Yêu cầu cung cấp thông tin (RFI) - Tình báo về mối đe dọa trên mạng

Quy trình RFI bao gồm bất kỳ yêu cầu đặc biệt nhạy cảm về thời gian cụ thể nào đối với thông tin tình báo hoặc sản phẩm để hỗ trợ một sự kiện hoặc sự cố đang diễn ra không nhất thiết liên quan đến các yêu cầu thường trực hoặc sản xuất thông tin tình báo theo lịch trình.

Khi Trung tâm Tình báo Đe dọa Mạng (CTIC) gửi RFI cho các nhóm nội bộ, sẽ có một loạt các yêu cầu tiêu chuẩn về bối cảnh và chất lượng của dữ liệu được yêu cầu.

Tìm hiểu thêm về cơ sở kiến ​​thức trực tuyến đầy đủ về Cyber ​​Threat Intelligence - CyberIntellipedia

• Dữ liệu dự kiến ​​sẽ được quản lý.
• Quản lý dữ liệu là tổ chức và tích hợp dữ liệu được thu thập từ nhiều nguồn khác nhau. Nó liên quan đến chú thích, xuất bản và trình bày dữ liệu sao cho giá trị của dữ liệu được duy trì theo thời gian và dữ liệu vẫn có sẵn để sử dụng lại và bảo quản
• Dữ liệu dự kiến ​​đã được xem xét và xác nhận.
• Dữ liệu cần được trích dẫn cung cấp nguồn cho dữ liệu (định dạng APA trên Microsoft Word).
• Dữ liệu cần được đánh giá về độ tin cậy của các nguồn và xác nhận của dữ liệu (xem Phụ lục A)
• Dữ liệu tuân theo định dạng dưới đây mỗi lần để tăng tốc thời gian chu kỳ. Định dạng này phải phù hợp với nền tảng ứng phó sự cố đang được sử dụng.
• Các tiêu chuẩn phải được sử dụng, chẳng hạn như các tiêu chuẩn liên quan đến NIST hoặc các tiêu chuẩn được chấp nhận khác theo thỏa thuận để sử dụng trong tổ chức của bạn.
• Dữ liệu phải được định dạng để phù hợp với các quy trình và thủ tục nội bộ của bạn. Bạn có thể muốn xem xét cách bạn áp dụng mô hình Diamond, Kill chain và ATT & CK bằng cách sử dụng các trường dữ liệu tiêu chuẩn.
• Dữ liệu phải dễ trích xuất, có thể lặp lại và khi áp dụng, có thể định lượng được (số chính).
• Dữ liệu phải có hồ sơ lịch sử để chúng tôi có thể phân tích các mẫu, xu hướng và xu hướng hàng tháng.
• Ngày và giờ khi dữ liệu được tạo (không phải do tổ chức của bạn tạo liên quan đến việc nhập sự kiện hoặc sự cố mà là ngày và giờ hành động của các hoạt động sự kiện hoặc sự cố.
• Dữ liệu nên được phân loại với các mức phân loại nội bộ tiêu chuẩn và các bộ chỉ định TLP.

Khi nào và ở đâu có thể áp dụng, dữ liệu cần trả lời các câu hỏi sau:

• Chính xác thì vấn đề là gì?
• Tại sao điều này lại xảy ra bây giờ, ai đang làm điều này, mục đích / động cơ của họ là gì?
  • Vậy điều gì - tại sao chúng tôi quan tâm và nó có ý nghĩa gì đối với chúng tôi và khách hàng của chúng tôi?
• Ảnh hưởng cho đến nay nếu có đối với dữ liệu và hệ thống của chúng tôi hoặc dữ liệu và hệ thống của khách hàng của chúng tôi?
• Điều gì chúng ta mong đợi sẽ xảy ra tiếp theo? Triển vọng dự kiến ​​cho các hành động tiếp tục nếu có là gì?
• Hành động Giám sát (các hành động được thực hiện dựa trên dữ liệu / thông tin / phân tích)
• Những khuyến nghị nào đã được đưa ra và những khuyến nghị nào đã được thực hiện?
  • (Các) khóa học hành động là gì?
  • Kết quả của các khuyến nghị đã thực hiện là gì?
• Có bất kỳ tác động nào không lường trước được đối với các khuyến nghị không?
• Cơ hội nào cho tổ chức của bạn trong tương lai?
  • Chúng tôi có tìm thấy điểm yếu nào không?
  • Chúng ta đã xác định được điểm mạnh nào chưa?
• Những khoảng trống nào được tìm thấy trong môi trường của chúng ta (con người, quy trình, công nghệ)?

Nếu dữ liệu bạn gửi không được sắp xếp, xem xét và xác thực với các trích dẫn phù hợp ở định dạng được yêu cầu, thì dữ liệu đó có thể không được đưa vào báo cáo.

Nguồn tin cậy

Chúng tôi phải coi mỗi báo cáo của nhà cung cấp và nguồn cấp dữ liệu không hơn gì một nguồn dữ liệu khác. Dữ liệu phải được đánh giá về uy tín, độ tin cậy và mức độ phù hợp. Để làm như vậy, chúng tôi có thể sử dụng Bộ luật Hải quân NATO để giúp các tổ chức đánh giá nguồn dữ liệu và độ tin cậy của thông tin do nguồn đó cung cấp. Đánh giá từng báo cáo của nhà cung cấp bằng cách sử dụng phương pháp mã hóa này trong khi ghi lại khả năng dễ dàng trích xuất dữ liệu, mức độ liên quan đến các vấn đề tổ chức của bạn, loại thông minh (chiến lược, hoạt động, chiến thuật và kỹ thuật) và giá trị trong việc giải quyết các vấn đề bảo mật của bạn. Hầu hết các ấn phẩm đều cung cấp mô hình tính điểm cấp cao nhất. Chúng tôi cung cấp mô hình đầy đủ để tính toán tự động được tích hợp trong PDF. 

Tìm mẫu ở đây