Threat Intelligence

A Threat Intelligence (magyarul: kiberfenyegetési hírszerzés) a kiberbiztonság egyik alapfogalma.
Lényege: a fenyegetésekkel kapcsolatos nyers adatok összegyűjtése, feldolgozása és elemzése, majd ezekből akcióképes tudás előállítása, amely segít megelőzni, felismerni és kezelni a támadásokat.
 
Mit jelent ez a gyakorlatban?
 
  • Adatgyűjtés különböző forrásokból: logok, biztonsági rendszerek, dark web, CERT közlemények, threat feed-ek.
  • Elemzés és kontextus: nem csak egy IP-címről van adat, hanem tudjuk, hogy pl. az egy ismert botnet parancs- és vezérlőszerveréhez tartozik.
  • Tudásmegosztás: a SOC, IT-biztonsági csapat vagy vezetés megkapja azokat az információkat, amelyek alapján döntést tud hozni (pl. mit kell blokkolni, kinek kell szólni, hol van gyenge pont).
 
Fajtái
 
  1. Stratégiai – magas szintű, vezetői szinten értelmezhető (pl. iparági trendek, geopolitikai kockázatok).
  2. Taktikai – támadási módszerek, technikák leírása (pl. adathalászat, zsarolóvírus taktikák).
  3. Operatív – konkrét fenyegetési kampányokról információ (pl. „jelenleg magyarországi pénzintézeteket céloz phishing hullám”).
  4. Technikai – konkrét adatok (indikátorok, IP-k, hash-ek, domainek), amelyeket automatikusan lehet blokkolni.
 
Miért fontos?
 
  • Gyorsabb reagálás incidensek esetén.
  • Proaktív védelem – előre tudjuk, mire kell figyelni.
  • Csökkenti a zajt a SOC-ban → nem minden riasztás fontos, a TI segít priorizálni.
  • Megfelelőség – több szabvány (pl. ISO 27001, NIS2) megköveteli.
 

Röviden:
A Threat Intelligence = információból tudás, amely lehetővé teszi, hogy a szervezetek előbb tudják, mi fenyegeti őket, mint ahogy a támadás bekövetkezne. 

Syndicate content

©2009 ANT Ltd. | all rights reserved | Last modification: 27-11-2013