling från intressenter kommer att bidra till att förbättra hotanalysprogrammet, vilket säkerställer att det speglar varje grupps krav och mål.
Termen "livscykel" belyser det faktum att hotanalys inte är en linjär engångsprocess. Istället är det en cirkulär och iterativ process som organisationer använder för ständiga förbättringar.
Vem tjänar på hotanalys?
Alla som har ett intresse av säkerhet gynnas av hotanalys. Särskilt om du driver ett företag är fördelarna bland annat:
Minskade risker
Hackare letar alltid efter nya sätt att penetrera företagsnätverk. Cyberhotanalys gör det möjligt för företag att identifiera nya sårbarheter när de dyker upp, vilket minskar risken för dataförlust eller störningar i den dagliga verksamheten.
Undvika dataintrång
Ett omfattande underrättelsesystem för cyberhot hjälper dig att undvika dataintrång. Det gör detta genom att övervaka misstänkta domäner eller IP-adresser som försöker kommunicera med en organisations system. Ett bra CTI-system kommer att blockera misstänkta IP-adresser – som annars skulle kunna stjäla dina data – från nätverket. Utan ett CTI-system på plats kan hackare översvämma nätverket med falsk trafik för att utföra en DDoS-attack (Distributed Denial of Service).
Minskade kostnader
Dataintrång är dyra. År 2021 var den globala genomsnittliga kostnaden för ett dataintrång 4,24 miljoner dollar (även om detta varierar beroende på sektor – den högsta kostnaden är inom sjukvård). Dessa kostnader innefattar element som advokatarvoden och böter plus kostnader för återställning efter incidenten. Genom att minska risken för dataintrång kan cyberhotanalys hjälpa till att spara pengar.
I huvudsak hjälper hotanalys en organisation att förstå cyberrisker och vilka åtgärder som behövs för att mildra dessa risker.
Vad man ska leta efter i ett hotanalysprogram
För att hantera hot krävs en fullständig vy över tillgångarna. Du behöver ett program som övervakar aktivitet, identifierar problem och tillhandahåller de data som behövs för att fatta välgrundade beslut som skyddar organisationen. Detta är element som ett hotanalysprogram ska ha:
Skräddarsydd hothantering
Du behöver ett företag som kommer åt systemet, upptäcker svagheter, föreslår skyddsåtgärder och övervakar det dygnet runt. Många cybersäkerhetssystem hävdar att de gör detta, men du bör leta efter ett som kan skräddarsy en lösning för dina specifika behov. Cybersäkerhet upprättas inte med en allt-i-ett-lösning, så nöj dig inte med ett företag som påstår sig sälja en sådan.
Hotdataflöden
Du behöver ett uppdaterat flöde av webbplatser som har placerats på en lista över icke tillåtna webbplatser samt illvilliga aktörer att hålla ett öga på.
Tillgång till undersökningar
Du behöver ett företag som ger dig tillgång till de senaste utredningarna med förklaringar av hur hackarna tar sig in, vad de vill ha och hur de får tag på det. Med denna information kan företag fatta mer välgrundade beslut.
Riktiga lösningar
Ett underrättelseprogram för cyberhot bör hjälpa ditt företag att identifiera attacker och minska riskerna. Programmet måste vara heltäckande – till exempel vill du inte ha ett program som bara identifierar potentiella problem och inte erbjuder lösningar.
I ett ständigt växande hotlandskap kan cyberhot få allvarliga konsekvenser för din organisation. Men med robust cyberhotanalys kan du minska de risker som kan skada ditt anseende och din ekonomi. För att ligga steget före cyberattacker, kan du begära demoåtkomst till Kasperskys Threat Intelligence-portal och börja utforska de fördelar som lösningen kan ge din organisation.
Rekommenderade produkter:
Kaspersky Enterprise Security Solutions and Services
Läs mer:
Utvärdering av hotinformationslösningar: fyra viktiga punkter att tänka på
Vad är hotanalys? Definition och förklaring
Kaspersky
