Detalhes do Formulário RFI
Request for Information (RFI) - Cyber Threat Intelligence
O processo de RFI inclui qualquer requisito ad hoc sensível ao tempo específico para informações ou produtos de inteligência para dar suporte a um evento ou incidente em andamento não necessariamente relacionado a requisitos permanentes ou produção de inteligência programada.
Quando o Cyber Threat Intelligence Center (CTIC) envia uma RFI para grupos internos, há uma série de requisitos padrão para o contexto e a qualidade dos dados solicitados.
Saiba mais sobre a base de conhecimento online completa do Cyber Threat Intelligence - CyberIntellipedia
- Espera-se que os dados sejam selecionados.
- Curadoria de dados é a organização e integração de dados coletados de várias fontes. Envolve anotação, publicação e apresentação dos dados de forma que o valor dos dados seja mantido ao longo do tempo e os dados permaneçam disponíveis para reutilização e preservação
- Espera-se que os dados tenham sido revisados e validados.
- Os dados precisam ser citados fornecendo fontes para os dados (formato APA por Microsoft Word).
- Os dados devem ser avaliados quanto à credibilidade das fontes e validação dos dados (ver Apêndice A)
- Os dados seguem o formato abaixo a cada vez para acelerar o tempo de ciclo. Este formato deve ser congruente com a plataforma de resposta a incidentes em uso.
- Os padrões devem ser usados, como aqueles associados ao NIST ou outros padrões aceitos, conforme acordado para uso em sua organização.
- Os dados devem ser formatados para se adequar aos seus processos e procedimentos internos. Você pode querer considerar como aplicar os modelos Diamond, Kill chain e ATT & CK usando campos de dados padrão.
- Os dados devem ser fáceis de extrair, repetíveis e, quando aplicável, quantificáveis (número cardinal).
- Os dados devem ter um registro histórico para que possamos analisar padrões, tendências e tendências mensais.
- As datas e horas de quando os dados foram criados (não criados por sua organização em relação ao evento ou ingestão de incidente, mas datas de ação e horas de atividades de evento ou incidente.
- Os dados devem ser classificados com níveis de classificação interna padrão e designadores TLP.
Quando e onde aplicável, os dados precisam responder às seguintes perguntas:
- Qual é exatamente ou foi o problema ou questão?
- Por que isso está acontecendo agora, quem está fazendo isso, qual é sua intenção / motivação?
- Então o que - por que nos importamos e o que isso significa para nós e nossos clientes?
- Impacto até agora, se houver, em nossos dados e sistemas ou nos dados e sistemas de nossos clientes?
- O que esperamos que aconteça a seguir? Qual é a perspectiva esperada para ações continuadas, se houver?
- Ação de supervisão (ações a serem ou que foram tomadas com base em dados / informações / análises)
- Que recomendações foram feitas e quais recomendações foram executadas?
- Qual foi / foram o (s) curso (s) de ação?
- Qual foi o resultado das recomendações implementadas?
- Houve alguma implicação imprevista nas recomendações?
- Que oportunidades existem para o futuro da sua organização?
- Encontramos alguma fraqueza?
- Identificamos algum ponto forte?
- Que lacunas foram encontradas em nosso ambiente (pessoas, processos, tecnologia)?
Se os dados que você enviar não vierem com curadoria, revisão e validação com as devidas citações no formato solicitado, eles podem não fazer parte do relatório.
Credibilidade da fonte
Devemos tratar cada relatório de fornecedor e feed de dados como nada mais do que outra fonte de dados. Dados que devem ser avaliados quanto à credibilidade, confiabilidade e relevância. Para isso, podemos usar o Código do Almirantado da OTAN para ajudar as organizações a avaliar as fontes de dados e a credibilidade das informações fornecidas por essa fonte. Avalie o relatório de cada fornecedor usando este método de codificação enquanto documenta a facilidade de extração de dados, a relevância para seus problemas organizacionais, o tipo de inteligência (estratégica, operacional, tática e técnica) e o valor na solução de seus problemas de segurança. A maioria das publicações fornece o modelo de pontuação de nível superior. Fornecemos o modelo completo para cálculo automático integrado ao PDF.