Μιλώντας στην Infosecurity Europe 2019, ο ερευνητής ασφάλειας του κυβερνοχώρου στην εταιρία AT&T, Chris Doman, παρουσίασε τις απόψεις του για την ανταλλαγή δεδομένων πληροφοριών απειλών και υπογράμμισε πώς μπορεί να χρησιμοποιηθεί αυτή για την βελτίωση της ασφάλειας και της ανθεκτικότητας, προειδοποιώντας όμως ότι πρέπει να λαμβάνονται τα κατάλληλα μέτρα που να εξασφαλίζουν ότι μοιράζονται οι σωστές πληροφορίες. Ανέφερε ότι για να είναι εφικτή η εμπιστοσύνη των κοινών δεδομένων, θα πρέπει η επιτυχής ανταλλαγή πληροφοριών απειλών να αφορά την ποιότητα των δεδομένων που μοιράζονται και όχι την ποσότητά τους. Εξήγησε την άποψή του φέρνοντας σαν παράδειγμα το Twitter, όπου υπάρχουν πολλά γρήγορα τιτιβίσματα για επιθέσεις που εξελίσσονται, όμως συχνά οι πολλές πληροφορίες απειλών που μοιράζονται δημόσια είναι λάθος, καθώς αυτό μπορεί να γίνει επικίνδυνο. Σε ότι αφορά τις μελλοντικές τάσεις που θα οδηγήσουν στην ανταλλαγή πληροφοριών απειλών, ο Chris Doman ανέφερε τις εξής:

Αυτοματοποιημένη περιστροφή και εμπλουτισμός των δεικτών έκθεσης IOC (Indicator of Compromise). Πρόκειται για ένα τεχνούργημα που χρησιμοποιείται σε ένα δίκτυο και με μεγάλη σιγουριά υποδηλώνει μια εισβολή σε υπολογιστή.

Αυτοματοποιημένη κοινή χρήση απειλών.

Κρυπτογραφημένη κυκλοφορία δικτύου με αποτύπωμα JA3.

Κανόνες Sigma και OSQuery.

Ολοκληρώνοντας, ο Chris Doman δήλωσε ότι ο κλάδος θα πρέπει να κάνει περισσότερα για να μοιράζει πληροφορίες ανίχνευσης απειλών, αλλά προειδοποίησε ότι θα πρέπει να είναι επιφυλακτικός όσον αφορά τις μεθόδους παρακολούθησης των απειλών. Τόνισε επίσης ότι έχει μεγάλη σημασία η δυνατότητα “εμπιστοσύνης των συνεργατών κοινής χρήσης” και επομένως η επαλήθευση των κοινών δεδομένων είναι καθοριστική. Τέλος, επεσήμανε ότι η αυτοματοποίηση αποτελεί βασική τεχνολογία στην εξέλιξη της ανταλλαγής πληροφοριών για απειλές, παραδέχθηκε όμως ότι η χειροκίνητη επαλήθευση θα παραμένει πάντα σημαντική.

του Χάρη Ματθαίου