هذه السلسله خصصتها لكتابه بعض الملاحظات لاول جزء من Cyber Threat Intelligence Framework وهي Environmental Context
فهم بيئه العمل من اهم الجوانب التي يجب اخذها بعين الاعتبار في CTI وهذا يشمل فهم كل صغيره وكبيره في الشركه بما فيها الجوانب التقنيه والغير تقنيه
فهم بيئه العمل من اهم الجوانب التي يجب اخذها بعين الاعتبار في CTI وهذا يشمل فهم كل صغيره وكبيره في الشركه بما فيها الجوانب التقنيه والغير تقنيه
هذه المعرفه التامه بكل التفاصيل ان امكن تسهل عمليه تسيير والتوفيق بين اهداف الشركه ومخرجات CTI
يجب معرفه المعلومات المهمه وماهي العمليات الحساسه لكل جزء في الشركه
يجب معرفه المعلومات المهمه وماهي العمليات الحساسه لكل جزء في الشركه
فهم بيئه العمل لا ينحصر في الامور التقنيه وانما في كل شي حتى الموظفين انفسهم وطريقه عملهم ويذكر التقرير مقابلة كل اقسام الشركه وفهم طبيعه عمل كل فريق والتقنيه التي يستخدم، واهم المعلومات التي يعمل عليها
الشركات التي خضعت للدراسه بعضها فريق امن المعلومات كان ينقصه الفهم الكامل والعميق للشركه وهذه مشكله معروفه في البيئات الكبيره ويعتبر من اهم التحديات المذكوره في التقرير
قم بعمل crown jewel exercise وهي عمليه البحث وفهم الاجزاء الحساسه بشكل مستمر، بيئه العمل بطبيعتها متغيره بشكل سريع لذلك هذه العمليه هي عمليه مستمره ولن تتنتهي. دراسه مستمره لكل اجزاء الشركه وتجديد المعلومات واعاده التقييم بشكل مستمر
العمل جنبا الى جنب مع كل الموظفين ومقابلتهم سواء في الاقسام التقنيه او الاقسام الاخرى
العمل مع الموظفين وتخصيص وقت بسيط كل يوم او كل فتره لمعرفه ما يقومون به يساعد على فهم business internals
ارجع الى NIST SP 800-181 للتفاصيل اكثر عن هذا الجانب
العمل مع الموظفين وتخصيص وقت بسيط كل يوم او كل فتره لمعرفه ما يقومون به يساعد على فهم business internals
ارجع الى NIST SP 800-181 للتفاصيل اكثر عن هذا الجانب
تم ذكر اهميه بناء fusion center وهو شبيه ب soc لكن مدموج مع فريق CTI وفرق اخرى اذا تطلب الامر
الصوره توضح الفرق بين SOC و Fusion Center
الصوره توضح الفرق بين SOC و Fusion Center
من خلال Fusion Center سوف يكون تواصلهم وتكامل فريق CTI وفريق Cybersecurity ايضا اي division اخر وادارته بشكل جيد سوف ينقل الشركه من وضع reactive الى proactive
المراسله بالايميل والتواصل الهاتفي غير كافي بين الفريقين ويجب ان يكون هناك تواصل واضح ومتكامل للوصول الى افضل نتيجه وذلك Fusion Center قد يكون هو افضل وسيله لتواصل واضح وتكامل فريق CTI مع بقيه اجزاء الشركه واهم جزء هو فريق امن المعلومات من DFIR و SOC وغيرهم
بعض الشركات لم يكن لديها تفصيل واضح في roles و responsiblities بين مهام متخصصين Cybersecurity و CTI
والشركات التي كان لها تقييم عالي كانت من الشركات الواضحه في اداره الفريقين والتفريق بين المهام وتكاملهم ايضا
والشركات التي كان لها تقييم عالي كانت من الشركات الواضحه في اداره الفريقين والتفريق بين المهام وتكاملهم ايضا
مع الانتباه ان دمج الزائد لفريق cybersecurity و CTI ربما يوصل الى نتيجه ان فريق CTI يسلم تقاريره الى SOC وبهذا يجعل الادراه تركز اكثر على SOC
ويوثر على Workflow و هدف التحول من reactive الى proactive
ويوثر على Workflow و هدف التحول من reactive الى proactive
ينصح بالتركيز على علوم البيانات وعلم الاله لتحسين تحليل البيانات ودمج هذا القسمين كجزء من عمليه الوصول الى capability عاليه في CTI
وهم جزء لا يتجزا من فريق CTI وخطط التوظيف يجب ان تركز على استغلال هذه الكوادر
وهم جزء لا يتجزا من فريق CTI وخطط التوظيف يجب ان تركز على استغلال هذه الكوادر
الحرص على التاكد بان يتم استغلال البيانات القديمه والتقارير القديمه التي تدعم تحليل البيانات واتخاذ القرار، التاكد من وجود التقنيه اللازمه لاداره هذه البيانات
والوصول اليها بسهوله من خلال solutions معينه
والوصول اليها بسهوله من خلال solutions معينه
ايضا من ناحيه التحليل عدم التركيز في الوقت الحاضر فقط
الماضي يتم استغلال بياناته والاستفاده منها ايضا دمجها الحاضر والمستقبل
الماضي يتم استغلال بياناته والاستفاده منها ايضا دمجها الحاضر والمستقبل
جاري تحميل الاقتراحات...