פרטים על טופס RFI
בקשת מידע (RFI) - מודיעין איומי סייבר
תהליך ה- RFI כולל כל דרישה אד-הוק רגישה לזמן ספציפי למידע מודיעיני או מוצרים התומכים באירוע או אירוע מתמשך, שלא בהכרח קשור לדרישות קבע או לייצור מודיעין מתוזמן.
כאשר מרכז המודיעין לאיומי סייבר (CTIC) מגיש RFI לקבוצות פנימיות, יש שורה של דרישות סטנדרטיות להקשר ולאיכות הנתונים המבוקשים.
למידע נוסף על מאגר הידע המקוון המלא של Cyber Threat Intelligence - CyberIntellipedia
- הנתונים אמורים להיות אוצרים.
- אוצר נתונים הוא ארגון ושילוב של נתונים שנאספו ממקורות שונים. זה כרוך בהערה, פרסום והצגת הנתונים כך ששווי הנתונים נשמר לאורך זמן, והנתונים יישארו זמינים לשימוש חוזר ושימור.
- הנתונים צפויים להיבדק ותוקף.
- יש לציין נתונים המספקים מקורות לנתונים (פורמט APA לכל Microsoft Word).
- יש להעריך את הנתונים לאמינות המקורות ולאימות הנתונים (ראה נספח א ').
- הנתונים עוקבים אחר הפורמט שלהלן בכל פעם כדי להאיץ את זמן המחזור. פורמט זה צריך להיות תואם את פלטפורמת תגובת האירוע הנמצאת בשימוש.
- יש להשתמש בתקנים כגון אלה הקשורים ל- NIST או לתקנים מקובלים אחרים כמוסכם לשימוש בארגון שלך.
- יש לעצב את הנתונים כך שיתאימו לתהליכים והנהלים הפנימיים שלך. ייתכן שתרצה לשקול כיצד ליישם את דגמי Diamond, Kill ו- ATT & CK באמצעות שדות נתונים סטנדרטיים.
- הנתונים צריכים להיות קלים לחילוץ, ניתנים לשחזור וכאשר ניתן לכמת אותם (מספר קרדינלי).
- הנתונים צריכים להיות בעלי היסטוריה היסטורית כדי שנוכל לנתח דפוסים, מגמות ונטיות מחודש לחודש.
- התאריכים והשעות שבהם נוצרו הנתונים (לא נוצרו על ידי הארגון שלך לגבי בליעת האירוע או האירוע אלא תאריכי פעולה ושעות האירוע או פעילויות האירוע.
- יש לסווג את הנתונים עם רמות סיווג פנימיות סטנדרטיות ומעצבי TLP.
מתי ואיפה רלוונטי, הנתונים צריכים לענות על השאלות הבאות:
- מהי הבעיה או הבעיה בדיוק או הייתה?
- מדוע זה קורה עכשיו, מי עושה את זה, מה הכוונה / המוטיבציה שלהם?
- אז מה - למה אכפת לנו ומה זה אומר לנו ולקוחותינו?
- השפעה עד כה, אם בכלל, על הנתונים והמערכות שלנו או על הנתונים והמערכות של הלקוחות שלנו?
- מה אנו מצפים שיקרה בהמשך? מה התחזית הצפויה להמשך פעולות אם בכלל?
- פעולת פיקוח (פעולות שנעשו או שנעשו על סמך נתונים / מידע / ניתוח)
- אילו המלצות הוצעו ואילו המלצות בוצעו?
- מה היה / היו דרכי הפעולה?
- מה הייתה התוצאה של ההמלצות המיושמות?
- האם היו השלכות בלתי צפויות על ההמלצות?
- אילו הזדמנויות יש לארגון שלך בהמשך?
- האם מצאנו חולשות?
- האם זיהינו נקודות חוזק כלשהן?
- אילו פערים נמצאו בסביבתנו (אנשים, תהליך, טכנולוגיה)?
אם הנתונים שאתה שולח לא אוצרים, נבדקים ומתוקפים עם ציטוטים מתאימים בפורמט המבוקש, יתכן שהוא לא יגיע לדוח.
אמינות המקור
עלינו להתייחס לכל דוח ספקים ולהזין נתונים כלא יותר ממקור נתונים אחר. נתונים שיש להעריך על אמינותם, אמינותם ורלוונטיותם. לשם כך אנו יכולים להשתמש בקוד האדמירליות של נאט"ו כדי לעזור לארגונים להעריך מקורות נתונים ואמינות המידע שמספק אותו גורם. הערך כל דוח ספק באמצעות שיטת קידוד זו תוך תיעוד קלות של חילוץ נתונים, רלוונטיות לנושאים הארגוניים שלך, סוג המודיעין (אסטרטגי, מבצעי, טקטי וטכני), וערך בפתרון בעיות האבטחה שלך. מרבית הפרסומים מספקים את מודל הניקוד ברמה העליונה. אנו מספקים את המודל המלא לחישוב אוטומטי המובנה במסמך PDF.