V posledních dnech se toho semlelo poměrně hodně. USA formálně označily hackery ruské rozvědky SVR vinnými z napadení SolarWinds a upozornily na další útoky prováděné SVR. Slovenský národní CERT tým vydal formální upozornění a analýzu relativně rozsáhlých ransomwarových útoků na organizace na Slovensku. Český NÚKIB zase v souvislosti s vývojem v kauze výbuchu ve Vrběticích vydal upozornění na zvýšené riziko kybernetických útoků proti ČR.

Společným jmenovatelem u všech tří je to, že dávají obráncům do rukou jisté informace o hrozbách, tedy threat intelligence. Říkají něco např. o útočných skupinách (APT29), indikátorech kompromitace (IoC), útočných vektorech, zranitelnostech apod. Co si však s těmito informacemi počít?

Pokud vnímáte bezpečnost jako důležitou jen na úrovni plnění compliance, tak asi nic. Velmi pravděpodobně vás nikdo nenutí s tím nic dělat. Pokud si však uvědomujete, že se správně vnímanou a implementovanou kyberbezpečností compliance přichází prakticky sama, je toho poměrně dost.

Můžete zjistit, zda se vás týkají zmíněné zranitelnosti a případně přehodnotit process patch management. Na základě indikátorů kompromitace můžete zjistit, zda jste nebyli cílem útoku i vy. Ptejte se na to, jak jste chráněni před popsanými technikami útočníků.

Když dostanete odpovědi, že už to řešili s vaším threat intelligence týmem, jdete dobrým směrem. Máte jasně zadané požadavky a zjevně víte, že dobrý threat intelligence program je dnes už v organizaci nutností. Od strategické threat intelligence, přes TTPs útočníků až po indikátory kompromitace, mít dobré informace o hrozbách je pro vaši organizaci skutečně nezbytné.

Možná jste v situaci, kdy si tuto potřebu uvědomujete, ale nevíte úplně jak na to. My však ano. Threat intelligence je základním kamenem našeho CyberSOCu. Rádi s tím pomůžeme i vám.

Dávid Kosť, Lead Security Analyst, AXENTA a.s.

Peter Jankovský, CTO, AXENTA a.s.