Solicitud de información (RFI) - Cyber ​​Threat Intelligence

El proceso de RFI incluye cualquier requisito ad hoc específico y sensible al tiempo para la información o los productos de inteligencia para respaldar un evento o incidente en curso que no esté necesariamente relacionado con los requisitos permanentes o la producción de inteligencia programada.

Cuando el Cyber ​​Threat Intelligence Center (CTIC) envía una RFI a grupos internos, existe una serie de requisitos estándar para el contexto y la calidad de los datos solicitados.

Obtenga más información sobre la base de conocimientos en línea completa de Cyber ​​Threat Intelligence - CyberIntellipedia

• Se espera que los datos estén curados.
• La conservación de datos es la organización e integración de datos recopilados de diversas fuentes. Implica la anotación, publicación y presentación de los datos de manera que el valor de los datos se mantenga a lo largo del tiempo y los datos permanezcan disponibles para su reutilización y conservación.
• Se espera que los datos hayan sido revisados ​​y validados.
• Los datos deben citarse proporcionando fuentes a los datos (formato APA por Microsoft Word).
• Los datos deben evaluarse para determinar la credibilidad de las fuentes y la validación de los datos (consulte el Apéndice A).
• Los datos siguen el formato siguiente cada vez para acelerar el tiempo del ciclo. Este formato debe ser congruente con la plataforma de respuesta a incidentes en uso.
• Deben utilizarse estándares como los asociados con NIST u otros estándares aceptados según lo acordado para su uso dentro de su organización.
• Los datos deben formatearse para adaptarse a sus procesos y procedimientos internos. Es posible que desee considerar cómo aplica los modelos Diamond, Kill chain y ATT & CK utilizando campos de datos estándar.
• Los datos deben ser fáciles de extraer, repetibles y, cuando corresponda, cuantificables (número cardinal).
• Los datos deben tener un registro histórico para que podamos analizar patrones, tendencias y tendencias de mes a mes.
• Las fechas y horas en las que se crearon los datos (no los creó su organización con respecto a la ingestión del evento o incidente, sino las fechas y horas de acción de las actividades del evento o incidente.
• Los datos deben clasificarse con niveles de clasificación interna estándar y designadores TLP.

Cuando y donde corresponda, los datos deben responder las siguientes preguntas:

• ¿Cuál es exactamente o fue el problema o problema?
• ¿Por qué está sucediendo esto ahora, quién está haciendo esto, cuál es su intención / motivación?
  • Entonces, ¿por qué nos importa y qué significa para nosotros y nuestros clientes?
• ¿Impacto hasta ahora, si lo hay, en nuestros datos y sistemas o en los datos y sistemas de nuestros clientes?
• ¿Qué esperamos que suceda a continuación? ¿Cuál es la perspectiva esperada para acciones continuas, si las hubiera?
• Acción de supervisión (acciones a ser o que se han tomado en base a datos / información / análisis)
• ¿Qué recomendaciones se hicieron y qué recomendaciones se ejecutaron?
  • ¿Cuáles fueron los cursos de acción?
  • ¿Cuál fue el resultado de las recomendaciones implementadas?
• ¿Hubo alguna implicación inesperada en las recomendaciones?
• ¿Qué oportunidades hay para su organización en el futuro?
  • ¿Encontramos alguna debilidad?
  • ¿Identificamos alguna fortaleza?
• ¿Qué brechas se encontraron en nuestro entorno (personas, procesos, tecnología)?

Si los datos que envía no vienen seleccionados, revisados ​​y validados con las citas adecuadas en el formato solicitado, es posible que no lleguen al informe.

Credibilidad de la fuente

Debemos tratar cada informe de proveedor y alimentación de datos como nada más que otra fuente de datos. Datos que deben evaluarse en cuanto a credibilidad, confiabilidad y relevancia. Para hacerlo, podemos utilizar el Código del Almirantazgo de la OTAN para ayudar a las organizaciones a evaluar las fuentes de datos y la credibilidad de la información proporcionada por esa fuente. Evalúe el informe de cada proveedor utilizando este método de codificación mientras documenta la facilidad de extracción de datos, la relevancia para sus problemas organizativos, el tipo de inteligencia (estratégica, operativa, táctica y técnica) y el valor para resolver sus problemas de seguridad. La mayoría de las publicaciones proporcionan el modelo de puntuación de nivel superior. Proporcionamos el modelo completo para el cálculo automático integrado en el PDF. 

Encuentra el formulario aquí