Detaljer om RFI-formuläret
Begäran om information (RFI) - Cyber Threat Intelligence
RFI-processen inkluderar alla specifika tidskänsliga ad hoc-krav för information om information eller produkter för att stödja en pågående händelse eller incident som inte nödvändigtvis är relaterad till stående krav eller schemalagd intelligensproduktion.
När Cyber Threat Intelligence Center (CTIC) skickar en RFI till interna grupper finns det en rad standardkrav för sammanhanget och kvaliteten på de begärda uppgifterna.
Lär dig mer om den fullständiga online-kunskapsbasen Cyber Threat Intelligence - CyberIntellipedia
- Uppgifterna förväntas kurateras.
- Datakurering är organisering och integration av data som samlats in från olika källor. Det handlar om anteckningar, publicering och presentation av data så att värdet av uppgifterna bibehålls över tiden och data förblir tillgängliga för återanvändning och konservering
- Uppgifterna förväntas ha granskats och validerats.
- Data måste citeras för att ge källor till data (APA-format per Microsoft Word).
- Uppgifterna bör utvärderas med avseende på källornas trovärdighet och validering av uppgifterna (se bilaga A)
- Uppgifterna följer nedanstående format varje gång för att påskynda cykeltiden. Det här formatet ska överensstämma med incidentresponsplattformen som används.
- Standarder måste användas såsom de som är associerade med NIST eller andra godkända standarder som överenskommits för användning inom din organisation.
- Uppgifterna ska formateras så att de passar dina interna processer och procedurer. Du kanske vill överväga hur du använder Diamond, Kill chain och ATT & CK-modellerna med standarddatafält.
- Uppgifterna ska vara enkla att extrahera, repeterbara och i tillämpliga fall kvantifierbara (huvudnummer).
- Uppgifterna ska ha en historisk rekord så att vi kan analysera månadsmönster, trender och tendenser.
- Datum och tider när data skapades (skapades inte av din organisation med avseende på händelse eller incidentintag men åtgärdsdatum och tider för händelse eller incidentaktiviteter.
- Uppgifterna ska klassificeras med standard interna klassificeringsnivåer och TLP-beteckningar.
När och i tillämpliga fall måste uppgifterna svara på följande frågor:
- Vad är problemet eller problemet exakt?
- Varför händer detta nu, vem gör det, vad är deras avsikt / motivation?
- Så vad - varför bryr vi oss och vad betyder det för oss och våra kunder?
- Påverkan hittills om någon av våra data och system eller våra kunders data och system?
- Vad förväntar vi oss att hända härnäst? Vilka är de förväntade utsikterna för fortsatt eventuella åtgärder?
- Tillsynsåtgärder (åtgärder som ska vidtas eller som har vidtagits baserat på data / information / analys)
- Vilka rekommendationer gjordes och vilka rekommendationer genomfördes?
- Vad var / var handlingen?
- Vad var resultatet av de implementerade rekommendationerna?
- Fanns det några oväntade konsekvenser för rekommendationerna?
- Vilka möjligheter finns det för din organisation framöver?
- Hittade vi några svagheter?
- Identifierade vi några styrkor?
- Vilka luckor hittades i vår miljö (människor, process, teknik)?
Om informationen du skickar inte samlas, granskas och valideras med korrekta citat i det begärda formatet, kanske den inte kommer till rapporten.
Källans trovärdighet
Vi måste behandla varje leverantörsrapport och dataflöde som inget annat än en annan datakälla. Data som måste utvärderas med avseende på trovärdighet, tillförlitlighet och relevans. För att göra det kan vi använda Natos Admiralitetskod för att hjälpa organisationer att utvärdera datakällor och trovärdigheten hos den information som tillhandahålls av den källan. Utvärdera varje leverantörsrapport med hjälp av denna kodningsmetod samtidigt som du dokumenterar enkel datautvinning, relevans för dina organisationsfrågor, typ av intelligens (strategisk, operativ, taktisk och teknisk) och värde för att lösa dina säkerhetsproblem. De flesta publikationer tillhandahåller poängmodellen på högsta nivå. Vi tillhandahåller den fullständiga modellen för automatisk beräkning inbyggd i PDF-filen.