Door steeds geavanceerdere cyberdreigingen is kennis van het dreigingslandschap een belangrijk element geworden van het beveiligingsbeleid. Threat intelligence is de realisatie hiervan. Het wordt door Gartner omschreven als: Evidence-based kennis – waaronder context, mechanismen, indicatoren, implicaties en concreet advies – van nieuwe of bestaande dreigingen of risico’s voor bedrijfsassets. Deze kennis kan vervolgens gebruikt worden om beslissingen te nemen over de reactie op een dergelijke dreiging.
Het gaat dus om het verzamelen van informatie en deze te ordenen en te analyseren om trends te identificeren (sectoren die vaak doelwit zijn, gebruikte middelen en methodes, enz.). Deze profilering maakt het mogelijk om het beveiligingsbeleid te optimaliseren om beter te kunnen anticiperen op verschillende incidenten.
Daarnaast zorgt het ervoor dat overwerkte IT-teams makkelijker prioriteit kunnen geven aan het mitigeren van dreigingen die zich richten op kritieke bedrijfsassets. Threat intelligence is daarmee een waardevol en zelfs essentieel hulpmiddel bij het nemen van beslissingen met betrekking tot de architectuur en het beveiligen van informatiesystemen.
Welke threat intelligence-bronnen zijn er?
Een groot deel van de effectiviteit van een intelligence- en analysedienst hangt af van het verzamelen van relevante informatie. Maar hoe kies je de juiste informatiebronnen? En welke vragen moet je jezelf stellen voor je deze bronnen kiest?
Daarnaast kan de verzamelde informatie verschillend van aard zijn. Dit kunnen indicators of compromise (IOC) zijn, zoals hashes, domeinnamen, IP-adressen, maar ook signalen die de identificatie van kwaadaardige activiteiten mogelijk maken, zoals het hergebruik van een architectuur of platform dat in het verleden werd gebruikt of het gebruik van bepaalde diensten, technieken of methoden. Threat intelligence-bronnen kunnen grofweg worden ingedeeld in de volgende categorieën:
- Open source informatie (OSINT);
- Commerciële en maatschappelijke datastromen;
- Social media (SOCMINT);
- Door mensen gemaakte intelligence-, analyse- en correlatiemogelijkheden;
- Informatie van het deep en dark web.
Definieer het threat intelligence-beleid
Om het threat intelligence-beleid goed te definiëren, moet eerst een balans opgemaakt worden van de huidige situatie. Over welke technische middelen beschikt u? Welke in-house skills heb je? Wordt threat intelligence gebruikt om risicoanalyses te verfijnen, incidenten op te sporen, medewerkers op te leiden of om de technische architectuur te verbeteren?
De belangrijkste valkuil bij het verzamelen van gegevens is door simpelweg de meest populaire bronnen te selecteren in de overtuiging dat dit toegang biedt tot alle informatie die je nodig hebt – dit is vaak niet het geval. Het is essentieel om bronnen zorgvuldig te selecteren op basis van wat je definitie van een threat intelligence-beleid vereist.
Elke bron is anders
Als je de specifieke kenmerken van elk type bron kent, kun je de bronnen kiezen die het beste aansluiten bij de doelstellingen van het threat intelligence-beleid. IOC leveren bijvoorbeeld gegevens die gemakkelijk kunnen worden verwerkt, maar die uiteindelijk een hoger niveau van analyse vereisen om false positives te voorkomen. Van andere bronnen kan het nodig zijn om de verzamelde gegevens eerst te analyseren voordat deze omgezet kunnen worden in bruikbare output.
Openbare bronnen of privébronnen
Er zijn zowel openbare bronnen (OSINT, social media), maar ook particuliere aanbieders van informatie over dreigingen, zoals Trend Micro, SentinelOne en Check Point. Het gebruik van openbare bronnen zal in ieder geval substantiële verwerking en filtering vergen, dus deze keuze zal gepaard moeten gaan met het mobiliseren van dedicated middelen en tools.
Het kiezen van een particuliere aanbieder geeft toegang tot een breder spectrum aan bronnen en vereist minder interne middelen. Het is echter belangrijk dat deze bronnen wel aansluiten op je doelen. Nogmaals, een goed threat intelligence-beleid is gebaseerd op informatie die relevant is voor het bedrijf.
Door zorgvuldig relevante informatiebronnen te selecteren, kunnen de juiste gegevens verzameld worden die, eenmaal geanalyseerd, een waardevol hulpmiddel zullen zijn bij besluitvorming, met name met betrekking tot het identificeren van dreigingen en de reactie hierop. Zo kunnen organisaties de risico’s verkleinen, het aanvallers lastiger maken dan ooit en eindelijk uit de angstcultuur stappen die recente high profile aanvallen hebben gecreëerd.