Threat intelligence ISO 27001 pentru NIS2 și DORA
La ora 07:42, într-o marți dimineață, CISO-ul unei companii fintech europene primește patru mesaje înainte de cafea.
Primul este o alertă CERT națională care avertizează că o vulnerabilitate de acces la distanță este exploatată activ. Al doilea este un buletin al furnizorului care confirmă că respectiva componentă afectată este utilizată într-un serviciu administrat de transfer de fișiere. Al treilea este o notificare de la serviciul de detectare și răspuns administrat (MDR), care semnalează trafic ieșit neobișnuit dintr-o subrețea non-producție. Al patrulea vine de la CFO: „Afectează acest lucru pachetul nostru de pregătire DORA și trebuie să notificăm pe cineva în temeiul NIS2?”
Aceasta este problema threat intelligence în 2026. Nu este vorba despre colectarea mai multor fluxuri. Este vorba despre demonstrarea faptului că informațiile relevante privind amenințările cibernetice sunt primite, validate, direcționate, tratate și transformate în dovezi privind riscurile, detecția, vulnerabilitățile, incidentele, furnizorii și consiliul de administrație.
Multe organizații sunt deja abonate la informări ale furnizorilor, alerte CISA, actualizări ENISA, notificări CERT naționale, buletine ISAC, notificări de securitate ale furnizorilor cloud, fluxuri CVE, rapoarte MDR, baze de date privind exploatabilitatea și monitorizare dark web. Totuși, când apare o informare reală, echipele încă reacționează în grabă. SOC-ul scrie o regulă de detecție. Echipa de infrastructură caută în inventare de active care pot să nu fie actualizate. Conformitatea întreabă dacă evenimentul afectează NIS2 sau DORA. Managementul dorește un răspuns clar înainte ca organizația să știe măcar dacă respectiva componentă vulnerabilă este în producție.
Problema nu este lipsa datelor. Problema este lipsa unui model operațional verificabil prin audit.
Un flux de threat intelligence pe care nu îl folosește nimeni nu este un control. O informare privind o vulnerabilitate care nu modifică prioritatea patch-urilor nu este dovadă. O notificare de la furnizor care nu ajunge niciodată în Registrul de riscuri nu reprezintă securitatea lanțului de aprovizionare. O alertă CSIRT care nu actualizează monitorizarea, triajul incidentelor sau raportarea către management este doar zgomot în inbox.
Abordarea Clarysec este simplă: threat intelligence trebuie să devină un sistem operațional pentru deciziile de risc. Trebuie integrată în domeniul de aplicare al SMSI, evaluarea riscurilor, Declarația de aplicabilitate, playbook-urile de incidente, triajul vulnerabilităților, jurnalizare și monitorizare, guvernanța furnizorilor, raportarea către management și pachetul de dovezi de audit.
De ce threat intelligence este acum un control la nivel de consiliu de administrație
NIS2 a schimbat tonul guvernanței securității cibernetice. Aceasta include în domeniul de aplicare mulți furnizori SaaS, furnizori cloud, furnizori de servicii administrate, furnizori de servicii de securitate administrate, organizații de infrastructură digitală și furnizori de servicii digitale, ca entități esențiale sau importante, în funcție de sector, dimensiune și desemnarea de către statul membru.
NIS2 Article 21 impune măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru managementul riscurilor. Acestea includ analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, securitatea în achiziție, dezvoltare și mentenanță, inclusiv gestionarea și divulgarea vulnerabilităților, evaluarea eficacității, igiena cibernetică de bază și instruirea, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor și MFA sau autentificarea continuă, acolo unde este adecvat.
NIS2 Article 20 impune, de asemenea, organelor de conducere să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea acestora și să primească instruire. Pentru entitățile esențiale, amenda administrativă maximă poate ajunge la cel puțin 10 milioane EUR sau 2% din cifra de afaceri anuală mondială, oricare dintre valori este mai mare. Pentru entitățile importante, aceasta poate ajunge la cel puțin 7 milioane EUR sau 1,4%.
Pentru threat intelligence, întrebarea la nivel de consiliu devine: cum știm că amenințările emergente ne modifică controalele înainte să devină incidente?
DORA adaugă un alt nivel pentru entitățile financiare și furnizorii terți relevanți de servicii TIC. Se aplică din 17 ianuarie 2025 și impune un cadru de management al riscurilor TIC solid, cuprinzător și bine documentat, integrat în sistemul general de management al riscurilor. Cadrul DORA se așteaptă ca organizațiile să identifice și să clasifice funcțiile de business și activele susținute de TIC, să protejeze și să prevină, să detecteze activități anormale, să răspundă și să recupereze, să gestioneze backup-urile și restaurarea, să învețe din incidentele TIC, să comunice în situații de criză și să gestioneze riscurile TIC asociate terților.
DORA impune, de asemenea, gestionarea, clasificarea și raportarea incidentelor legate de TIC. Articles 17, 18 și 19 acoperă procesele de gestionare a incidentelor, clasificarea incidentelor legate de TIC și a amenințărilor cibernetice, precum și raportarea incidentelor majore legate de TIC. Article 10 se concentrează pe detectarea activităților anormale. Articles 6-11 descriu cadrul de management al riscurilor TIC, precum și așteptările privind identificarea, protecția, prevenirea, detecția, răspunsul și recuperarea.
Pe scurt, DORA se așteaptă la reziliență informată de amenințări. Nu reziliență statică. Nu reziliență bazată pe politici anuale. Reziliență informată de amenințări.
ISO/IEC 27001:2022 oferă motorul sistemului de management care conectează aceste așteptări. Clauzele 4.1-4.4 impun organizației să își înțeleagă contextul intern și extern, părțile interesate, obligațiile legale și de reglementare, domeniul de aplicare al SMSI, dependențele și procesele care interacționează. Clauzele 6.1.1-6.1.3 impun un proces repetabil de evaluare a riscurilor și tratament al riscurilor, selectarea controalelor, compararea cu Anexa A, o Declarație de aplicabilitate, planificarea tratamentului și aprobarea riscului rezidual de către proprietarul riscului.
Threat intelligence aparține acestui context, nu ca tablou de bord separat, ci ca intrare pentru context, risc, selectarea controalelor, tratament, monitorizare, analiza efectuată de management și îmbunătățire continuă.
Capcana conformității: fluxuri de threat intelligence fără trasabilitatea deciziilor
Cel mai frecvent tipar de eșec este înșelător de simplu: organizația primește threat intelligence, dar nu poate demonstra cum schimbă aceasta deciziile.
Un lanț slab de dovezi arată, de obicei, astfel:
| Semnal primit | Răspuns slab | Preocuparea auditorului |
|---|---|---|
| Alertă CERT privind exploatarea activă | Redirecționată către căsuța poștală IT | Nu există dovezi privind evaluarea riscurilor, asumarea responsabilității sau acțiunea |
| Buletin al furnizorului privind un patch critic | Adăugat în backlog-ul de tichete | Nu există prioritizare bazată pe criticitatea activului sau pe activitatea de exploatare |
| Detecție MDR a unei linii de comandă suspecte | Închisă ca fals pozitiv | Nu există criterii de triaj documentate sau buclă de învățare |
| Notificare de la furnizor privind o dependență compromisă | Arhivată în folderul de achiziții | Nu există actualizare a riscului asociat furnizorilor sau revizuire a controalelor compensatorii |
| Avertizare ISAC privind o campanie sectorială | Menționată într-o ședință SOC | Nu există actualizare a monitorizării, conștientizării sau playbook-ului de incidente |
Aici metoda de implementare Clarysec ajută organizațiile să treacă de la „primim informații” la „operaționalizăm informațiile”.
În Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului Zenith Blueprint, faza Controls in Action transformă explicit threat intelligence într-o practică verificabilă prin audit. Pasul 22, controale organizaționale, precizează:
Stabiliți o listă documentată a surselor de threat intelligence (5.7), provenite de la furnizori, ISAC-uri sau surse deschise, și determinați modul în care informațiile sunt validate și integrate în procesul decizional. Definiți cine primește actualizările privind amenințările și cum sunt aplicate acestea (de exemplu, prioritizarea patch-urilor, instruirea de conștientizare). Creați o scurtă informare privind tendințele amenințărilor, care să fie distribuită trimestrial părților interesate cheie.
Această instrucțiune este puntea dintre datele privind amenințările și dovezile de conformitate. Un registru de threat intelligence nu este doar o listă de surse. El demonstrează relevanța, asumarea responsabilității, validarea, direcționarea, integrarea și utilizarea în activitățile organizației.
Logica controalelor ISO 27001: lanțul threat intelligence
ISO/IEC 27002:2022 controlul 5.7, Threat intelligence, impune organizațiilor să colecteze și să analizeze informații referitoare la amenințările la adresa securității informației și să le utilizeze pentru a produce threat intelligence. În Zenith Controls: Ghidul de cross-compliance Zenith Controls, controlul 5.7 este clasificat ca preventiv, detectiv și corectiv. Acesta susține confidențialitatea, integritatea și disponibilitatea, se aliniază conceptelor de securitate cibernetică Identify, Detect și Respond și se încadrează în managementul amenințărilor și vulnerabilităților ca o capabilitate operațională.
Această clasificare contează. Threat intelligence previne prin informarea hardeningului, aplicării patch-urilor, instruirii și controalelor pentru furnizori. Detectează prin configurarea monitorizării, a regulilor SIEM și a activităților de threat hunting. Corectează prin îmbunătățirea răspunsului la incidente, a lecțiilor învățate și a tratamentului riscurilor.
Zenith Controls mapează, de asemenea, ISO/IEC 27002:2022 controlul 5.7 la controale de sprijin:
| Relație cu controlul ISO/IEC 27002:2022 | De ce contează în practică |
|---|---|
| 5.6 Contact cu grupuri de interes special | ISAC-urile, CERT-urile, forumurile profesionale și comunitățile sectoriale sunt surse de informații, nu activități suplimentare de networking |
| 8.7 Protecție împotriva malware-ului | Indicatorii de compromitere, URL-urile malițioase, hash-urile, infrastructura de comandă și control și tiparele de atac actualizează măsurile de apărare pentru endpoint-uri și e-mail |
| 8.8 Managementul vulnerabilităților tehnice | Informațiile privind exploit-in-the-wild schimbă prioritatea vulnerabilităților și urgența patch-urilor |
| 8.15 Jurnalizare | Jurnalele oferă înregistrarea factuală necesară pentru a căuta indicatori și a reconstrui activitatea |
| 8.16 Activități de monitorizare | Threat intelligence indică SOC-ului ce trebuie monitorizat, iar monitorizarea produce informații interne |
| 5.25 Evaluarea și decizia privind evenimentele de securitate a informației | Triajul susținut de informații ajută la stabilirea dacă un eveniment este un incident de securitate |
Legătura cu vulnerabilitățile este deosebit de importantă. Zenith Controls tratează controlul 8.8, Managementul vulnerabilităților tehnice, ca preventiv și direct conectat la controlul 5.7, deoarece informațiile operaționale actuale privind amenințările indică ce vulnerabilități sunt exploatate activ. De asemenea, conectează 8.8 la 8.16, Activități de monitorizare, deoarece tentativele de exploatare observate trebuie să crească urgența patch-urilor.
Aceasta creează un lanț practic de threat intelligence:
- Sosesc informații externe sau interne.
- Relevanța este validată în raport cu activele, furnizorii, geografia, sectorul, serviciile de business și datele.
- Riscul este actualizat.
- Prioritățile de patching și configurare se modifică.
- Logica de detecție este ajustată.
- Playbook-urile de incidente și pragurile de clasificare sunt revizuite.
- Dependențele față de furnizori și cloud sunt verificate.
- Managementul primește raportări privind tendințele.
- Dovezile sunt păstrate pentru auditori, autorități de reglementare și clienți.
Politici care transformă informațiile în comportament responsabil
Politicile sunt locul în care logica controalelor devine responsabilitate bazată pe roluri. Seturile de politici Clarysec pentru IMM-uri și organizații enterprise includ mecanisme de threat intelligence în managementul riscurilor, protecția endpoint-urilor, managementul vulnerabilităților, jurnalizare, monitorizare și dovezi de audit.
Pentru IMM-uri, Politica privind protecția endpoint-urilor / protecția antimalware Politica privind protecția endpoint-urilor / protecția antimalware - IMM stabilește o așteptare directă în clauza 5.4.1, Cerințe de guvernanță:
Furnizorul de suport IT trebuie să monitorizeze surse credibile de threat intelligence (de exemplu, CISA, ENISA, furnizori majori de antivirus) și să se asigure că semnăturile de detecție rămân actuale.
Valoarea acestei clauze este atribuirea responsabilității. Threat intelligence nu înseamnă „cineva din IT ar trebui să verifice alertele”. Este o obligație explicită a furnizorului.
Politica de management al vulnerabilităților și al patch-urilor Politica de management al vulnerabilităților și al patch-urilor - IMM consolidează același model în clauza 4.2.1, Roluri și responsabilități:
Monitorizează sistemele pentru vulnerabilități și patch-uri disponibile folosind alerte ale furnizorilor, informări de threat intelligence și notificări ale sistemelor de operare.
Aceasta identifică, de asemenea, în clauza 6.2.1.3, Cerințe de implementare a politicii, tipul de sursă care trebuie să declanșeze acțiunea:
Informări de threat intelligence de încredere (de exemplu, CISA, ENISA, alerte CERT naționale).
Pentru organizații enterprise, Politica de management al vulnerabilităților și al patch-urilor Politica de management al vulnerabilităților și al patch-urilor precizează în clauza 4.5.1, Roluri și responsabilități:
Monitorizați informările privind amenințările (de exemplu, CVE, CISA KEV, buletine ale furnizorilor) și escaladați vulnerabilitățile critice.
Cerința de escaladare este esențială. O vulnerabilitate devine urgentă atunci când exploatabilitatea, expunerea, criticitatea pentru business, sensibilitatea datelor și activitatea amenințărilor converg.
Politica de management al riscurilor Politica de management al riscurilor integrează threat intelligence în analiză. Clauza 6.2.2, Cerințe de implementare a politicii, precizează:
Analiza trebuie să ia în considerare eficacitatea controalelor existente, threat intelligence relevantă, criticitatea activelor și severitatea vulnerabilităților.
Această clauză este nucleul threat intelligence pregătite pentru audit. Ea demonstrează că analiza riscurilor nu este teoretică.
Politica de jurnalizare și monitorizare Politica de jurnalizare și monitorizare transformă informațiile în detecție. Clauza 1.2, Scop, precizează:
Jurnalizarea de audit, monitorizarea și detectarea amenințărilor sunt critice pentru detectarea anomaliilor, răspunsul la amenințări, analiza criminalistică digitală, pregătirea pentru audit și conformitatea juridică. Această politică asigură că toate evenimentele generate de sistem sunt înregistrate, păstrate și corelate în mod corespunzător, cu acuratețe bazată pe sincronizarea timpului.
În cele din urmă, Politica de audit și monitorizare a conformității Politica de audit și monitorizare a conformității explică de ce disciplina dovezilor contează. Clauza 3.4, Obiective, impune organizației să genereze dovezi:
Să genereze dovezi justificabile și o pistă de audit în sprijinul solicitărilor autorităților de reglementare, al procedurilor juridice sau al cererilor clienților privind asigurarea controalelor.
Când NIS2, DORA, un client sau un auditor ISO întreabă ce știați, când ați știut, cine a decis și ce s-a schimbat, această pistă de dovezi face diferența dintre o asigurare matură și o reacție defensivă în grabă.
Construiți Registrul de threat intelligence
Un registru matur are două niveluri: guvernanța surselor și urmărirea evenimentelor. Guvernanța surselor definește în ce are încredere organizația, cine este responsabil, cum se validează informațiile și ce acțiuni pot fi declanșate.
| Numele sursei | Tip | Proces de validare | Punct de integrare | Proprietar |
|---|---|---|---|---|
| Catalogul CISA KEV | Operațional | Corelare cu inventarul activelor și expunerea | Declanșează prioritizarea patch-urilor de urgență | Managementul vulnerabilităților |
| Informări ENISA | Strategic | Revizuire de către proprietarul riscului sau comitetul de risc | Actualizează scenariile de risc și informarea managementului | CISO |
| ISAC sectorial | Tactic | Analizează IOC-urile pentru relevanța față de stiva tehnologică | Actualizează SIEM, EDR și activitățile de threat hunting | Responsabil SOC |
| Buletine ale furnizorilor cloud | Operațional | Verifică serviciile și regiunile afectate | Escaladează către echipa de inginerie cloud | Responsabil DevOps |
| Notificări de patch ale furnizorilor | Operațional | Confirmă produsul, versiunea și domeniul implementării | Adaugă în ciclul de patching sau în schimbare de urgență | Operațiuni IT |
| Notificări MDR | Tactic și operațional | Triaj pe baza jurnalelor, activelor și configurațiilor de referință cunoscute | Deschide caz de detecție, investigație sau incident | Operațiuni de securitate |
| Notificări de securitate ale furnizorilor | Operațional | Mapează la serviciile contractate și fluxurile de date | Actualizează riscul asociat furnizorilor și controalele compensatorii | Proprietar de furnizor |
Urmărirea evenimentelor surprinde modul în care o informare specifică a devenit dovadă. Revenind la scenariul de marți dimineață privind transferul de fișiere, intrarea din registru trebuie să surprindă suficiente informații pentru a susține deciziile de risc, răspuns și conformitate.
| Câmp | Exemplu de intrare |
|---|---|
| Data și ora primirii | 2026-05-26 07:42 UTC |
| Sursă | Alertă CERT națională, buletin al furnizorului, notificare MDR |
| Tip de sursă | Informare guvernamentală, informare a furnizorului, detecție internă |
| Tehnologie afectată | Serviciu administrat de transfer de fișiere, interval de versiuni, biblioteci dependente |
| Proprietar de business | Șeful operațiunilor de platformă |
| Proprietar al riscului | CISO |
| Legătura cu activul | Gateway extern de transfer de fișiere, flux de raportare către clienți |
| Severitate inițială | Ridicată, în așteptarea validării expunerii |
| Acțiuni necesare | Verificarea expunerii, starea patch-ului, revizuirea detecției, confirmare din partea furnizorului |
| Relevanță pentru conformitate | NIS2 Article 21, NIS2 Article 23 dacă sunt îndeplinite criteriile de incident semnificativ, ciclul de viață al riscului și incidentelor TIC DORA, dacă este aplicabil |
| Locația dovezilor | Tichet, actualizare a registrului de riscuri, schimbare SIEM, notă pentru management |
Aceasta nu este birocrație. Este înregistrarea factuală care demonstrează că organizația are un proces definit de preluare, validare, triaj, escaladare și gestionare a dovezilor.
De la informare la dovezi de audit: un flux de lucru practic
Un flux de lucru de threat intelligence trebuie să răspundă rapid la șase întrebări: suntem expuși, cât de grav este, ce trebuie să se schimbe, cine este responsabil, trebuie să raportăm și ce dovezi trebuie păstrate?
1. Validați expunerea și impactul asupra activității
ISO/IEC 27001:2022 clauzele 4.1-4.4 impun ca SMSI să reflecte contextul, obligațiile și dependențele reale ale organizației. Prima sarcină nu este aplicarea oarbă a patch-urilor. Prima sarcină este validarea expunerii.
Întrebați:
- Rulăm tehnologia afectată?
- Este expusă la internet?
- Este utilizată de un serviciu de business critic?
- Prelucrează date cu caracter personal?
- Este operată de un furnizor sau de un furnizor de servicii administrate?
- Este relevantă pentru o funcție critică sau importantă DORA?
- Este relevantă pentru serviciile incluse în domeniul de aplicare NIS2?
- Există obligații contractuale de notificare a clienților?
- Sunt jurnalele disponibile, complete și sincronizate în timp?
Dacă datele cu caracter personal pot fi afectate, responsabilitatea demonstrabilă GDPR intră, de asemenea, în analiză. GDPR impune securitatea adecvată a prelucrării și responsabilitate demonstrabilă, inclusiv capacitatea de a evalua dacă a avut loc o încălcare a securității datelor cu caracter personal și dacă notificarea este necesară.
2. Actualizați Registrul de riscuri
Politica de management al riscurilor Politica de management al riscurilor - IMM oferă o regulă simplă de calendar în clauza 5.1.3, Cerințe de guvernanță:
Riscurile trebuie revizuite trimestrial și actualizate atunci când apar evenimente semnificative.
O informare credibilă privind exploatarea activă este un eveniment semnificativ. Actualizarea nu trebuie să aștepte următoarea revizuire trimestrială.
| Element de risc | Evaluare actualizată |
|---|---|
| Amenințare | Exploatarea activă a unei vulnerabilități a serviciului administrat de transfer de fișiere |
| Vulnerabilitate | Versiune afectată, interfață expusă, configurație slabă, patch lipsă |
| Activ | Platformă de schimb de date cu clienții |
| Consecință | Întreruperea serviciului, acces neautorizat la date, raportare către autorități, impact asupra încrederii clienților |
| Probabilitate | Crescută din cauza exploatării active în mediul real |
| Controale existente | MFA, WAF, protecția endpoint-urilor, monitorizare SIEM, backup, SLA cu furnizorul |
| Lacune de control | Patch neconfirmat, detecție neajustată, dovezi de la furnizor în așteptare |
| Tratament | Patch de urgență, restricție temporară de rețea, threat hunting pe baza IOC-urilor, atestare din partea furnizorului, evaluarea impactului asupra clienților |
| Proprietar al riscului rezidual | CISO și proprietarul operațiunilor de platformă |
Aceasta se conectează direct la ISO/IEC 27001:2022 clauzele 6.1.1-6.1.3. Organizația identifică riscul, analizează probabilitatea și consecințele, prioritizează tratamentul, selectează controalele, menține Declarația de aplicabilitate, creează un plan de tratament și obține aprobarea riscului rezidual.
3. Prioritizați tratamentul vulnerabilităților folosind informațiile privind exploatarea
Zenith Blueprint, faza Controls in Action, Pasul 19, Controale tehnice I, explică de ce managementul vulnerabilităților este esențial pentru igiena cibernetică:
Managementul vulnerabilităților este unul dintre cele mai critice domenii ale igienei cibernetice moderne. Deși firewall-urile și instrumentele antivirus oferă protecție, acestea pot fi subminate dacă sisteme fără patch-uri sau servicii configurate greșit rămân expuse. Pentru a îndeplini acest control, organizațiile trebuie să implementeze un proces structurat și repetabil pentru identificarea, evaluarea și tratarea vulnerabilităților.
CVSS, ca atare, nu este suficient. O vulnerabilitate cu scor mediu, exploatată activ pe un sistem expus la internet, poate fi mai urgentă decât o vulnerabilitate cu scor ridicat ascunsă într-un laborator segmentat.
| Factor | Întrebare | Dovezi |
|---|---|---|
| Activitate de exploatare | Exploatarea este observată sau raportată de surse de încredere? | Alertă CERT, referință CISA KEV, buletin al furnizorului, raport MDR |
| Expunere | Activul este expus la internet sau accesibil furnizorilor? | Inventarul activelor, profil de risc al securității cloud, scanare de rețea |
| Criticitate pentru business | Susține servicii esențiale sau funcții critice? | Analiza impactului asupra activității, maparea funcțiilor DORA |
| Sensibilitatea datelor | Prelucrează date cu caracter personal, date financiare reglementate sau date confidențiale ale clienților? | Inventarul datelor, DPIA, evidența activităților de prelucrare |
| Controale compensatorii | Pot WAF, regulile de firewall, segmentarea, EDR sau dezactivarea unei funcționalități să reducă riscul? | Tichet de schimbare, regulă de firewall, politică EDR |
| Risc operațional | Aplicarea de urgență a patch-ului ar putea perturba furnizarea unui serviciu critic? | Evaluarea schimbării, plan de revenire, plan de continuitate |
Aceasta produce o decizie justificabilă. De asemenea, susține NIS2 Article 21(2)(e) pentru gestionarea vulnerabilităților, NIS2 Article 21(2)(g) pentru igiena cibernetică și așteptările DORA privind managementul riscurilor TIC.
4. Transformați informațiile în monitorizare și detecție
Threat intelligence trebuie să ajungă în jurnalizare și monitorizare. Politica de jurnalizare și monitorizare Politica de jurnalizare și monitorizare - IMM precizează în clauza 6.2.1, Cerințe de implementare a politicii:
Instrumentele de securitate (de exemplu, antivirus, firewall-uri, VPN-uri) trebuie configurate pentru a genera alerte pentru scenarii de amenințare definite, inclusiv:
Extrasul stabilește clar intenția controlului: scenariile de amenințare definite trebuie să conducă alertarea.
Zenith Blueprint, faza Controls in Action, Pasul 19, descrie activitățile de monitorizare astfel:
Dacă jurnalizarea este acțiunea de a înregistra ceea ce se întâmplă în mediul dumneavoastră, monitorizarea este acțiunea de a urmări, înțelege și răspunde la acele evenimente. Acest control privește observarea activă a rețelelor, sistemelor și aplicațiilor pentru a detecta activități neobișnuite, nu doar după fapt, ci în timp real sau aproape în timp real, acolo unde este posibil.
Pentru scenariul de transfer de fișiere, SOC-ul sau furnizorul IT trebuie să:
- Adauge sau să valideze IOC-urile din informarea CERT și din cea a furnizorului.
- Caute în jurnale căi de exploatare cunoscute, încărcări suspecte, indicatori de web shell, execuții neobișnuite de procese și conexiuni ieșite neașteptate.
- Confirme că jurnalele de autentificare, activitate administrativă, acces la fișiere, API și rețea sunt păstrate.
- Ajusteze alertele SIEM pentru tiparul de exploatare.
- Creeze o notă de caz care explică ce s-a căutat, ce s-a găsit și cine a revizuit.
- Escaladeze către clasificarea incidentului dacă indicatorii arată compromitere, expunere a datelor sau impact asupra serviciului.
Aici raportarea incidentelor devine practică. NIS2 Article 23 impune raportarea etapizată a incidentelor semnificative, inclusiv avertizare timpurie în termen de 24 de ore, notificare în termen de 72 de ore, actualizări intermediare la cerere și un raport final cel târziu la o lună după notificare. DORA impune entităților financiare să detecteze, să gestioneze, să clasifice și să raporteze incidente majore legate de TIC prin procesul etapizat definit de regulament și de standardele tehnice aferente.
Threat intelligence ajută la determinarea situației: organizația este încă în răspuns la vulnerabilitate, în evaluarea unui eveniment de securitate sau în raportare reglementată a unui incident.
Un singur flux de lucru, obligații multiple de conformitate
Threat intelligence este un flux de lucru ideal pentru conformitate integrată, deoarece aceleași dovezi susțin mai multe regimuri.
| Cadru sau reglementare | Ce așteaptă | Dovezi de threat intelligence |
|---|---|---|
| ISO/IEC 27001:2022 | SMSI adaptat contextului, evaluarea riscurilor, selectarea controalelor, planificarea tratamentului, îmbunătățire continuă | Domeniul de aplicare al SMSI, Registrul de riscuri, Declarația de aplicabilitate, plan de tratament, intrări pentru analiza efectuată de management |
| ISO/IEC 27002:2022 | Threat intelligence, managementul vulnerabilităților, jurnalizare, monitorizare, evaluarea incidentelor, protecție antimalware | Registru de threat intelligence, actualizări IOC, reguli SIEM, tichete de patch, note de triaj al incidentelor |
| NIS2 | Managementul riscurilor, gestionarea incidentelor, igiena cibernetică, gestionarea vulnerabilităților, securitatea lanțului de aprovizionare, supraveghere de guvernanță | Dovezi privind Article 20 și 21, informări pentru management, flux de lucru CSIRT, urmărirea informărilor de la furnizori |
| DORA | Cadru de risc TIC, detecție, continuitate, ciclul de viață al incidentelor, testarea rezilienței, risc TIC asociat terților | Clasificarea activelor TIC, cazuri de detecție, înregistrări de clasificare a incidentelor, intrări pentru testele de reziliență, înregistrări privind furnizorii TIC |
| GDPR | Securitatea prelucrării, responsabilitate demonstrabilă, suport pentru detectarea și notificarea încălcărilor | Evaluarea impactului asupra datelor, jurnale de acces, dovezi de monitorizare, înregistrarea evaluării încălcării |
| NIST CSF 2.0 | Rezultate Govern, Identify, Protect, Detect, Respond, Recover | Profil curent, Profil țintă, plan de acțiune prioritizat, comunicări privind riscurile |
| COBIT 2019 din perspectiva auditului | Guvernanță asupra riscului, controalelor, performanței, asigurării și responsabilității | Deținerea controlului, metrici de management, dovezi de asigurare, urmărirea remedierii problemelor |
NIST CSF 2.0 este deosebit de util pentru comunicarea executivă. Funcțiile sale de bază, Govern, Identify, Protect, Detect, Respond și Recover, transformă informațiile tehnice într-o relatare inteligibilă pentru consiliul de administrație:
- Govern: sursele de threat intelligence, proprietarii și liniile de raportare sunt definite.
- Identify: activele, furnizorii, serviciile de business și datele afectate sunt mapate.
- Protect: patchingul, hardeningul, segmentarea și semnăturile pentru endpoint-uri sunt actualizate.
- Detect: regulile de monitorizare, IOC-urile și activitățile de threat hunting sunt implementate.
- Respond: playbook-urile de incidente, regulile de triaj și pragurile de notificare sunt revizuite.
- Recover: backup-urile, prioritățile de restaurare și lecțiile învățate sunt validate.
Aceasta transformă informațiile brute privind amenințările cibernetice în guvernanța riscurilor.
Perspectiva auditorului: ce va solicita
Un proces solid de threat intelligence trebuie să reziste diferitelor stiluri de audit. Un auditor ISO, un revizor NIS2, o autoritate de supraveghere DORA, un evaluator NIST CSF, un auditor orientat COBIT 2019, un profesionist ISACA sau un revizor de confidențialitate pot folosi un limbaj diferit, dar toți converg asupra dovezilor.
| Perspectiva auditorului | Întrebare probabilă de audit | Dovezile care răspund |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Cum influențează contextul extern și intern riscurile și controalele SMSI? | Registru de threat intelligence, metodologia de risc, Registrul de riscuri actualizat, justificarea Declarației de aplicabilitate |
| Revizor al controalelor ISO/IEC 27002:2022 | Cum sunt conectate controalele 5.7, 8.8, 8.16, 8.15, 8.7 și 5.25? | Lista surselor, triajul vulnerabilităților, ajustarea SIEM, actualizări ale semnăturilor malware, înregistrări de evaluare a evenimentelor |
| Revizor NIS2 | Cum îndepliniți supravegherea managementului, igiena cibernetică, gestionarea vulnerabilităților, gestionarea incidentelor și securitatea lanțului de aprovizionare? | Mapare Article 20 și 21, informări pentru management, procedură de raportare CSIRT, flux de lucru pentru informări de la furnizori |
| Autoritate de supraveghere DORA | Cum actualizează threat intelligence riscul TIC, detecția, testarea rezilienței și clasificarea incidentelor? | Cadru de risc TIC, maparea funcțiilor critice, cazuri de detecție, înregistrări de clasificare a incidentelor, domeniul testelor de reziliență |
| Evaluator NIST CSF | Care sunt Profilul curent, Profilul țintă și planul de acțiune prioritizat? | Profil CSF, evaluare a lacunelor, plan de acțiune, jurnal de actualizare continuă |
| Auditor COBIT 2019 sau ISACA | Cine deține controlul, cum se măsoară performanța și cum sunt remediate excepțiile? | RACI, KPI, KRI, Registrul de excepții, tichete de remediere, aprobarea conducerii |
| Auditor GDPR sau revizor de confidențialitate | Cum au protejat monitorizarea și managementul vulnerabilităților datele cu caracter personal și cum au susținut evaluarea încălcării? | Maparea prelucrării datelor, jurnale, evaluarea încălcării, dovezi privind măsurile tehnice și organizatorice |
Zenith Controls oferă interpretarea de cross-compliance pentru aceste discuții. Pentru controlul 8.16, Activități de monitorizare, ghidul conectează monitorizarea la securitatea GDPR și responsabilitatea privind încălcările, gestionarea și raportarea incidentelor NIS2 și așteptările DORA privind detecția și răspunsul. Pentru controlul 8.8, Managementul vulnerabilităților tehnice, conectează gestionarea vulnerabilităților la securitatea prelucrării GDPR, NIS2 Article 21(2)(e) și managementul proactiv al riscurilor TIC DORA.
Aceasta este convergența dovezilor pe care auditorii doresc să o vadă.
Raportarea către management: informarea trimestrială privind tendințele amenințărilor
Registrul de threat intelligence nu trebuie să moară în SOC. Zenith Blueprint recomandă o scurtă informare trimestrială privind tendințele amenințărilor pentru părțile interesate cheie. Clarysec recomandă un raport de management de o pagină, cu cinci secțiuni:
- Primele trei tendințe relevante ale amenințărilor, în funcție de impactul asupra activității.
- Cele mai expuse tehnologii sau furnizori.
- Vulnerabilități critice remediate prin patch-uri, atenuate sau acceptate.
- Îmbunătățiri aduse detecției și răspunsului.
- Decizii necesare din partea managementului.
O informare solidă pentru management nu listează 400 de CVE-uri. Ea explică evoluția riscului. De exemplu:
- Ransomware-ul care vizează furnizori de servicii administrate a crescut prioritatea revizuirii furnizorilor.
- Exploatarea platformelor de transfer de fișiere a declanșat aplicarea unui patch de urgență și o regulă de firewall compensatorie.
- Atacurile asupra identităților cloud au determinat revizuirea excepțiilor MFA și hardeningul accesului condițional.
- Informațiile ISAC sectoriale au condus la noi simulări de phishing pentru echipele de finanțe și suport.
- Maparea funcțiilor critice DORA a evidențiat o lacună de monitorizare într-un flux de lucru al unui terț.
Această informare susține responsabilitatea managementului conform NIS2, guvernanța riscurilor TIC DORA, analiza efectuată de management conform ISO/IEC 27001:2022 și asigurarea solicitată de clienți.
Tipare comune de eșec
Programele de threat intelligence par adesea mature în prezentări, dar sunt slabe în audit. Cele mai frecvente tipare de eșec sunt:
- Prea multe fluxuri și niciun criteriu de validare.
- Lipsa legăturii dintre informații și Inventarul activelor.
- Lipsa unei actualizări documentate a riscului după informări majore.
- Prioritatea patch-urilor bazată doar pe severitatea scannerului.
- Informările furnizorilor gestionate în afara SMSI.
- Reguli SOC actualizate fără înregistrări ale schimbărilor.
- Praguri de incidente nealiniate la fluxurile de raportare NIS2 sau DORA.
- Raportare către consiliu concentrată pe volumul alertelor în loc de riscul pentru business.
- Lipsa dovezilor că lecțiile învățate au schimbat controalele.
- Lipsa unui proprietar pentru menținerea registrului de threat intelligence.
Soluția nu este cumpărarea unui alt flux. Soluția este integrarea controalelor.
O listă de verificare în 10 puncte pentru pregătirea din 2026
Utilizați această listă ca revizuire internă practică.
| Întrebare privind pregătirea | Da sau nu |
|---|---|
| Menținem un registru de threat intelligence aprobat, cu proprietari ai surselor și reguli de validare? | |
| Informările CERT, CSIRT, ISAC, ale furnizorilor, cloud și MDR sunt direcționate către roluri nominalizate? | |
| Informările semnificative declanșează revizuirea Registrului de riscuri în afara ciclului trimestrial? | |
| Prioritizarea vulnerabilităților include activitatea de exploatare, criticitatea activelor, sensibilitatea datelor și expunerea? | |
| IOC-urile și scenariile de amenințare sunt transformate în reguli de monitorizare sau activități de threat hunting? | |
| Semnăturile pentru endpoint-uri, detecțiile cloud și fluxurile dinamice de threat intelligence sunt verificate pentru actualitate? | |
| Notificările furnizorilor sunt evaluate în raport cu riscul lanțului de aprovizionare și obligațiile contractuale? | |
| Criteriile de clasificare a incidentelor sunt aliniate la fluxurile de raportare NIS2 și DORA, acolo unde este aplicabil? | |
| Managementul primește o informare trimestrială privind tendințele amenințărilor? | |
| Putem produce un pachet de dovezi pentru un auditor, o autoritate de reglementare sau un client într-o zi lucrătoare? |
Dacă răspunsul la oricare dintre aceste întrebări este „nu”, organizația nu are doar o problemă de threat intelligence. Are o problemă de integrare în SMSI.
Cum ajută Clarysec la transformarea threat intelligence în dovezi
Metoda Clarysec este concepută pentru organizațiile care au nevoie, în același timp, de securitate practică și de conformitate credibilă.
Zenith Blueprint oferă ruta de implementare în 30 de pași, inclusiv Pasul 22 pentru registrul de threat intelligence și Pasul 19 pentru managementul vulnerabilităților și activități de monitorizare. Politicile Clarysec pentru organizații enterprise și IMM-uri transformă aceste așteptări în proceduri bazate pe roluri pentru managementul riscurilor, gestionarea vulnerabilităților, protecția endpoint-urilor, jurnalizare, monitorizare și dovezi de audit. Zenith Controls oferă apoi interpretarea de cross-compliance, arătând cum controalele ISO/IEC 27002:2022 se conectează la NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 și dovezi de audit.
Pentru CISO-ul din marțea dimineață, răspunsul către CFO devine clar:
„Am primit informarea, am validat expunerea, am actualizat Registrul de riscuri, am prioritizat aplicarea patch-urilor pe baza exploatării active, am ajustat monitorizarea, am verificat dependența față de furnizor, am evaluat pragurile de raportare a incidentelor, am informat managementul și am păstrat dovezile. Nu ghicim. Urmăm SMSI-ul nostru.”
Așa trebuie să arate în 2026 threat intelligence ISO 27001 pentru igiena cibernetică NIS2 și dovezile privind riscul TIC DORA.
Pașii următori
Dacă organizația dumneavoastră primește threat intelligence, dar nu poate demonstra cum aceasta schimbă deciziile de risc, controalele, detecția, răspunsul la incidente, managementul furnizorilor și dovezile de reglementare, începeți săptămâna aceasta cu trei acțiuni:
- Construiți sau actualizați Registrul de threat intelligence folosind Zenith Blueprint, faza Controls in Action, Pasul 22.
- Mapați procesul actual la controalele ISO/IEC 27002:2022 5.7, 8.8, 8.15, 8.16, 8.7 și 5.25 folosind Zenith Controls.
- Aliniați-vă politicile, în special Politica de management al riscurilor, Politica de management al vulnerabilităților și al patch-urilor, Politica de jurnalizare și monitorizare și Politica de audit și monitorizare a conformității, astfel încât fiecare informare să poată deveni dovadă justificabilă.
Clarysec vă poate ajuta să transformați fluxurile de threat intelligence, informările, notificările furnizorilor, informațiile privind vulnerabilitățile și semnalele de detecție într-un model operațional aliniat la ISO/IEC 27001:2022, pregătit pentru NIS2 și orientat către DORA.
Descărcați seturile de instrumente Clarysec, solicitați o prezentare ghidată sau programați o evaluare a pregătirii pentru a vedea cum ar rezista procesul dumneavoastră actual de threat intelligence în fața unui auditor ISO, a unui revizor NIS2, a unei autorități de supraveghere DORA sau a unei cereri a clienților privind asigurarea controalelor.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
