Intelligentie gaat over vragen beantwoorden. Verantwoordelijken voor cybersecurity moeten daadkrachtige beslissingen nemen op basis van de best beschikbare informatie. Cyber threat intelligence (CTI) biedt diegene die beveiligingsbeslissingen moet nemen de mogelijkheid om dit beter geïnformeerd te doen.

Genomen besluiten zouden moeten leiden tot risicobeperking voor de organisatie. Zo simpel is het. Waarom is het dan zo moeilijk om intelligentie-oplossingen en -diensten te realiseren die de besluitvorming ondersteunen en de risicobeperkingswaarde bieden waar organisaties behoefte aan hebben?

Er zijn drie soorten organisatorische intelligentie: strategisch, operationeel en tactisch. Het is van belang inzicht te krijgen in de soort intelligentie waaraan een bepaalde doelgroep behoefte heeft. Wordt dit inzicht op een tijdige en behapbare wijze geleverd, dan kan dit hét verschil maken tussen simpelweg beschikken over een intelligentiefunctie, of het realiseren van een op inlichtingen gebaseerde beveiligingsorganisatie.

Strategische intelligentie: cyberdreiging is trending

Strategische intelligentie is het totaalbeeld van bedreigingen voor een organisatie. Deze vorm van intelligentie kan in een organisatie door iedereen in het beveiligingsdomein worden gebruikt, maar is meestal gericht op directeurs of hoger management, waaronder bijvoorbeeld de chief information officer, chief information security officer en security operations center director.

Enkele vragen die we met strategische intelligentie proberen te beantwoorden zijn:

  • Wie zijn mijn vijanden en hoe zouden ze ons kunnen aanvallen?
  • Waarom ben ik doelwit en hoe verandert ons risicoprofiel?
  • Welke aanvallen mogen we verwachten door industrie, locatie of geopolitieke gebeurtenissen?

Het rapporteren van strategische intelligentie gaat op zoek naar het antwoord achter de ‘wie’- en ‘waarom’-onderdelen van de besluitvormingsstructuur. Het biedt begeleiding in de op investeringen gebaseerde wijzigingen aan de organisatie, die toekomstige risico’s zullen beperken.

Operationele intelligentie: in- en externe fusie

Operationele intelligentie is meer gericht op de actuele cyberbedreigingen voor de organisatie. Deze vorm van intelligentie is nog steeds sterk gericht op het bieden van voordeel in de besluitvorming, alsook in risicobeperking. Operationele intelligentie wordt meestal geschreven met de doelgroepen Incident Response, forensisch onderzoekers en hunt teams in gedachten. Deze doelgroepen moeten niet alleen inzien dat de bedreiging bestaat, maar vereisen ook een dieper en technischer inzicht in hoe een bepaalde bedreiging werkt.

Enkele vragen die we met operationele intelligentie trachten te beantwoorden zijn:

  • Hoe veranderen de aanvalspatronen en -frequentie van een bepaalde threat actor mettertijd?
  • Veranderen de bedreigingsinfrastructuren, -methoden of -taktieken en zo ja, hoe?
  • Hoe kan gedrag uit het verleden van bepaalde threat actors aanwijzingen opleveren om hen te ontmaskeren?

Operationele intelligentie houdt zich bezig met de antwoorden op de vragen ‘hoe’ en ‘wanneer’ ten aanzien van bedreigingen, zodat beveiligingsgroepen over betere informatie kunnen beschikken. Dit helpt hen met het lokaliseren, afschermen en oplossen van netwerkinbraken.

Tactische intelligentie: technisch adviseur

Tactische intelligentie is de meest granulaire vorm van intelligentie. In dit geval kan onze doelgroep uit tier 1- en 2-analisten bestaan; zij die snel triagebeslissingen moeten nemen in een vaak met taken verzadigde, operationele beveiligingsomgeving of red teams die een vijand moeten nabootsen, alsook talloze andere mogelijke use cases.

Enkele vragen die we met tactische intelligentie willen beantwoorden:

  • Welke malware wordt door een bedreiging ingezet?
  • Welk commando en welke besturingsinfrastructuur mogen we van een bedreiging verwachten?
  • Welke handtekeningen zijn aan bepaalde malware verbonden?

Tactische intelligentie is gericht op het beantwoorden van de ‘waarom’-vragen over bedreigingen. Tot slot wordt er door het uitvoeren van een technische vervolgrapportage met details van de bedreigingen voldaan aan de besluitvormingseis van intelligentie.

Waarom ben ik doelwit en hoe verandert ons risicoprofiel?

close

IT Executive Nieuwsbrief


Elke week een korte e-mail met daarin onze beste content, aankondigingen van evenementen en méér.

Wij delen je persoonsgegevens uitsluitend met derden die deze service mogelijk maken. Lees onze privacyverklaring.

REAGEREN

Plaats je reactie
Je naam