Miért maradnak a CISO-k védtelenek a valóban fontos fenyegetésekkel szemben?

2025. július 16., 10:04

A válasz: mert az operatív fenyegetési intelligencia még mindig nincs a helyén.

A kiberfenyegetési intelligencia (CTI) hosszú ideje a biztonsági programok alappillére – de valóban a megfelelő információ jut el a megfelelő döntéshozókhoz? És ami még fontosabb: hasznosul-e időben? 

A HelpNetSecurity nemrég megjelent elemzése szerint a CISO-k jelentős része nem kapja meg időben a számára legfontosabb, kontextusba helyezett, operatív fenyegetési intelligenciát (OTI – Operational Threat Intelligence). Ehelyett túl sok a nyers adat, túl kevés a cselekvésre kész tudás – ez pedig kritikus hiányosság. 

Mi az az operatív fenyegetési intelligencia?
Ez nem a tipikus „hírszerzési jelentés” vagy egy új CVE listája. Az OTI az a fajta információ, ami konkrétan választ ad a CISO-k és SOC-vezetők legfontosabb kérdéseire: 

  • Kik támadnak minket most?
  • Hogyan fértek be a hálózatunkba?
  • Milyen rendszerek veszélyeztetettek jelenleg?
  • Milyen válaszintézkedésekre van szükség azonnal?

Ez a fajta intelligencia nemcsak a stratégiai döntéshozatalhoz kulcsfontosságú, hanem a valós idejű reakcióképességhez is. A legtöbb vállalatnál pedig éppen ez hiányzik– különösen komplex, hibrid infrastruktúrák esetén. 

Miért nem működik jól az OTI ma? 

  • A legtöbb fenyegetési adatforrás nem CISO-barát:, túl sok a nyers adat, vagy túl későn érkezik. 
  • A jelentések szigetszerűek: nincs integrálva a napi operációs folyamatokba. 
  • Kevés az automatizált elemzés, és még kevesebb az üzleti kontextusba helyezett kockázatértékelés. 
  • A „noise” túl nagy: nehéz megkülönböztetni a valódi fenyegetést a zajtól. 

Merre van az előre?
A riport megfogalmaz több javaslatot is, amelyet érdemes átgondolnia minden biztonsági vezetőnek: 

  • Az OTI-t külön funkcióként kell kezelni, nem csupán a CTI egyik mellékágaként. 
  • Közvetlen, kétirányú kommunikációra van szükség a fenyegetéselemzők és a döntéshozók között. 
  • A fenyegetési intelligenciát be kell ágyazni az IR, SOC, GRC és risk management folyamatokba. 
  • AI és automatizáció segítségével lehet kiszűrni a zajt, és felnagyítani az igazán fontos jeleket. 

A valódi cél: olyan fenyegetési intelligencia, amely nemcsak érdekes, hanem hasznos is – mégpedig most, nem három nap múlva. 

Tanulság CISO-knak:
Ne csak adatot, hanem értelmezhető döntési alapot kérj a csapatodtól. Mert a gyors reakció nem technológiai kérdés – hanem információs. 

Forrás: https://www.helpnetsecurity.com/2025/06/12/cisos-operational-threat-intelligence/