Le informazioni sulla sicurezza (SI) sono le informazioni rilevanti per proteggere un'organizzazione da minacce esterne e interne, nonché i processi, le politiche e gli strumenti progettati per raccogliere e analizzare tali informazioni.
L'intelligence, in questo contesto, è un'informazione utilizzabile che fornisce a un'organizzazione supporto decisionale e possibilmente un vantaggio strategico. SI è un approccio completo che integra più processi e pratiche progettati per proteggere l'organizzazione.
Gli elementi di intelligence sulla sicurezza includono:
Gestione dei registri: i processi e le politiche collettivi utilizzati per amministrare e facilitare la generazione, trasmissione, analisi, archiviazione e smaltimento finale dei grandi volumi di dati di registro creati all'interno di un sistema informativo.
Informazioni sulla sicurezza e gestione degli eventi (SIEM): un approccio alla gestione della sicurezza che cerca di fornire una visione olistica della sicurezza informatica (IT) di un'organizzazione. La maggior parte dei sistemi SIEM distribuisce più agenti di raccolta per raccogliere eventi relativi alla sicurezza da dispositivi degli utenti finali, server, apparecchiature di rete e apparecchiature di sicurezza specializzate come firewall, antivirus o sistemi di prevenzione delle intrusioni. I raccoglitori inoltrano gli eventi a una console di gestione centralizzata, che esegue ispezioni e contrassegna le anomalie.
Rilevamento anomalie del comportamento della rete (NBAD): monitoraggio continuo di una rete per eventi o tendenze insolite. Un programma NBAD traccia le caratteristiche critiche della rete in tempo reale e genera un allarme se viene rilevato uno strano evento o tendenza che potrebbe indicare la presenza di una minaccia. NBAD è parte integrante dell'analisi del comportamento della rete (NBA).
Gestione del rischio: il processo di identificazione, valutazione e controllo delle minacce al capitale e ai guadagni di un'organizzazione. Tali minacce includono incertezza finanziaria, responsabilità legali, errori di gestione strategica, incidenti, disastri naturali e minacce alla sicurezza informatica (IT).
Analisi forense di rete: acquisizione, registrazione e analisi di eventi di rete allo scopo di scoprire l'origine di attacchi alla sicurezza o altri incidenti problematici. I sistemi "catch-as-you-can" catturano tutti i pacchetti che passano attraverso un determinato punto di traffico, memorizzano i dati ed eseguono l'analisi successivamente in modalità batch. I sistemi "stop, look and listen" eseguono un'analisi rudimentale in memoria e salvano solo alcuni dati per analisi future.