Přeskočit na obsah

DOPRAVA ZDARMA NA VŠECHNY OBJEDNÁVKY NAD 350 ZŁ 📦
Threat intelligence. Jak rozpoznać atak celowany?
červen 4, 2025 SAPSAN TEAM

Threat intelligence. Jak rozpoznat cílený útok?

Co je threat intelligence a proč se stává mimořádně důležitou pro firmy a instituce po celém světě? V tomto článku se podíváme na poslední události, které změnily způsob, jakým organizace řeší hrozby. Jaké technologie a nástroje mohou pomoci při efektivní analýze a prevenci incidentů? Jaké zdroje podporují proces analýzy hrozeb?

Co je threat intelligence?

Threat intelligence, neboli zpravodajství o hrozbách, je proces sběru, analýzy a interpretace dat týkajících se potenciálních hrozeb, které mohou ovlivnit bezpečnost různých organizací. Díky threat intelligence je možné především identifikovat hrozbu před jejím výskytem a pochopit její charakteristiku a metody jednání pachatelů. Co znamená threat intelligence? Není to jen monitorování incidentů, ale také předvídání možných útoků a vytváření obranných strategií. Threat intelligence v češtině znamená zpravodajství o hrozbách nebo inteligenci hrozeb. Tento termín se vztahuje k procesu sběru, analýzy a využívání informací o hrozbách v kyberprostoru, které mohou ovlivnit bezpečnost počítačových systémů, sítí nebo dat organizace.

Cyber threat intelligence – co má za cíl?

Hlavní cíle threat intelligence jsou:

  • identifikace hrozeb – rozpoznávání potenciálních útoků, virů nebo škodlivého softwaru;

  • analýza – zkoumání shromážděných dat za účelem posouzení jejich významu a potenciálních dopadů na organizaci;

  • doporučení – vypracování strategií a preventivních opatření, která pomohou minimalizovat rizika spojená s hrozbami.

Threat intelligence – zdroje informací o hrozbách

Díky použití threat intelligence se organizace mohou lépe připravit na útoky a rychleji reagovat na incidenty. Někdy se threat intelligence považuje za vodítko nebo počáteční hypotézu o potenciálním útoku. Poté začíná další sledování (tzv. threat hunting) na základě „stop" zanechaných škodlivým softwarem v počítači (podezřelé IP adresy, e-maily související s phishingem nebo neobvyklý síťový provoz). Zdroje threat intelligence však nejsou jen data zevnitř organizace, tedy z vlastních bezpečnostních systémů, logů, incidentů a pozorování. Tzv. threat intelligence sources jsou také veřejné a obecně dostupné zprávy o hrozbách, databáze škodlivého softwaru a fóra, kde odborníci sdílejí informace o aktuálních hrozbách. Kromě toho společnosti jako Recorded Future, Anomali nebo ThreatConnect nabízejí komerční služby, které shromažďují a analyzují informace z různých zdrojů a poskytují cenné údaje o aktuálních hrozbách.

Threat intelligence a světové události a rozvoj AI

Posledních pět let, poznamenaných pandemií a válkou, výrazně zvýšilo význam kybernetické bezpečnosti. Povědomí o hrozbách vzrostlo a organizace se rychle přizpůsobily práci na dálku, což odhalilo nové zranitelnosti. Nárůst aktivity kyberzločinců, zejména těch jednajících na příkaz států, způsobil, že týmy odpovědné za threat intelligence musely skutečně zintenzivnit všechny své snahy. Analýza hrozeb se stala velmi důležitým prvkem bezpečnostní strategie. Nezanedbatelný je také rozvoj a aplikace umělé inteligence v threat intelligence. Co to způsobilo? Určitě využití algoritmů pro analýzu dat a strojového učení, které výrazně urychluje proces identifikace hrozeb. Týmy zabývající se threat intelligence využívají různé nástroje a platformy, aby mohly efektivně monitorovat situaci a předvídat potenciální útoky.

Nástroje a platformy threat intelligence

Výběr správných nástrojů threat intelligence může výrazně ovlivnit efektivitu činností souvisejících s identifikací a řízením hrozeb. Výběr vhodných platforem threat intelligence však samozřejmě přísně závisí na specifikách činnosti organizace, jejím rozpočtu a všech potřebách v oblasti bezpečnosti. Nejdůležitější však je, aby nástroje threat intelligence mohly být integrovány se stávajícími systémy a byly schopny poskytovat relevantní informace v reálném čase. Cylance, ThreatConnect, Anomali, IBM X-Force Exchange a Recorded Future jsou jen některé příklady nástrojů a platforem z oblasti threat intelligence, které podporují organizace při identifikaci a analýze hrozeb.


Jak provést cyber threat intelligence a rozpoznat cílený útok?

Aby bylo možné efektivně provádět cyber threat intelligence, je klíčové definovat cíle činností. Na začátku je třeba určit, jaké hrozby jsou pro vaši organizaci relevantní a jaké informace budou potřebné pro efektivní ochranu. Sběr dat je dalším důležitým krokem – měl by zahrnovat shromažďování informací z různých zdrojů, jako jsou systémové logy, data o škodlivém softwaru, zprávy z oborových organizací a veřejné informace o hrozbách.

Po shromáždění dat následuje jejich analýza, při které je důležité identifikovat vzory a potenciální hrozby. Stojí za to používat analytické nástroje, které usnadňují interpretaci shromážděných informací. Na základě výsledků analýzy se vytváří zpráva, kterou lze předat týmům odpovědným za bezpečnost v organizaci. Implementace vhodných bezpečnostních opatření a monitorování jejich účinnosti jsou dalšími kroky, které by měly být zavedeny na základě identifikovaných hrozeb.

Samozřejmě nelze ignorovat ani vzdělávání zaměstnanců. Pravidelné školení týmu v oblasti rozpoznávání hrozeb a výměna informací o útocích a osvědčených postupech jsou základem. Threat intelligence hraje velkou roli v činnostech červeného týmu a modrého týmu, poskytuje důležité informace o potenciálních hrozbách a obranných strategiích. Mezitím se CSIRT NASK zabývá reakcí na incidenty a podporou organizací při implementaci účinných bezpečnostních řešení, což zdůrazňuje význam integrace zpravodajství o hrozbách v procesu řízení bezpečnosti.

Jak rozpoznat cílený útok?

Rozpoznání cíleného útoku vyžaduje zvláštní pozornost a analýzu chování v sítích a systémech. Je důležité:

  • monitorovat neobvyklé činnosti uživatelů, jako je přihlašování z neočekávaných míst, abnormální aktivita v neobvyklých hodinách nebo neoprávněné změny v systémech;

  • stojí za to také věnovat pozornost škodlivému softwaru, který může být zaveden prostřednictvím phishingových e-mailů nebo infikovaných souborů;

  • analýza síťového provozu z hlediska podezřelých IP adres je dalším krokem při odhalování hrozeb. Možné pokusy o získání přístupu k citlivým datům, které mohou vést k jejich krádeži, by měly být pečlivě monitorovány.

Navíc zvýšený počet phishingových pokusů zaměřených na konkrétní skupinu zaměstnanců může být signálem, že se organizace stává cílem útoku.

Předchozí článek Zero Trust – proč je nedůvěra nejlepší strategií kybernetické bezpečnosti?
Další článek Skenování WiFi sítí – ideální nástroje

OD HACKERŮPRO HACKERY