ثريد | 📌
الهيكل التنظيمي المثالي لفريق استقصاء التهديدات السيبرانية CTI داخل ادارة الأمن السيبراني ودورة حياة Threat Intelligence والأهداف المنشودة منه ومهمامه وطريقة سير عمله.
#الامن_السيبراني
#ThreatIntel
الهيكل التنظيمي المثالي لفريق استقصاء التهديدات السيبرانية CTI داخل ادارة الأمن السيبراني ودورة حياة Threat Intelligence والأهداف المنشودة منه ومهمامه وطريقة سير عمله.
#الامن_السيبراني
#ThreatIntel
أولا وقبل أن أتكلم عن تفاصيل هيكلة وبناء فريق CTI هناك عدد من النتائج المتوقعة من الفريق وهي :
١- تقارير استراتيجية وغالبًا ما تكون موجهة للإدارة وبلغة مفهومة من دون الخوض في تفاصيل تقنية دقيقة والتي على أساسها يتم اتخاذ القرارات الادارية المناسبة المتعلقة بالتهديدات
١- تقارير استراتيجية وغالبًا ما تكون موجهة للإدارة وبلغة مفهومة من دون الخوض في تفاصيل تقنية دقيقة والتي على أساسها يتم اتخاذ القرارات الادارية المناسبة المتعلقة بالتهديدات
٢- تقارير تقنية وعادة ما تكون تقنية مفصلة عن تهديد أو نشاط أو برمجية خبيثة وتكون موجهة للإدارة التقنية الأخرى في المنشأة وعلى أساسها يتم أتخاذ الاجراءات التقنية المناسبة كحجب مؤشرات أو إغلاق ثغرة أو مراقبة نشاط معين.
٣- تقارير احصائية والتي تكون موجهة للجميع أو تنشر بشكل سنوي أو نصف سنوي وتشتمل على إحصائيات تتعلق بالتهديدات التي تستهدف المنشأة أو القطاع أو الدولة أو العالم.
ثم أن هناك شروط يجب توفرها في Threat Intelligence أو مخرجات الفريق والتي على أساسها يتم تقسيم أعمال الفريق 👇🏼👇🏼👇🏼
ثم أن هناك شروط يجب توفرها في Threat Intelligence أو مخرجات الفريق والتي على أساسها يتم تقسيم أعمال الفريق 👇🏼👇🏼👇🏼
وتوزيع مهامه وهي:
١- " Relevant " أي أنه يجب أن تكون المعلومات أو Threat Intelligence "ذات علاقة" بالمنشأة أو مجالها أو معلوماتها أو تقنياتها لكي تكون مفيدة.
١- " Relevant " أي أنه يجب أن تكون المعلومات أو Threat Intelligence "ذات علاقة" بالمنشأة أو مجالها أو معلوماتها أو تقنياتها لكي تكون مفيدة.
٢- " Actionable “ أي أنه يجب أن تكون المعلومات يمكن تطبيقها والاستفادة منها أي أنه تم تنظيفها من الأخطاء وتم التأكد من صحة مصدرها وتم جمع المعلومات المافية عنها.
٣- “ Contextual “ أي أنه يجب أن تكون المعلومة مكتمله ولها سياق مما يسهل العمل عليها وربطها.
على سبيل المثال:
مؤشر اختراق يحتوي على معلومات كافية ( لماذا يعتبر تهديد ، ومنذ متى ، وما نوع التهديد ، واعطائه تقييم أو Rank).
على سبيل المثال:
مؤشر اختراق يحتوي على معلومات كافية ( لماذا يعتبر تهديد ، ومنذ متى ، وما نوع التهديد ، واعطائه تقييم أو Rank).
المهام المطلوبة من فريق استقصاء التهديدات السيبرانية ضمن دورة حياة CTI هي:
١- Planning & Direction التخطيط والتوجية ومن خلالها يتم تحديد أولويات الفريق من قبل الادارة وتحديد مسار البحث والتقصي للتهديدات والذي يعود بالنتائج المرجوة من الفريق.
١- Planning & Direction التخطيط والتوجية ومن خلالها يتم تحديد أولويات الفريق من قبل الادارة وتحديد مسار البحث والتقصي للتهديدات والذي يعود بالنتائج المرجوة من الفريق.
٢ - collection and processing أو تجميع المعلومات " الخام " وتنقيتها وترتيبها في سياق والتأكد من صحتها أو كما ذكرنا سابقًا ( relevant , actionable, contextual ).
٣- analysis وهو تحليل التهديدات وربطها مع بعضها ومتابعة متغيراتها " اذاكانت مرتبطة بمجموعات إختراق معروفة " وكتابة التقارير الفنية عنها
٤- production أو تحويل المعلومات الذي قام الفريق بتجميعها وتحليلها إلى منتجات لكي يتم مشاركتها سواءًا كانت تقارير استراتيجية أو فنية أو احصائيات أو مؤشرات اختراق..إلى آخره.
٥- dissemination and feedback وهو مشاركة منتجات الفريق مع الادارة أو الأقسام الأخرى سواءًا كانت periodically أي في فترات محددة أو أن تكون عند اكتشاف وتحليل أي تهديد جديد.
الهيكل التنظيمي لفريق استقصاء التهديدات السيبرانية قد يكون بأي شكل من الأشكال التي تحقق أهداف الفريق ويشكل المهام المذكورة في الأعلى فمن الممكن:
١- Collection مختص/ مختصي تجميع التهديدات وتنقيتها و وترتيبها في سياق والتأكد من صحتها.
١- Collection مختص/ مختصي تجميع التهديدات وتنقيتها و وترتيبها في سياق والتأكد من صحتها.
٢- Tactical وهو المختص/ المختصين الذين يقومون بالتحليل الفني ومشاركة التقارير كما أنهم يمثلون حلقة الوصل مع بقية الأقسام التقنية والتعاون معهم ومشاركة المعلومات فيما يتعلق بتفاصيل التهديدات.
٣- strategy وهو المختص / المختصين الذين يتلقون المتطلبات والتوجيهات الإدارية يقومون بمتابعة أنشطة مجموعة الاختراق التي تقوم باستهداف المنشاة وكتابة التقارير الاستراتجية ومناقشتها مع الادارة.
عمومًا لا تختلف مهام استقصاء التهديدات السيبرانية كثيرًا من منظمة إلى أخرى ولكن الهيكل التنظيمي للفريق يعتمد على عدد الموظفين والإمكانيات المتاحة في المنشاة وتوجهاتها.
بالاسفل تجدون threads ذات علاقة بموضوعات CTI كما سيكون هناك threads قادمة عن الادوات والإطارات المصادر الخاصة بتقصي التهديدات السيبرانية
1
2
جاري تحميل الاقتراحات...