Forespørsel om informasjon (RFI) - Cyber ​​Threat Intelligence

RFI-prosessen inkluderer ethvert spesifikt tidssensitivt ad hoc-krav til etterretningsinformasjon eller produkter for å støtte en pågående hendelse eller hendelse som ikke nødvendigvis er relatert til stående krav eller planlagt etterretningsproduksjon.

Når Cyber ​​Threat Intelligence Center (CTIC) sender en RFI til interne grupper, er det en rekke standardkrav for konteksten og kvaliteten på de dataene som er forespurt.

Lær mer om den komplette online kunnskapsbasen Cyber ​​Threat Intelligence - CyberIntellipedia

• Dataene forventes å bli kurert.
• Datakurering er organisering og integrering av data samlet fra forskjellige kilder. Det innebærer kommentering, publisering og presentasjon av dataene slik at verdien av dataene opprettholdes over tid, og dataene forblir tilgjengelige for gjenbruk og konservering
• Dataene forventes å ha blitt gjennomgått og validert.
• Data må siteres med kilder til dataene (APA-format per Microsoft Word).
• Data skal vurderes for troverdigheten til kildene og validering av dataene (se vedlegg A)
• Dataene følger formatet nedenfor hver gang for å øke hastigheten på syklusen. Dette formatet skal være i samsvar med hendelsesresponsplattformen som er i bruk.
• Standarder må brukes slik som de som er knyttet til NIST eller andre aksepterte standarder som avtalt for bruk i organisasjonen din.
• Dataene skal være formatert slik at de passer til dine interne prosesser og prosedyrer. Det kan være lurt å vurdere hvordan du bruker Diamond, Kill chain og ATT & CK-modellene ved hjelp av standard datafelt.
• Dataene skal være enkle å trekke ut, repeterbare, og når det er aktuelt, kvantifiserbare (hovednummer).
• Dataene skal ha en historisk oversikt, slik at vi kan analysere mønstre, trender og tendenser fra måned til måned.
• Datoene og tidspunktene da dataene ble opprettet (ikke opprettet av organisasjonen med hensyn til inntak av hendelsen eller hendelsen, men handlingsdatoer og tidspunkt for hendelsen eller hendelsesaktivitetene.
• Dataene skal klassifiseres med standard interne klassifiseringsnivåer og TLP-betegnere.

Når og hvor det er aktuelt, må dataene svare på følgende spørsmål:

• Hva er problemet eller problemet?
• Hvorfor skjer dette nå, hvem gjør dette, hva er deres intensjon / motivasjon?
  • Så hva - hvorfor bryr vi oss, og hva betyr det for oss og våre kunder?
• Påvirkning så langt om noen av våre data og systemer eller dataene og systemene til våre kunder?
• Hva forventer vi å skje videre? Hva er forventede utsikter for fortsatte tiltak hvis noen?
• Tilsynsmessige tiltak (handlinger som skal eller er blitt tatt basert på data / informasjon / analyse)
• Hvilke anbefalinger ble gitt og hvilke anbefalinger ble utført?
  • Hva var / var handlingen?
  • Hva var resultatet av de implementerte anbefalingene?
• Var det noen uventede implikasjoner av anbefalingene?
• Hvilke muligheter er det for organisasjonen din fremover?
  • Fant vi noen svakheter?
  • Fant vi ut noen styrker?
• Hvilke hull ble det funnet i miljøet vårt (mennesker, prosess, teknologi)?

Hvis dataene du sender ikke blir kurert, gjennomgått og validert med riktige sitater i det forespurte formatet, kan det hende at de ikke kommer til rapporten.

Kilde Troverdighet

Vi må behandle hver leverandørrapport og datafeed som ingenting annet enn en annen datakilde. Data som må vurderes for troverdighet, pålitelighet og relevans. For å gjøre dette kan vi bruke NATO Admiralty Code for å hjelpe organisasjoner med å vurdere datakilder og troverdigheten til informasjonen som er gitt av den kilden. Evaluer hver leverandørrapport ved hjelp av denne kodemetoden mens du dokumenterer enkel datautvinning, relevans for dine organisatoriske problemer, type etterretning (strategisk, operativ, taktisk og teknisk) og verdi i å løse sikkerhetsproblemene dine. De fleste publikasjoner gir toppscoringsmodellen. Vi tilbyr hele modellen for automatisk beregning innebygd i PDF-filen. 

Finn skjemaet her