به گفته شرکت تحقیقاتی Cyber ​​Ventures، انتظار می‌رود هزینه سالانه جرایم سایبری تا پایان سال جاری به بیش از ۸ تریلیون دلار برسد. برای کاهش پیامدهای حملات امنیت سایبری، تیم های امنیت سایبری به طور مستمر روش های خلاقانه ای را برای پاسخگویی و آمادگی ارزیابی و توسعه می دهند. پیشرفت‌ها در نظارت، شناسایی و تجزیه و تحلیل می‌تواند به عنوان یک ضرب‌کننده نیرو برای بسیاری از خدمه‌های پرتعداد و اشباع از وظایف که وظیفه حفاظت از نرم‌افزار و فناوری را بر عهده دارند، عمل کند.

ArcGIS AllSource، نرم افزار اطلاعاتی جدید Esri، تجزیه و تحلیل تحقیقاتی، مکانی و پیوندها را تسهیل می کند. AllSource را می توان در تمام مراحل چرخه اطلاعاتی تهدیدات سایبری، از توسعه درک تهدید و جمع آوری، پردازش و تجزیه و تحلیل داده ها تا انتشار نتایج و جمع آوری بازخورد استفاده کرد. AllSource کاربران را قادر می سازد تا از تجزیه و تحلیل پیشرفته ArcGIS Enterprise به همراه دانش ArcGIS برای شناسایی ناقلان تهدید و استقرار استراتژی های کاهشی استفاده کنند که از زیرساخت سایبری سازمان محافظت می کند.

شش مرحله ای را که تیم های امنیت سایبری معمولاً برای یافتن و مطالعه تاکتیک ها، تکنیک ها و رویه های دشمنان استفاده می کنند، مرور کنید. با استفاده از یک حمله نادیده گرفتن از راست به چپ – که افراد را فریب می دهد تا روی فایل های متنی مخرب کلیک کنند – به عنوان مثال، دریابید که چگونه AllSource به ایجاد استراتژی های دفاعی کمک می کند و با پیچیدگی هر تهدید تکامل می یابد.

1. اقدامات مناسب برای انجام را تعیین کنیدهمه ذینفعان در یک سازمان باید بتوانند درک واضح و مشخصی از تأثیرات احتمالی یک مصالحه امنیت سایبری و همچنین نقش آنها در جلوگیری از آن به دست آورند. AllSource می تواند به عنوان نقطه شروعی باشد که از آنجا یک برنامه امنیت سایبری رشد می کند و به تحلیلگران اجازه می دهد تا ابتدا روش های حمله، مهاجمان شناخته شده و زیرساخت های سازمانی را که باید در اولویت قرار گیرند، ثبت کنند.شناسایی مواردی که سازمان باید از آن محافظت کند، مانند شبکه ها، دارایی های فیزیکی، داده های مشتری و اسرار تجاری ضروری است. از آنجا، تیم امنیت سایبری سازمان می تواند یک استراتژی اطلاعاتی تهدید را توسعه و اجرا کند. این تضمین می‌کند که همه اعضای تیم اولویت‌های کلیدی سازمان را درک می‌کنند و به آن‌ها اجازه می‌دهد تا در واکنش به حمله یا جلوگیری از آن، دفاعی بسیار پاسخگو داشته باشند.
2. جمع آوری داده ها در مورد تهدیدهاهنگامی که تحلیلگران امنیت سایبری فعالیتی را بر اساس یک بردار تهدید خاص تشخیص می دهند – روشی که یک دشمن می تواند به یک شبکه یا سیستم نفوذ کند یا نفوذ کند – آنها می توانند از AllSource برای بررسی تهدید استفاده کنند و مجموعه ای از مراحل را برای کاهش پیشگیرانه یک حمله انجام دهند.در طول یک حمله نادیده گرفتن از راست به چپ، تحلیلگران می‌توانند داده‌ها را به AllSource وارد کنند و با منابعی مانند چارچوب MITER ATT&CK، یک پایگاه دانش در دسترس تاکتیک‌ها و تکنیک‌های حمله سایبری، ارتباط برقرار کنند. سپس می‌توانند اطلاعات تهدید و داده‌های عملیاتی را لایه‌بندی کنند و از ابزارهای تجزیه و تحلیل پیوند، نمودارها و جدول‌های زمانی در AllSource استفاده کنند تا الگوهای حمله را ببینند و بینشی در مورد وضعیت به دست آورند.
3. داده های تهدید را پردازش کنیدهنگامی که منابع داده نقشه برداری می شوند و اطلاعات به AllSource جریان می یابد، معمولاً لازم است داده ها برای استفاده در سازمان عادی سازی شوند.به عنوان مثال، مجموعه داده MITER ATT&CK راه‌های زیادی را برای دسترسی به داده‌ها ارائه می‌کند، از جمله به‌عنوان فایل نمادگذاری شی جاوا اسکریپت (JSON)، کتابخانه پایتون یا کتاب کار مایکروسافت اکسل. ابزارهای موجود در AllSource به تحلیلگران کمک می کند تا داده ها را آماده و تمیز کنند تا استفاده از آن برای دیگران آسان تر باشد.فرض کنید مجموعه داده MITER ATT&CK به عنوان یک کتاب کار اکسل دانلود شده است. یک تحلیلگر هر برگه را به یک پایگاه جغرافیایی سیار در AllSource وارد می کند تا مطمئن شود که همه انواع فیلدها صحیح هستند و امکان تجربه تحلیلی قوی تری را فراهم می کند. برای مثال، با استفاده از ابزار Convert Time Field، تحلیلگر می‌تواند بسیاری از انواع فیلدها را به فیلد تاریخ (یا متن یا فیلد عددی) تغییر دهد. این به سازمان داده های تمیز و قابل استفاده MITER ATT&CK را در یک پایگاه جغرافیایی سیار می دهد که می تواند به اشتراک گذاشته شود یا به عنوان یک کپی محلی تنظیم شود.
4. تجزیه و تحلیل و ارائه داده هابا داده‌هایی که برای استفاده آماده شده‌اند، تحلیلگران می‌توانند از عملکرد تحلیل پیشرفته ارائه شده توسط سایت ArcGIS Knowledge Server که در ArcGIS Enterprise مستقر شده است، استفاده کنند تا درک عمیق‌تری از بردار تهدید – در این مورد، نادیده گرفتن راست به چپ – به دست آورند.یک تحلیلگر اطلاعات را بیشتر بررسی می کند تا تعداد، سرعت و مکان حملات مشابهی را که هم در سازمان و هم از سازمان های دیگر گزارش شده است در یک دوره مشخص تشخیص دهد. با گسترش نمودار دانش حاصل از مجموعه داده MITER ATT&CK در AllSource، تحلیلگر می‌تواند تعداد انگشت شماری از سازمان‌ها را که مستعد این نوع حملات هستند شناسایی کند. سپس تحلیلگر می تواند بردارهای تهدید خاصی را مشخص کند و ببیند که موجودیت 1 تمایل دارد از این بردارهای تهدید استفاده کند. اگر تحلیلگر موجودیت 1 را در نمودار دانش انتخاب کند، می تواند ببیند که یک سازمان تروریستی است.از طریق روابطی که در نمودار دانش ایجاد می شود، به نظر می رسد که موجودیت 1 شناخته شده است که از بردارهای تهدید اضافی در حملات خود استفاده می کند. با استفاده از AllSource، تحلیلگر می تواند چنین حملاتی را شناسایی کرده و بهترین گام ها را برای کاهش آنها تعیین کند. با مشاهده اینکه Entity 1 به خوبی با شرح فعالیت‌های موجود در مجموعه‌های اطلاعاتی منبع باز مطابقت دارد، تحلیلگر همچنین می‌تواند توصیه‌هایی با سطح قابل توجهی از اطمینان در مورد چگونگی کاهش اثرات چنین حمله‌ای و تقویت وضعیت امنیتی سازمان خود ارائه دهد.
5. انتشار نتایج تجزیه و تحلیلهنگامی که تمام داده های مربوطه تجزیه و تحلیل شدند، تحلیلگران می توانند گزارش هایی را مستقیماً در AllSource با اقدامات کاهشی توصیه شده ایجاد کنند که راه رو به جلو نشان می دهد. این امر به ذینفعان و تصمیم گیرندگان دامنه کاملی از چشم انداز عملیاتی که تیم امنیت سایبری در آن فعالیت می کند، می دهد.همچنین تحلیلگران می توانند به راحتی اطلاعات مهم را با سایر تحلیلگران به اشتراک بگذارند، مانند خدمات ویژگی، نقشه های وب، طرح بندی ها، گزارش ها و بسته های لایه و پروژه. این به آن‌ها امکان دسترسی به داده‌های منبع را می‌دهد و به هر کسی که در یک تیم یا در شیفت‌ها کار می‌کند اجازه می‌دهد تحقیقات خود را انجام دهند و به تلاش‌های کاهش تهدید یا پاسخ ادامه دهند. این تیم‌های امنیت سایبری را قادر می‌سازد تا اقدامات کاهشی را انجام دهند و اقدامات بیشتری را برای جلوگیری یا عایق‌سازی معماری سازمانشان از حملات بعدی انجام دهند.
6. دریافت انتقادات و پیشنهاداتتیم‌های امنیت سایبری برای اطمینان از اینکه وضعیت امنیتی یک سازمان با یک تهدید مداوم تکامل می‌یابد و تهدیدهای جدید را در نظر می‌گیرد، به طور مستمر اثربخشی پاسخ‌های خود به حملات و همچنین تلاش‌های خود را برای جلوگیری از آنها و کاهش شدت آنها در صورت وقوع تجزیه و تحلیل می‌کنند. در یک جلسه postaction، ذینفعان می توانند از AllSource برای بدست آوردن بینش حیاتی استفاده کنند و مراحل کاهش را بر این اساس تنظیم کنند تا مطمئن شوند که هر گونه الزامات جدید در تاکتیک های دفاعی گرفته شده و فهرست بندی می شود.

حجم انبوه داده هایی که برای پشتیبانی از عملیات اطلاعاتی تهدیدات سایبری در دسترس است، می تواند بسیار زیاد باشد. AllSource به تیم‌های امنیت سایبری کمک می‌کند تا با استخراج اطلاعات دقیق از آن داده‌ها و آوردن زمینه به فعالیت‌های مشکوک، آن داده‌ها را درک کنند.