为什么预测威胁情报是关键
当kumarritesh离开英国情报服务时,在IBM,普华永道(普华永道)和全球资源公司BHP中占据网络安全的各种角色,他在威胁情报汇总和消费的方式中看到了问题。
在BHP,Ritesh是首席信息安全官员,董事会成员经常想知道哪些威胁行动者负责2014年至2015年之间越来越多的网络威胁。
“在一年之内,我们开始看到我们向我们的新威胁和攻击更加专注于扰乱我们的采矿业务和灭绝信息,”Ritesh说。“这是齐全的,但重要的是真正明白为什么发生这种情况。”
但是,没有BHP的顶级网络安全供应商,包括像Fireeye,Palo Alto Network,记录的未来和思科这样的成熟的网站安全供应商有一个明确的答案 - 尽管Ritesh具有近200米的丰满安全预算。
“每个人都在涉及它发生的事情,”雷恩说。“看起来有一个有一个网络钓鱼电子邮件,有人点击了那里有一个恶意软件,而恶意软件正在尝试从组织中取出信息。”
指向Cyber Kill链的不同阶段,Ritesh甚至在知道如何知道网络违规行为之前,组织需要了解5WS:攻击者是谁,他们在攻击时,他们在哪里以及他们为什么计划攻击。
“所有这一切都构成了您的管理智能的一部分,只有当您对世卫组织有答案时,才能答案,何时,在哪里以及为什么为什么要达到该问题的一部分,”他说,强调了对情报情报的重要性一个组织的运营环境。
“直到你的智慧对你的行业非常具体,你从或你的基础设施经营的位置,没有任何意义对智力,”他补充道。
Ritesh说,大多数威胁情报也往往是可反应的,而不是预测性。例如,当新的恶意软件出现时,威胁情报供应商通常定制妥协(IOC)的指标,然后将其应用于其基础架构以篡改威胁。
“如果智力不是预测的,那不是智慧,”雷恩说。“如果你看起来像中央情报局这样的机构,我和他们非常密切合作,当我们向执法机构提供情报时,它始终根据我们处理的信息,我们说这是事物正在进行的地方。然后,执法机构可以采取纠正措施,正确地对其做出反应。“
RITESH在建立一个威胁情报平台的商业机会,帮助企业发现网络威胁,解码来自噪声的信号,以获得有用的见解,并在实际攻击发生之前对网络犯罪的补救行动。
只有四个幻灯片,Ritesh使他的投资投资资本家和投资者。其中一个是高盛,购买了这个想法,让他作为Antuit的研究和开发(研发)ARM的一部分孵化了他的业务,这是投资银行一直资助的大数据分析初创公司。2019年,该单位从安提包旋转,形成Cyfirma,Ritesh现在是董事长和首席执行官。
今天,该公司在新加坡和印度以及日本以及日本的办事处,这是一个苛刻的市场,它依靠NEC,东芝和NTT等大公司作为客户。“如果我们没有获得最高的情报质量,或者我们的平台不是很复杂,我们将不存在于那个市场中,”Ritesh说。
提供上下文的可操作威胁情报的关键通常需要供应商来了解客户的操作环境,但这些信息通常被视为太敏感。
ritesh表示,当他从事威胁情报公司时,ritesh表示,Cyfirma试图将自己放在肇事者身上,以确定那些可能试图闯入客户网络的人。
这是通过部署900虚拟代理来完成的,以了解威胁演员在地下论坛和市场(如黑色Web)上说的是什么,有目光在线连接由同一肇事者进行的广场和识别与国家和黑客的任何链接团体。
所有数据都被摄取到Cyfirma平台中,然后应用数学模型来处理数据并找到5WS的答案。“如果我们找不到答案,那么我们回到我们的数据来源以获取更多信息,”Ritesh说。
感受到威胁情报是关键,但随着不同的利益相关者在数据中寻找不同的方面,Cyfirma提供四个不同的仪表板视图。
这些包括对业务信息感兴趣的安全酋长的威胁视图,以及想要了解他们的组织网络安全姿势如何与同一行业同行的洞察解的风险和合规头的风险观点。
为了减少误报的数量,ritesh表示威胁情报才会向客户展示给客户,只有威胁演员已经采取了特定的行动,例如针对某些漏洞和设置命令和控制服务器以促进攻击的特定行动。
“我们减少误报的能力非常高,”Ritesh说。“如果我必须给你一个号码,我会说80%的时间我们能够为您提供适用于您的洞察力 - 这是我们的秘密酱。”
距离高盛(Goldman Sachs),Zodius首都和Z3Partners筹集了800万美元,Cyfirma现在希望在B系列资金中筹集2500万美元,以提高与其他安全解决方案的产品集成,并扩大其进入美国,欧洲和中东。